Virtual Private Cloud：使用VPC對等串連實現VPC私網互連

步驟一：建立VPC對等串連

1. 登入對等串連管理主控台。在頂部功能表列處，選擇發起端VPC所在地區，本文為華北2（北京）。

2. 如果您是初次使用VPC對等串連，請在VPC对等连接頁面，單擊開通CDT功能，然後在彈出的對話方塊單擊確定開通。

   說明

   如果建立跨帳號VPC對等串連，您需要確保接收端阿里雲帳號已經開通了CDT功能。

3. 在VPC对等连接頁面，單擊建立對等串連，配置以下參數資訊。

   

   跨地區情況下，您可以根據業務時延要求選擇鏈路類型。

   • 金：阿里雲預設為您提供金牌頻寬能力，能滿足您對於時延和鏈路品質的一般要求。

   • 鉑金：如果您的業務需要更低時延和更強穩定性鏈路，例如證券交易、即時遊戲等，您可以選擇此類型。

   說明

   • 您可以建立同帳號同地區、同帳號跨地區、跨帳號同地區以及跨帳號跨地區的VPC對等串連。

   • 接收端帳號為同帳號時，發起端發起對等串連請求後，系統會自動建立串連，無需在接收端接收。

   • 接收端帳號為跨帳號時，發起端發起對等串連請求後，需要接收端接收串連請求後，才能建立VPC對等串連；接收端也可以拒絕串連請求，從而終止VPC對等串連的請求。接收端具體操作如下：

     1. 使用接收端帳號登入專用網路管理主控台。在左側導覽列，單擊VPC對等串連。

     2. 在VPC对等连接頁面，找到目標VPC對等串連，此時VPC對等串連的狀態為接收中。根據實際情境選擇是否接收請求：

        • 接收請求：VPC對等串連的狀態由接收中變為更新中。

          待VPC對等串連啟用成功後狀態變為已啟用，表明該VPC對等串連可以正常使用。

        • 拒絕請求：VPC對等串連的狀態由接收中變為已拒絕。

          狀態為已拒絕的VPC對等串連無法使用，可以在發起端或者接收端刪除該VPC對等串連。

        • 如果接收端未對跨帳號VPC對等串連請求做任何操作，7天后，該VPC對等串連進入已到期狀態。

步驟二：配置路由

VPC對等串連建立完成且狀態為已啟用後，需要在VPC對等串連的兩端添加指向對端的路由條目以實現VPC私網互連。

1. 在VPC对等连接頁面，找到已建立的VPC對等串連，在發起端VPC執行個體列/接收端VPC執行個體列單擊配置路由條目。

2. 分別配置發起端VPC和接收端VPC的IPv4/IPv6路由條目。下圖以IPv4路由條目配置為例。

   

   配置項說明

   配置項	說明
   專用網路	系統自動顯示當前發起端的VPC執行個體。
   路由表	在下拉式清單中選擇該VPC執行個體所關聯的路由表。
   目標網段	為VPC對等串連配置IPv4路由 選擇目標網段類型為IPv4，輸入接收端的IPv4 CIDR網段。 為VPC對等串連配置IPv6路由 選擇目標網段類型為IPv6，輸入接收端的IPv6 CIDR網段。
   下一跳	系統自動顯示下一跳對等串連執行個體。

步驟三：互連性驗證

1. 登入ECS1執行個體，訪問ECS2執行個體的私網IP地址。

2. 登入ECS2執行個體，訪問ECS1執行個體的私網IP地址。

3. 收到上圖所示的返回報文，則表示VPC1和VPC2之間網路已連通。確認網路正常連通後，您即可在兩個私網互連的VPC中搭建並使用業務，實現資源安全互訪。

配置對等串連後無法實現網路連通

您可以對以下配置進行排查，也可以使用網路智慧型服務NIS，結合反向路徑分析，校正雙向路徑的連通性。

• 檢查發起端CIDR和接收端CIDR：

  • 確認您建立VPC對等串連的兩端VPC及交換器網段沒有重疊。

    例如，網段分別為192.168.0.0/16和192.168.0.0/24的VPC，即使建立了對等串連也無法實現網路連通。您可以更換ECS執行個體的VPC，將業務遷移到網段不重疊的VPC中，重建立立對等串連實現網路互連。

  • 如果使用了公網網段，您需要使用IPv4網關實現公網私用，確保流量能夠正確地到達目標VPC。

    VPC 預設將RFC 1918之外的IP地址空間視為公網網段，例如30.0.0.0/16。當與其他VPC建立網路連接時，如果VPC中的雲產品資源具備公網訪問能力，即使配置了目標網段為 30.0.0.0/16 的路由指向對端VPC，依舊優先訪問公網，無法訪問目標VPC。

• 點擊對等串連執行個體ID，檢查路由條目列表，確認對等串連兩端的VPC都已正確配置了以對端VPC網段為目標網段、下一跳為VPC對等串連的IPv4/IPv6路由條目。

  例如，只在一端VPC配置了路由條目或配置路由條目的目標網段為本端VPC網段，都無法實現網路連通。

• 確認VPC內ECS執行個體的安全性群組，已配置允許存取對端IP的出/入方向規則。

  例如，使用ping <私網地址>命令，需要您在安全性群組允許存取ICMP協議規則。

• 確認與交換器綁定的網路ACL，已配置允許存取對端IP的出/入方向規則。

刪除VPC對等串連

您可以刪除不再需要的VPC對等串連。對於跨帳號對等串連，串連雙方均可以將其刪除。

1. 在VPC对等连接頁面，找到需要刪除的VPC對等串連，在操作列單擊刪除。

2. 在彈出的對話方塊，單擊確定。

   • 非強制移除：刪除VPC對等串連前，需要將路由表中指向VPC對等串連的路由條目刪除。

   • 強制移除：無需刪除路由表中指向VPC對等串連的路由條目，系統會自動刪除該路由條目。

     如需強制移除VPC對等串連，請在對話方塊中選中確認不影響業務，刪除上述所有對等串連及配置的路由條目。

修改跨地區VPC對等串連的頻寬值

1. 在VPC对等连接頁面，找到要修改頻寬的跨地區VPC對等串連，單擊VPC對等串連的執行個體ID。

2. 在VPC對等串連詳情頁面，在基本資料地區，在頻寬（Mbps）右側單擊編輯。

3. 在彈出的對話方塊，輸入要修改的頻寬值，單擊確定。

   輸入的頻寬值為大於0的整數，最大值為1024。

使用私網串連PrivateLink私網訪問VpcPeer OpenAPI服務

1. 登入終端節點控制台。在終端節點頁面，單擊建立終端節點。

2. 在建立終端節點頁面，根據以下資訊配置終端節點，單擊確定建立。此處僅列舉和本文強相關的配置，其餘參數的配置，請參見建立和管理終端節點。建立完成後，您可以通過終端節點網域名稱vpcpeer.vpc-proxy.aliyuncs.com訪問VPC對等串連API。

   配置	說明
   終端節點類型	本文選擇介面終端節點。
   終端節點服務	選擇目標終端節點服務。 本文先單擊阿里雲服務，然後選擇名稱為com.aliyuncs.privatelink.cn-[Region-ID].vpcpeer的終端節點服務。