若您需要實現同一地區下不同帳號的ECS執行個體內網通訊,可以參考本文描述授權安全性群組間互訪。

前提条件

本文調用API的工具為阿里雲CLI,請確保您已安裝並配置了阿里雲CLI。具體操作,請參見安裝CLI配置CLI

背景信息

目前授權安全性群組內網通訊有以下兩種,請根據您的實際需求選擇方式。
  • ECS執行個體間通訊:授權同一帳號兩台ECS執行個體間的內網通訊。
  • 帳號間內網通訊:授權同一帳號同一地區下兩個安全性群組內所有的ECS執行個體的內網通訊,包括授權以後購買的同一安全性群組內的ECS執行個體。
    说明 帳號間內網通訊實際上是安全性群組間授權,即授權處於這兩個安全性群組內的ECS執行個體後就可以實現內網通訊。修改安全性群組配置會影響到安全性群組內所有的ECS執行個體,請根據實際需要進行操作,避免影響到ECS執行個體網路下啟動並執行業務。
安全性群組是ECS執行個體的虛擬防火牆,安全性群組本身不提供通訊能力和組網能力。授權不同安全性群組內的執行個體內網通訊後,請同時確保執行個體可以建立內網互連的能力。
  • 若執行個體均是傳統網路類型,必須位於同一地區下。
  • 若執行個體均是VPC類型,不同VPC間預設內網不通。建議通過公網訪問的方式通訊,或者通過Express Connect、VPN網關和雲企業網等方式提供訪問能力。詳情請參見Express ConnectVPN網關雲企業網
  • 若執行個體網路類型不同,請設定ClassicLink允許執行個體通訊。具體操作,請參見经典网络和专有网络互通
  • 若執行個體位於不同地區,建議通過公網訪問的方式通訊,或者通過Express Connect、VPN網關和雲企業網等方式提供訪問能力。詳情請參見Express ConnectVPN網關雲企業網

ECS執行個體間通訊

  1. 查詢兩台ECS執行個體的內網IP地址和兩台ECS執行個體所處的安全性群組ID。
    您可以通過控制台或調用DescribeInstances介面獲得ECS執行個體所屬的安全性群組ID。假設兩台ECS執行個體的資訊如下表所示。
    執行個體 IP地址 所屬安全性群組 安全性群組ID
    執行個體A 10.0.0.1 sg1 sg-bp1azkttqpldxgtedXXX
    執行個體B 10.0.0.2 sg2 sg-bp15ed6xe1yxeycg7XXX
  2. 在sg1安全性群組中添加允許存取10.0.0.2的入方向的規則。
    aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp1azkttqpldxgtedXXX --RegionId cn-qingdao --IpProtocol all  --PortRange=-1/-1. --SourceCidrIp 10.0.0.2 --NicType intranet
  3. 在sg2安全性群組中添加允許存取10.0.0.1的入方向的規則。
    aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp15ed6xe1yxeycg7XXX --RegionId cn-qingdao --IpProtocol all  --PortRange=-1/-1. --SourceCidrIp 10.0.0.1 --NicType intranet
    说明
    • 以上命令中,地區取值為華北 1(青島)cn-qingdao,請您根據實際情況修改。
    • 以上命令中,調用AuthorizeSecurityGroup介面添加安全性群組入方向的允許存取規則,主要關注的參數為SecurityGroupIdSourceCidrIp
  4. 等待一分鐘後,使用ping命令測試兩台ECS執行個體之間是否內網互連。

帳號間內網通訊

  1. 查詢兩個帳號的帳號名和兩個帳號下對應的安全性群組ID。
    您可以通過控制台或調用DescribeInstances介面獲得ECS執行個體所屬的安全性群組ID。假設兩個帳號的資訊如下表所示。
    帳號 帳號ID 安全性群組 安全性群組ID
    帳號A a@aliyun.com sg1 sg-bp1azkttqpldxgtedXXX
    帳號B b@aliyun.com sg2 sg-bp15ed6xe1yxeycg7XXX
  2. 在sg1安全性群組中添加允許存取sg2安全性群組入方向的規則。
    aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp1azkttqpldxgtedXXX --RegionId cn-qingdao --IpProtocol all  --PortRange=-1/-1. --SourceGroupId sg-bp15ed6xe1yxeycg7XXX --SourceGroupOwnerAccount b@aliyun.com --NicType intranet
  3. 在sg2安全性群組中添加允許存取sg1安全性群組入方向的規則。
    aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp15ed6xe1yxeycg7XXX --RegionId cn-qingdao --IpProtocol all  --PortRange=-1/-1. --SourceGroupId sg-bp1azkttqpldxgtedXXX --SourceGroupOwnerAccount a@aliyun.com --NicType intranet
    说明
    • 以上命令中,地區取值為華北 1(青島)cn-qingdao,請您根據實際情況修改。
    • 以上命令中,調用AuthorizeSecurityGroup介面添加安全性群組入方向的允許存取規則時,主要關注的參數為SecurityGroupIdSourceGroupIdSourceGroupOwnerAccount
  4. 等待一分鐘後,使用ping命令測試查看兩台ECS執行個體之間是否內網互連。