VPC通過轉寄路由器實現同地區和跨地區網路通訊 - Cloud Enterprise Network

如果Virtual Private Cloud (VPC)執行個體需要與轉寄路由器下的其他網路（例如同地區VPC、跨地區VPC、本機資料中心等）相互連信，您可以通過建立VPC串連將VPC執行個體接入轉寄路由器，接入後，轉寄路由器可以實現網路執行個體間的相互連信。例如同地區VPC執行個體互連、跨地區VPC執行個體互連，本機資料中心和VPC間互連等。

建立VPC串連

使用企業版轉寄路由器建立VPC串連

說明

以下內容為您介紹如何使用升級後的企業版轉寄路由器建立VPC串連。如果您的企業版轉寄路由器未經過升級，請參見企業版轉寄路由器未升級前如何串連VPC執行個體？。

關於企業版轉寄路由器升級的更多資訊，請參見【升級公告】企業版轉寄路由器串連VPC模式升級。

VPC串連原理

企業版轉寄路由器在不同地區支援一個或多個可用性區域，關於企業版轉寄路由器支援的可用性區域的資訊，請參見企業版轉寄路由器支援的地區和可用性區域。

對於企業版轉寄路由器僅支援一個可用性區域的地區（例如華東5（南京-本地地區）），在該地區的企業版轉寄路由器下建立VPC串連前，需確保VPC執行個體在該可用性區域中擁有至少一個交換器執行個體，且該交換器執行個體需要擁有至少一個閒置IP地址。在建立VPC串連過程中，企業版轉寄路由器將在VPC執行個體的交換器中建立一個彈性網卡ENI（Elastic Network Interface）（該ENI將佔用交換器下的一個IP地址），作為VPC執行個體與企業版轉寄路由器流量互連的介面。
對於企業版轉寄路由器支援多個可用性區域的地區（例如華東2（上海）地區），在該地區的企業版轉寄路由器下建立VPC串連前，需確保VPC執行個體在企業版轉寄路由器支援的可用性區域中擁有至少2個交換器執行個體，2個交換器執行個體位於不同的可用性區域，且每個交換器執行個體需要擁有至少一個閒置IP地址。在建立VPC串連過程中，企業版轉寄路由器將在VPC執行個體的2個交換器執行個體中各建立一個彈性網卡ENI（每個ENI將佔用其所屬交換器執行個體下的一個IP地址），作為VPC執行個體與企業版轉寄路由器流量互連的介面。在VPC執行個體與企業版轉寄路由器流量互連的過程中，這2個交換器執行個體可實現可用性區域層級的容災。
說明
- 建立VPC串連時如果為VPC串連開啟了IPv6功能，則請確保VPC執行個體的交換器下擁有閒置IPv6地址，企業版轉寄路由器在VPC執行個體中建立的彈性網卡ENI將會同時佔用一個IPv4地址和一個IPv6地址。
- 對於企業版轉寄路由器支援多個可用性區域的地區，推薦您在企業版轉寄路由器支援的每個可用性區域中均建立一個交換器執行個體（每個交換器執行個體下需擁有至少一個閒置IP地址），用於建立VPC串連。在VPC和企業版轉寄路由器流量互連的過程中可以減少流量繞行，獲得更低傳輸時延和更高效能。關於VPC和企業版轉寄路由器互連過程中流量的傳輸說明，請參見VPC串連選路原則。

建立VPC串連-2023年02

VPC串連選路原則

企業版轉寄路由器串連VPC執行個體後，依據就近原則轉寄VPC執行個體的流量，減少VPC流量的轉寄時延。以下內容為您介紹企業版轉寄路由器轉寄VPC流量時的選路原則。

請求方發出請求流量後，請求流量在到達接收方過程中經歷三次選路：

表徵圖	說明
①	第一次選路。請求流量從請求方網路執行個體去往企業版轉寄路由器的過程經歷第一次選路，選路原則如下：請求方發出請求流量後，系統通過查詢請求方所在交換器關聯的路由錶轉發請求流量。如果路由表中存在下一跳為企業版轉寄路由器ENI（指企業版轉寄路由器在交換器中建立的ENI）的自訂路由條目，則系統會依據該自訂路由條目將請求流量轉寄給該ENI，通過該ENI進入企業版轉寄路由器。如果路由表中不存在下一跳為企業版轉寄路由器ENI的自訂路由條目，則系統會將請求流量轉寄至請求方網路執行個體串連關聯的企業版轉寄路由器ENI。如果請求方交換器所在可用性區域已關聯TR，則請求流量會被轉寄至該可用性區域下的企業版轉寄路由器ENI，通過該ENI進入企業版轉寄路由器。點擊查看樣本如果請求方交換器所在可用性區域未關聯TR，則請求流量會被轉寄至請求方網路執行個體串連關聯的預設ENI（建立VPC串連時，TR會隨機播放1個ENI作為預設ENI），通過該ENI進入企業版轉寄路由器。點擊查看樣本
②	第二次選路。請求流量從企業版轉寄路由器去往接收方網路執行個體的過程經歷第二次選路，選路原則如下：請求流量進入企業版轉寄路由器後，企業版轉寄路由器通過查詢請求方網路執行個體串連關聯的路由錶轉發請求流量。企業版轉寄路由器依據路由表找到請求流量的下一跳後，系統會將請求流量轉寄至接收方網路執行個體串連關聯的企業版轉寄路由器ENI。如果流量來源ENI所在的可用性區域，在接收方VPC串連中已關聯，則請求流量會被轉寄至該可用性區域下的企業版轉寄路由器ENI，通過該ENI進入接收方網路執行個體。點擊查看樣本如果流量來源ENI所在的可用性區域，在接收方VPC串連中未關聯，則請求流量會被轉寄至接收方網路執行個體串連關聯的預設ENI（建立VPC串連時，TR會隨機播放1個ENI作為預設ENI），通過該ENI進入接收方網路執行個體。點擊查看樣本
③	第三次選路。請求流量進入接收方網路執行個體後經歷第三次選路，系統將依據請求流量進入的交換器關聯的路由錶轉發請求流量至接收方。點擊查看樣本

前提條件

您已經在VPC執行個體所在地區建立了企業版轉寄路由器執行個體。具體操作，請參見建立轉寄路由器執行個體。
使用企業版轉寄路由器建立VPC串連前，請確保VPC執行個體在企業版轉寄路由器支援的可用性區域擁有足夠的交換器執行個體，且每個交換器執行個體需擁有至少一個閒置IP地址。如何建立交換器執行個體，請參見建立交換器。
- 對於企業版轉寄路由器僅支援一個可用性區域的地區（例如華東5（南京-本地地區）地區），VPC執行個體需在當前可用性區域下擁有至少一個交換器執行個體。
- 對於企業版轉寄路由器支援多個可用性區域的地區（例如華東2（上海）地區），VPC執行個體需在這些可用性區域中擁有至少2個交換器執行個體，2個交換器執行個體需位於不同的可用性區域。
企業版轉寄路由器支援串連同帳號和跨帳號的VPC執行個體。在建立跨帳號的VPC串連前，請先獲得跨帳號VPC執行個體的授權。具體操作，請參見跨帳號網路執行個體授權。
如果VPC執行個體需要通過企業版轉寄路由器實現IPv6網路通訊，請確保VPC執行個體已經開啟IPv6功能。具體操作，請參見VPC開通IPv6。

操作步驟

登入雲企業網管理主控台。
在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
在基本信息 > 转发路由器頁簽，找到目標地區的轉寄路由器執行個體，在操作列單擊创建网络实例连接。

在连接网络实例頁面，根據以下資訊配置待串連的網路執行個體資訊，然後單擊确定创建。

說明

在執行此操作時，系統會自動為您建立一個服務關聯角色，角色名稱為AliyunServiceRoleForCEN。該角色將會允許轉寄路由器在目標VPC執行個體的交換器上建立ENI，作為VPC執行個體與企業版轉寄路由器流量互連的介面。關於服務關聯角色的更多資訊，請參見AliyunServiceRoleForCEN。

配置項	說明
实例类型	選擇Virtual Private Cloud。
地域	選擇待串連的網路執行個體所在的地區。
IPv6支援	選擇是否為VPC串連開啟IPv6功能。系統預設關閉該功能。如果VPC執行個體需通過企業版轉寄路由器實現IPv6網路通訊，則需開啟本功能。說明對於已經建立的VPC串連，支援單獨開啟IPv6功能。具體操作，請參見為VPC串連單獨開啟IPv6功能。
转发路由器	系統自動顯示當前地區下已建立的轉寄路由器執行個體。
资源归属UID	選擇待串連的網路執行個體所屬的帳號類型。轉寄路由器支援串連同帳號和跨帳號的網路執行個體：如果待串連的網路執行個體與轉寄路由器執行個體屬於同一個阿里雲帳號，請選擇同帳號。如果待串連的網路執行個體與轉寄路由器執行個體屬於不同的阿里雲帳號，請選擇跨帳號，並輸入網路執行個體所屬的阿里雲帳號（主帳號）ID。
付费方式	轉寄路由器的計費模式預設為隨用隨付。隨用隨付的計費規則，請參見計費說明。
连接名称	輸入VPC串連的名稱。
網路執行個體	選擇待串連的VPC執行個體。重要您可以單擊發起路由檢查查看網路執行個體內是否存在目標網段為10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由條目，如果存在，則您在後面進階配置中開啟自动为VPC的所有路由表配置指向转发路由器的路由功能後，系統不會再自動下發該路由條目，可能會影響VPC和轉寄路由器之間的流量傳輸，需要您自行在VPC路由表中添加路由條目以確保VPC和轉寄路由器之間的流量傳輸。
交換器	在轉寄路由器支援的可用性區域選擇交換器執行個體。如果企業版轉寄路由器在當前地區僅支援一個可用性區域，則您需要在當前可用性區域選擇一個交換器執行個體。如果企業版轉寄路由器在當前地區支援多個可用性區域，則您需要在至少2個可用性區域中各選擇一個交換器執行個體。在VPC和企業版轉寄路由器流量互連的過程中，這2個交換器執行個體可以實現可用性區域層級的容災。推薦您在每個可用性區域中都選擇一個交換器執行個體，以減少流量繞行，體驗更低傳輸時延以及更高效能。
高级配置	建立VPC串連時，系統預設幫您選中以下三種進階功能：自动关联至转发路由器的默认路由表開啟本功能後，VPC串連會自動關聯至轉寄路由器的預設路由表，轉寄路由器通過查詢預設路由錶轉發VPC執行個體的流量。自动传播系统路由至转发路由器的默认路由表開啟本功能後，VPC執行個體會將自身的系統路由傳播至轉寄路由器的預設路由表中，用於網路執行個體的互連。自动为VPC的所有路由表配置指向转发路由器的路由開啟本功能後，系統將在VPC執行個體的所有路由表內自動設定10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目，其下一跳均指向VPC串連，用於引導VPC執行個體的IPv4流量進入轉寄路由器。轉寄路由器預設不向VPC執行個體傳播路由。重要如果VPC執行個體需要實現IPv6網路通訊，建立VPC串連後，您需要為VPC串連開啟路由同步功能或者在VPC執行個體的路由表中手動添加指向VPC串連的IPv6路由條目，VPC執行個體的IPv6流量才能進入轉寄路由器。您可以取消選中以上進階功能，後續通過轉寄路由器的關聯轉寄、路由學習等路由功能自訂VPC執行個體的連通性。具體操作，請參見路由管理。
标签	為VPC串連設定標籤。標籤鍵：不允許為空白字串。最多支援64個字元，不能以`aliyun`和`acs:`開頭，不能包含`http://`或者`https://`。標籤值：可以為空白字串。最多支援128個字元，不能以`aliyun`和`acs:`開頭，不能包含`http://`或者`https://`。支援為VPC串連添加多個標籤。關於標籤的更多資訊，請參見標籤。

VPC串連建立完成後，您可以在地域内连接管理頁簽查看VPC串連的資訊。具體操作，請參見查看網路執行個體串連。

編輯VPC串連的可用性區域和交換器

建立VPC串連後，您可以修改VPC串連關聯的可用性區域和交換器執行個體。在操作前，請確保VPC執行個體中不存在下一跳指向企業版轉寄路由器ENI的路由條目。具體操作，請參見建立和管理路由表。

警告

在修改VPC串連的可用性區域和交換器執行個體的過程中，如果您更換了VPC串連關聯的交換器執行個體，則可能會導致流量中斷，中斷時間長度不超過15秒，請謹慎操作。

登入雲企業網管理主控台。
在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
在基本信息 > 转发路由器頁簽，找到目標地區的轉寄路由器執行個體，單擊目標執行個體ID。
在地域内连接管理頁簽，找到目標VPC串連，單擊VPC串連ID。
在连接详情面板的关联网络实例地區，單擊编辑可用区/子网。
在编辑可用区/子网對話方塊的選擇可用性區域/子網地區，選中目標可用性區域並選擇目標可用性區域下的交換器執行個體，然後單擊確認。
在您編輯VPC串連的可用性區域和交換器執行個體的過程中，系統將以您最後的選擇為準為您關聯可用性區域和交換器執行個體。
例如，VPC串連當前只關聯了可用性區域A及交換器A1（交換器A1位於可用性區域A），在编辑可用区/子网對話方塊：
- 如果您選擇了可用性區域A和交換器A2（交換器A2位於可用性區域A），則在您單擊確認後，VPC串連將關聯可用性區域A和交換器A2。
  系統自動取消VPC串連與交換器A1的關聯關係。
- 如果您選擇了可用性區域B和交換器B1（交換器B1位於可用性區域B）以及可用性區域C和交換器C1（交換器C1位於可用性區域C），則在您單擊確認後，VPC串連將關聯可用性區域B和交換器B1以及可用性區域C和交換器C1。
  系統自動取消VPC串連與可用性區域A和交換器A1的關聯關係。
- 如果您選擇了可用性區域A和交換器A1（交換器A1位於可用性區域A）以及可用性區域C和交換器C1（交換器C1位於可用性區域C），則在您單擊確認後，VPC串連將關聯可用性區域A和交換器A1以及可用性區域C和交換器C1。
  系統自動添加VPC串連與可用性區域C和交換器C1的關聯關係。
說明
在修改VPC串連的可用性區域和交換器執行個體的過程中，如果您更換了VPC串連關聯的交換器執行個體，系統會自動刪除在之前交換器執行個體（指被取消關聯的交換器執行個體）中建立的ENI。

修改VPC串連關聯的轉寄路由器路由表

建立VPC串連後，您可以修改VPC串連關聯的轉寄路由器路由表。

警告

如果VPC串連已開啟路由同步功能，則VPC串連修改關聯的轉寄路由器路由表後，系統會撤銷之前已向VPC執行個體同步的路由，重新將修改後的轉寄路由器路由表中的路由同步至VPC執行個體的所有路由表中。關於路由同步的更多資訊，請參見路由同步。

登入雲企業網管理主控台。
在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
在基本資料 > 轉寄路由器頁簽，單擊目標地區的轉寄路由器執行個體ID。
在地域内连接管理頁簽，找到VPC串連，單擊VPC串連ID。
在连接详情面板的串連基本資料地區，單擊關聯路由表右側的修改。
在編輯關聯路由表對話方塊，選擇目標轉寄路由器路由表，然後單擊確定。

為VPC串連單獨開啟IPv6功能

如果VPC執行個體需要通過企業版轉寄路由器實現IPv6網路通訊，您需要為VPC串連開啟IPv6功能。如果建立VPC串連時您未為VPC串連開啟IPv6功能，您可以通過以下操作，在建立VPC串連後單獨為VPC串連開啟IPv6功能。

為VPC串連開啟IPv6功能前，請確保VPC執行個體已開啟IPv6功能。具體操作，請參見VPC開通IPv6。

登入雲企業網管理主控台。
在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
在基本資料 > 轉寄路由器頁簽，單擊目標地區的轉寄路由器執行個體ID。
在地域内连接管理頁簽，找到VPC串連，在IPv6支援列，單擊開啟。
在彈出的對話方塊中，單擊確認。

為VPC串連關閉IPv6功能

如果VPC執行個體不再需要通過企業版轉寄路由器實現IPv6網路通訊，您可以為VPC串連關閉IPv6功能。為VPC串連關閉IPv6功能前，請確保滿足以下條件：

VPC執行個體的路由表中不存在下一跳指向VPC串連或企業版轉寄路由器ENI的IPv6路由條目。具體操作，請參見添加和刪除路由條目。
企業版轉寄路由器路由表中不存在下一跳指向VPC串連的IPv6路由條目。具體操作，請參見刪除企業版轉寄路由器自訂路由條目。
企業版轉寄路由器路由表中不存在下一跳指向VPC串連的IPv6首碼列表。具體操作，請參見解除綁定首碼列表。

登入雲企業網管理主控台。
在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
在基本資料 > 轉寄路由器頁簽，單擊目標地區的轉寄路由器執行個體ID。
在地域内连接管理頁簽，找到VPC串連，在IPv6支援列，單擊關閉。
在彈出的對話方塊中，單擊確認。

使用基礎版轉寄路由器建立VPC串連

基礎版轉寄路由器支援串連同帳號和跨帳號的VPC執行個體。在建立跨帳號的VPC串連前，請先獲得跨帳號VPC執行個體的授權。具體操作，請參見跨帳號網路執行個體授權。

登入雲企業網管理主控台。
在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
在基本信息 > 转发路由器頁簽，找到目標地區的轉寄路由器執行個體，在操作列單擊创建网络实例连接。

在连接网络实例頁面，根據以下配置網路執行個體資訊，然後單擊確定建立。

配置項	說明
執行個體類型	選擇Virtual Private Cloud。
地區	選擇待串連的網路執行個體所在的地區。
轉寄路由器	系統自動顯示當前地區下已建立的轉寄路由器執行個體。
資源歸屬UID	選擇待串連的網路執行個體所屬的帳號類型。轉寄路由器支援串連同帳號和跨帳號的網路執行個體：如果待串連的網路執行個體與轉寄路由器執行個體屬於同一個阿里雲帳號，請選擇同帳號。如果待串連的網路執行個體與轉寄路由器執行個體屬於不同的阿里雲帳號，請選擇跨帳號，並輸入網路執行個體所屬的阿里雲帳號（主帳號）ID。
網路執行個體	選擇待串連的網路執行個體。

VPC串連建立完成後，您可以在轉寄路由器執行個體詳情頁面的地域内连接管理頁簽查看VPC串連的資訊。具體操作，請參見查看網路執行個體串連。

通過調用API建立VPC串連

支援通過阿里雲 SDK（推薦）、阿里雲 CLI、Terraform、Resource Orchestration Service等工具調用API建立VPC串連。相關API說明，請參見：

CreateTransitRouterVpcAttachment：在企業版轉寄路由器下建立VPC串連。
UpdateTransitRouterVpcAttachmentAttribute：修改企業版轉寄路由器下VPC串連的名稱和描述資訊。
UpdateTransitRouterVpcAttachmentZones：修改企業版轉寄路由器下VPC串連關聯的可用性區域和交換器。
ListTransitRouterVpcAttachments：查詢企業版轉寄路由器下VPC串連的資訊。
AttachCenChildInstance：在基礎版轉寄路由器下建立VPC串連。

Cloud Enterprise Network：建立VPC串連