多個雲企業網使用共用服務 - Cloud Enterprise Network

預設情況下，不同雲企業網（CEN）之間網路相互隔離。您可以通過將單個VPC同時接入多個CEN，實現跨CEN的資源訪問共用服務。

情境樣本

以上圖為例，如果您需要將VPC3設定為兩個CEN的共用服務VPC，那麼您可以將VPC3分別串連到TR1和TR2，並通過配置每個VPC的路由，最終實現：

VPC1和VPC3網路互連，VPC2和VPC3網路互連，但VPC1和VPC2網路隔離。

準備工作

開始操作前，請參考情境樣本完成如下配置：

建立2個CEN執行個體，名稱分別為CEN1和CEN2。每個CEN中建立1個轉寄路由器，名稱分別為TR1和TR2，地區均為華東1（杭州）。
建立3個VPC，暫不串連到轉寄路由器。
建立3台ECS，分別部署在3個VPC下，名稱分別為ECS1、ECS2、ECS3。

3個VPC的資源配置如下：

配置項	VPC1	VPC2	VPC3
地區	華東1（杭州）	華東1（杭州）	華東1（杭州）
IPv4網段	10.0.0.0/8	172.16.0.0/12	192.168.0.0/16
交換器1	位於可用性區域J，網段為 10.0.0.0/24	位於可用性區域J，網段為 172.16.0.0/24	位於可用性區域J，網段為 192.168.0.0/24
交換器2	位於可用性區域K，網段為 10.0.1.0/24	位於可用性區域K，網段為 172.16.1.0/24	位於可用性區域K，網段為 192.168.1.0/24
ECS（均在交換器1下建立）	ECS1的IP地址：10.0.0.1	ECS2的IP地址：172.16.0.1	ECS3的IP地址：192.168.0.1

說明

如果您自行規劃資源，請確保：
1. 3個VPC的網段沒有重疊。
2. 在企業版轉寄路由器支援多可用性區域的地區，為實現可用性區域層級的容災，您需要至少在2個不同的可用性區域下建立交換器。
關於如何建立各項資源，請查看：建立雲企業網執行個體、建立轉寄路由器執行個體、建立VPC和交換器、建立ECS執行個體。

操作步驟

先將VPC串連至TR，然後配置每個VPC的路由表，最後進行測實驗證。

第一步：將VPC串連到TR

本步需要建立4個VPC串連。先為您介紹建立每個VPC串連的通用步驟，具體建立時的配置項請查看步驟下方的表格。

登入雲企業網管理主控台。在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。（目標雲企業網執行個體請查看下方表格）
在基本信息 > 转发路由器頁簽，找到目標地區的轉寄路由器執行個體，在操作列單擊创建网络实例连接。（目標轉寄路由器執行個體請查看下方表格）
在连接网络实例頁面，根據下表資訊進行配置，然後單擊确定创建。

下表列出上述每步對應的配置項。

配置項		VPC1串連到TR1	VPC2串連到TR2	VPC3串連到TR1	VPC3串連到TR2
1.目標雲企業網執行個體		`CEN1`	`CEN2`	`CEN1`	`CEN2`
2.目標轉寄路由器執行個體		`TR1`	`TR2`	`TR1`	`TR2`
3.串連網路執行個體	執行個體類型	专有网络（VPC）
	地區	華東1（杭州）
	資源歸屬UID	同帳號
	付費方式	隨用隨付
	串連名稱	`Attach1`	`Attach2`	`Attach3-1`	`Attach3-2`
	網路執行個體	VPC1	VPC2	VPC3	VPC3
	交換器	系統預設會自動選擇每個VPC下建立的交換器杭州可用性區域J：交換器1 杭州可用性區域K：交換器2
	進階配置	選中前2個選項，不選中第3個選項。 ✅ 自动关联至转发路由器的默认路由表 ✅ 自动传播系统路由至转发路由器的默认路由表 ❌ 自动为VPC的所有路由表配置指向转发路由器的路由說明此處我們不選中第3個選項，即不讓系統自動設定VPC的路由表，而是在後續步驟中手動設定。單擊查看3個進階配置選項的說明自动关联至转发路由器的默认路由表開啟本功能後，VPC串連會自動關聯至轉寄路由器的預設路由表，轉寄路由器通過查詢預設路由錶轉發VPC執行個體的流量。自动传播系统路由至转发路由器的默认路由表開啟本功能後，VPC執行個體會將自身的系統路由傳播至轉寄路由器的預設路由表中，用於網路執行個體的互連。自动为VPC的所有路由表配置指向转发路由器的路由開啟本功能後，系統將在VPC執行個體的所有路由表內自動設定10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目，其下一跳均指向VPC串連，用於引導VPC執行個體的IPv4流量進入轉寄路由器。轉寄路由器預設不向VPC執行個體傳播路由。重要如果VPC的路由表中已經存在目標網段為10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由條目，則系統無法再自動下發該路由條目，您需要在VPC路由表中手動添加指向VPC串連的路由條目以實現VPC和轉寄路由器之間的流量互連。您可以單擊發起路由檢查查看網路執行個體內是否存在上述路由。如果VPC執行個體需要實現IPv6網路通訊，建立VPC串連後，您需要為VPC串連開啟路由同步功能或者在VPC執行個體的路由表中手動添加指向VPC串連的IPv6路由條目，VPC執行個體的IPv6流量才能進入轉寄路由器。

第二步：配置VPC的路由表

在3個VPC的路由表中新增自訂路由條目。

登入專用網路管理主控台。
在左側導覽列，單擊路由表。
在頂部功能表列，選擇VPC執行個體所屬的地區：華東1（杭州）。
在路由表頁面，選擇VPC1對應的路由表，單擊路由表的執行個體ID。
在路由表詳情頁面，單擊路由條目列表頁簽，再單擊自訂路由條目頁簽。
單擊添加路由條目，在彈出的添加路由條目面板中輸入目標網段192.168.0.0/16，下一跳類型選擇轉寄路由器，轉寄路由器選擇Attach1，最後單擊確定。

回到路由表頁面，按照同樣的方法，進入VPC2和VPC3對應的路由表並添加自訂路由條目。

每個VPC需要新增的自訂路由條目見如下表格：

VPC名稱	目標網段	下一跳	路由類型
VPC1	192.168.0.0/16	`Attach1`	自訂路由條目
VPC2	192.168.0.0/16	`Attach2`	自訂路由條目
VPC3	10.0.0.0/8	`Attach3-1`	自訂路由條目
VPC3	172.16.0.0/12	`Attach3-2`	自訂路由條目

第三步：測實驗證

說明

操作前，請確保3台ECS的安全性群組規則放通了ICMP協議。具體操作，請參見查詢安全性群組規則和添加安全性群組規則。

您可以登入ECS1執行個體，執行ping命令訪問ECS3：

ping 192.168.0.1

如圖所示，如果能ping通，則證明VPC1和VPC3已互連。

您可以利用同樣的方法，驗證互連和隔離：

登入ECS2執行個體，執行ping命令訪問ECS3，如果能ping通，證明VPC2和VPC3已互連。
登入ECS1執行個體，執行ping命令訪問ECS2，如果無法ping通，證明VPC1和VPC2之間網路相互隔離。

常見問題

1個阿里雲帳號下能建立多少個雲企業網執行個體？

預設為5個，您可以申請提升，詳見配額。

1個VPC能串連多少個轉寄路由器？

預設為5個，您可以申請提升，詳見配額。

網路不通怎麼辦？

請依次檢查路由、安全性群組、ECS作業系統自身的防火牆。

以本文的路由為例，ECS1要訪問ECS3，您需要依次檢查VPC1路由表、轉寄路由器路由表、VPC3路由表，確保路由表中有往返的路由條目。