云企业网支持在地域内定义灵活的互通、隔离、引流策略。本文为您介绍如何通过云企业网实现相互隔离的VPC同时访问同一个共享服务。

背景信息

本文以下图场景为例。某企业在阿里云美国(硅谷)地域已经部署有三个VPC,其中VPC3为部署共享服务的VPC。企业希望VPC1和VPC2均能访问VPC3使用共享服务,而VPC1和VPC2之间不互通。

TR快速入门-统一出口

前提条件

在您执行本文操作前,请确保您已经满足以下条件:
  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 您已经在同一个地域创建了三个专有网络VPC(Virtual Private Cloud)。具体操作,请参见使用专有网络
  • 您的VPC网络实例所在的地域和交换机的可用区支持企业版转发路由器。关于企业版转发路由器支持的地域和可用区信息,请参见企业版转发路由器支持的地域和可用区

配置流程

TR快速入门-出口-步骤

步骤一:网络规划

为实现上述需求,结合云企业网自定义路由表、关联转发、路由学习等功能,对企业网段和路由规划如下:
  • 分别在VPC1、VPC2、VPC3的路由表中添加0.0.0.0/0,下一跳为转发路由器的默认路由。
  • VPC3关联到转发路由器的默认路由表,并开启自动关联至转发路由器的默认路由表自动传播系统路由至转发路由器的默认路由表高级功能。

    开启后,转发路由器默认路由表能自动学习到VPC3的系统路由,并且VPC3通过查询默认路由表进行流量转发。

  • VPC1和VPC2关联到转发路由器的自定义路由表,只开启自动传播系统路由至转发路由器的默认路由表一个高级配置,且在自定义路由表中,添加去往VPC3的自定义路由条目。

    完成后,转发路由器默认路由表能学习到VPC1和VPC2的全部系统路由。VPC1和VPC2通过查询自定义路由表将流量转发到VPC3。此时,VPC1和VPC2之间不互通。

  • 本文示例中,已经在美国(硅谷)地域创建了三个VPC,并在指定可用区中创建了交换机。VPC中的网段规划,如下表所示。
    说明 在您进行网段规划时,请确保VPC之间的网段没有重叠。
    美国硅谷地域VPC 交换机 交换机可用区 网段规划 云服务器ECS地址
    VPC1

    主网段:192.168.0.0/16

    交换机1 可用区A 192.168.0.0/24 192.168.1.224
    交换机2 可用区B 192.168.1.0/24
    VPC2

    主网段:172.16.0.0/16

    交换机3 可用区A 172.16.0.0/24 172.16.0.222
    交换机4 可用区B 172.16.1.0/24
    VPC3

    主网段:10.0.0.0/16

    交换机5 可用区A 10.0.0.0/24 10.0.0.112
    交换机6 可用区B 10.0.1.0/24

步骤二:创建云企业网实例

在您连接网络实例前,您需要先创建一个云企业网实例。云企业网实例是创建和管理一体化网络的基础资源,一个云企业网实例创建和管理一张网络。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,单击创建云企业网实例
  3. 创建云企业网实例对话框,根据以下信息配置云企业网实例,然后单击确认
    • 名称:云企业网实例的名称。

      名称在2~128个字符之间,以大小写字母或中文开头,可包含数字、短划线(-)或下划线(_)。

    • 描述:云企业网实例的描述。

      描述可以为空或可以填写2~256个中英文字符,不能以http://https://开头。

步骤三:创建VPC连接

  1. 云企业网实例页面,单击目标实例ID。
  2. 在云企业网实例详情页面,单击VPC下的添加网络实例图标。
  3. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建
    • 实例类型:系统默认选择专有网络(VPC)
    • 地域:选择要连接的网络实例所在的地域。本示例选择美国(硅谷)
    • 转发路由器:系统自动为您在该地域创建转发路由器。
    • 设定转发路由器的主/备可用区:选择转发路由器的主备可用区。
      说明 在执行此操作时,系统会自动为您创建一个服务关联角色,角色名称为AliyunServiceRoleForCEN。该角色将会允许转发路由器在目标VPC实例的交换机上创建ENI,作为VPC发往转发路由器的流量入口。更多信息,请参见AliyunServiceRoleForCEN
    • 资源归属UID:选择要连接的网络实例所归属的账号类型。本示例使用默认值同账号
    • 付费方式:本示例使用默认值按量付费
    • 连接名称:输入连接名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

    • 网络实例:选择要连接的VPC网络实例ID。本示例选择VPC3。
    • 交换机:分别从主备可用区中选择交换机。
    • 高级配置:系统默认帮您选中以下三种高级功能。本示例中VPC3只开启自动关联至转发路由器的默认路由表自动传播系统路由至转发路由器的默认路由表高级功能。
      • 自动关联至转发路由器的默认路由表

        开启本功能后,VPC会自动关联至转发路由器的默认路由表,通过查询默认路由表转发流量。

      • 自动传播系统路由至转发路由器的默认路由表

        开启本功能后,VPC会将自身的系统路由传播至转发路由器的默认路由表中,用于实例互通。

      • 自动为VPC的所有路由表配置指向转发路由器的路由

        开启本功能后,系统将在VPC的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由指向转发路由器。

  4. VPC3连接创建完成后,单击继续创建连接
    请重复步骤3,创建VPC1和VPC2连接。其中,在您为VPC1和VPC2创建连接时,均只选中自动传播系统路由至转发路由器的默认路由表一个高级配置。
  5. VPC连接创建完成后,单击返回列表,返回到云企业网实例详情页面。

步骤四:VPC1和VPC2关联自定义路由表

  1. 在云企业网实例详情页面,找到已创建的转发路由器,单击其实例ID。
  2. 在转发路由器详情页面,单击转发路由器路由表页签。
  3. 在页签左侧区域,单击创建路由表
  4. 创建路由表对话框,根据以下信息进行配置,然后单击确认
    • 转发路由器:系统自动选择当前地域的转发路由器。
    • 路由表名称:输入路由表名称。

      名称可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

    • 路由表描述:输入路由表描述。

      描述可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

  5. 单击返回路由表详情,返回到转发路由器路由表页签下。
  6. 转发路由器路由表页签下,选择刚刚创建的自定义路由表,单击关联转发页签,然后单击创建关联转发
  7. 添加关联转发对话框,选择要关联至该自定义路由表的网络实例连接,然后单击确定
    本文示例中,分别将VPC1和VPC2关联至该自定义路由表。关联后,VPC1和VPC2将通过查询该路由表进行流量转发。
  8. 在自定义路由表详情页面,单击路由条目页签,然后单击创建路由条目
  9. 添加路由条目对话框,根据以下信息进行配置,然后单击确定
    • 路由表:系统默认选择当前自定义路由表。
    • 所属转发路由器:系统默认选择当前地域的转发路由器。
    • 路由条目名称:输入路由条目名称。

      名称可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

    • 目的地址CIDR:输入要添加的路由目标网段。本示例输入10.0.0.0/16。
    • 是否为黑洞路由:如果选择路由为黑洞路由后,所有去往该路由的流量均会被丢弃。本示例选择
    • 下一跳连接:选择路由的下一跳连接。本示例选择VPC3连接。
    • 路由条目描述:路由条目描述。

      描述可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

步骤五:为VPC添加默认路由条目

您需要在VPC控制台分别为VPC1、VPC2、VPC3添加网段为0.0.0.0/0,下一跳为转发路由器的默认路由。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击路由表
  3. 在顶部菜单栏,选择路由表所属的地域。
  4. 路由表页面,找到目标路由表,单击路由表的ID。
    本示例选择VPC3的路由表。
  5. 在路由表实例详情页面,单击路由条目列表页签下的自定义,然后单击添加自定义路由条目
  6. 添加路由条目面板,根据以下信息配置路由条目,然后单击确定
    • 名称:输入路由条目的名称。
    • 目标网段:输入要添加的目标网段。本示例输入0.0.0.0/0。
    • 下一跳类型:选择下一跳类型。本示例选择转发路由器
    • 转发路由器:选择目标转发路由器。本示例选择VPC3的转发路由器实例。

    更多参数说明,请参见添加子网路由到路由表

  7. 请重复步骤4步骤6,分别为VPC1、VPC2添加网段为0.0.0.0/0,下一跳为转发路由器的默认路由。
    在您完成配置后,您可以在云企业网控制台转发路由器详情页面查看VPC1、VPC2、VPC3以及转发路由器路由表的路由信息。
    1. 在转发路由器详情页面,单击网络实例路由信息,分别查看VPC1、VPC2和VPC3的路由。
      1. 在转发路由器详情页面,单击网络实例路由信息
      2. 网络实例后面,选择VPC1、VPC2或VPC3的实例ID,查看路由。
        图 1. VPC1的路由
        TR快速入门-出口-VPC1路由
        图 2. VPC2的路由
        TR快速入门-出口-VPC2路由
        图 3. VPC3的路由
        VPC3的路由
    2. 您可以在转发路由器路由表页签下,查看转发路由器默认路由表已学习到的VPC1、VPC2、VPC3的路由。
      1. 在转发路由器详情页面,单击转发路由器路由表
      2. 转发路由器路由表页签下,查看路由表路由条目。
        图 4. 默认路由表
        TR快速入门-出口-默认路由表
        图 5. 自定义路由表
        TR快速入门-出口-自定义路由表

步骤六:验证测试

完成上述配置后,您可以通过以下步骤,测试VPC1、VP2、VPC3之间的连通性。
说明 在您执行以下步骤前,请您先了解您VPC1、VPC2、VPC3中的ECS实例所应用的安全组规则,确保安全组规则允许三个VPC中的ECS实例之间可以互通。具体操作,请参见查询安全组规则
  1. 登录VPC1的ECS实例。具体操作,请参见连接方式概述ECS远程连接操作指南
  2. 通过ping命令,ping VPC3下的ECS实例的IP地址,测试VPC1和VPC3之间的连通性。
    经验证,VPC1和VPC3之间可以正常通信。共享VPC-VPC1-VPC3
  3. 登录VPC2的ECS实例,通过ping命令,ping VPC3下的ECS实例的IP地址,测试VPC2和VPC3之间的连通性。
    经验证,VPC2和VPC3之间可以正常通信。共享VPC-VPC2-VPC3
  4. 登录VPC1的ECS实例,通过ping命令,ping VPC2下的ECS实例的IP地址,测试VPC1和VPC2之间的连通性。
    经验证,VPC1和VPC2之间不能通信。共享VPC-VPC1-VPC2