当您需要实现两个VPC之间的网络互通时,您可以选择VPC对等连接实现VPC间高速安全的网络连接。
功能介绍
VPC对等连接是两个VPC之间的网络连接,支持IPv4或IPv6互连。您可以通过VPC对等连接实现IPv4或IPv6流量互通,从而实现同账号或跨账号的两个VPC间同地域或跨地域的私网互通。
使用场景
资源安全访问:当您使用VPC对等连接实现跨地域VPC之间的私网互通,不同VPC内的资源通过私网通信,不流经公网,有效避免了常见的网络攻击和DDoS攻击,确保资源访问的安全性。
多账号互连:多账号体系架构中,您可以使用VPC对等连接以连通跨账号VPC,保障跨团队业务安全互访,促进高效安全的资源共享。
业务容灾:使用跨地域VPC对等连接进行数据同步与备份,实现数据冗余和容灾,保障业务的可靠性。
发起端和接收端
在建立VPC对等连接时,要连接的两端VPC,一个是发起端,另一个是接收端。主动发起VPC对等连接请求的一方被称为发起端,被动等待连接请求的一方被称为接收端。发起端和接收端仅用于控制连接建立的过程,在实际进行网络通信时,通信链路是双向的,发起端和接收端没有任何差别,相当于在同一个网络中。
对于同账号的VPC对等连接,发起端发起VPC对等连接请求后,系统会自动接收连接请求并建立连接,无需接收端接收连接请求。
对于跨账号的VPC对等连接,接收方可以接收或者拒绝连接请求,只有接收了连接请求,VPC对等连接才会激活。
发起端和接收端的VPC可以是同地域的,也可以是跨地域的。
VPC对等连接的状态
VPC对等连接过程由发起端发起连接,然后接收端接收连接请求,最后连接成功。
如果您创建的是同账号VPC对等连接,系统会自动发起连接请求并自动接受请求,VPC对等连接变为已激活状态。
在不同的连接过程和阶段,VPC对等连接的状态也不同。
状态 | 说明 |
创建中 | 发起端发起VPC对等连接请求后的状态。 |
对端接收中 | 等待接收端接受VPC对等连接请求的状态。 |
更新中 | 接收端接受VPC对等连接请求后,该VPC对等连接的状态。 |
已激活 | 接收端接受VPC对等连接请求后,发起端和接收端协商激活VPC对等连接后的状态。 |
已拒绝 | 接收端拒绝VPC对等连接请求后,该VPC对等连接的状态。 |
已过期 | 接收端超过7天未接受或者拒绝VPC对等连接请求,则该VPC对等连接处于已过期状态。 |
删除中 | 发起端或者接收端删除VPC对等连接后的中间状态。 |
已删除 | VPC对等连接成功删除后的状态。 |
使用指引
使用VPC对等连接
您需要按照以下步骤在两个VPC之间建立对等连接,实现简单安全的私网互通。具体操作,请参见使用VPC对等连接实现VPC私网互通。
在您使用VPC对等连接进行跨VPC互联时,您需要提前做好网络规划,建议要互通的VPC CIDR网段没有重叠。
发起端向接收端发送创建VPC对等连接的请求。
接收端接受VPC对等连接请求,激活VPC对等连接。
说明接收端账号为同账号时,发起端发起对等连接请求后,系统会自动建立连接,无需在接收端接收。
为VPC对等连接的两端配置指向对端的路由条目以实现VPC之间的私网互通。
VPC对等连接配置示例
为VPC对等连接的两端配置指向对端的路由条目时,您可以结合具体需求选择以下方式。
将对端VPC网段作为目标网段,实现连通的VPC内资源的完全访问,即VPC中的ECS能访问对端VPC中所有交换机内的实例资源,简化管理。
配置更精细的路由,将对端VPC中的交换机网段作为目标网段,将对等连接的流量带宽限制在必要范围内,增强数据传输安全性。
您需要确保创建VPC对等连接的两端VPC及交换机网段没有重叠。
当两端VPC网段重叠,但交换机网段不重叠时,您配置对端VPC网段作为目标地址后,由于此时系统路由和对等连接路由的目的地址重叠,访问对端VPC的流量会优先匹配系统路由,在发送端VPC内部转发,无法抵达对端VPC。您可以配置对端VPC未产生重叠的交换机网段作为目标地址,建立VPC对等连接。
当两端交换机网段重叠时,由于无法配置比系统路由更明细的路由,您无法配置对端交换机网段作为目标地址。
问题排查
您可以使用云监控服务收集跨地域VPC对等连接实例的流量带宽与丢包情况等指标,通过创建阈值报警规则,实时监控实例运行情况,保证业务的稳定。
当VPC对等连接实例出现访问不通的问题时,您可以使用网络智能服务NIS进行双向路径分析,诊断网络配置错误引起的连接问题。
说明NIS当前不支持同时进行双向路径分析,您需要结合反向路径分析校验双向路径的连通性。
路由不可达:您需要检查路由配置,验证VPC路由表中是否配置了以对端VPC网段为目标网段、下一跳为VPC对等连接的路由条目。
匹配安全组丢弃规则或被默认规则拒绝:验证VPC内ECS实例的安全组是否允许来自对端VPC的出入流量,根据业务需求配置安全组出/入方向规则。
匹配网络ACL丢弃规则或被默认规则拒绝:检查与交换机绑定的网络ACL是否允许来自对端VPC的出入流量,根据业务需求配置网络ACL出/入方向规则。
功能计费
您可以创建同地域同账号、同地域跨账号、跨地域同账号以及跨地域跨账号的VPC对等连接。同地域同账号、同地域跨账号VPC对等连接不收取任何费用,跨地域同账号、跨地域跨账号VPC对等连接统一由云数据传输CDT(Cloud DataTransfer)按出向流量收取流量传输费。更多信息,请参见跨地域流量。
跨地域VPC对等连接的SLA承诺的可用性不低于99.95%。
CDT仅提供计费和出账功能,跨VPC互联能力由VPC对等连接提供。
跨地域VPC对等连接计费示例
如上图所示,客户1在华北5(呼和浩特)创建了VPC1,客户2在华南3(广州)创建了VPC2,VPC1和VPC2建立了跨地域跨账号对等连接。依据出向流量计费规则,客户1为通过VPC对等连接流出到VPC2的流量付费,客户2为通过VPC对等连接流出到VPC1的流量付费。
若VPC1和VPC2通过VPC对等连接流出的流量分别为200GB和100GB,华北5(呼和浩特)到华南3(广州)的跨地域流量费单价为0.6元/GB,客户需支付的费用为:
客户1需要支付的费用为:0.6元/GB×200GB=120元
客户2需要支付的费用为:0.6元/GB×100GB=60元
使用限制
功能限制
两个VPC之间不能同时创建多个VPC对等连接。
VPC对等连接不具备路由传递能力,创建VPC对等连接后,您可以通过配置发起端和接收端的路由条目实现发起端VPC和接收端VPC之间的互通。
假设有3个VPC,分别为VPC1、VPC2和VPC3。其中VPC1和VPC2建立了VPC对等连接并配置路由条目,VPC2和VPC3建立了VPC对等连接并配置路由条目,但VPC1和VPC3不能通过VPC2做中转互通。您可以建立VPC1和VPC3的对等连接并配置路由条目来实现VPC1和VPC3的互通。
多账号共享VPC场景下,资源所有者可以创建VPC对等连接或对已创建的对等连接进行修改或删除,而资源使用者对VPC对等连接没有操作权限。
功能发布及地域支持情况
区域 | 支持VPC对等连接的地域 |
亚太 | 华东1(杭州)、华东2(上海)、华东5 (南京-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华中1(武汉-本地地域)、华东6(福州-本地地域)、日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 阿联酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴运营。 |
配额限制
配额名称 | 描述 | 默认限制 | 申请限制 |
vpc_quota_cross_region_peer_num_per_vpc | 单个VPC支持的跨地域VPC对等连接数量 | 20个 | 您可以通过以下任意方式自助提升配额: |
vpc_quota_intra_region_peer_num_per_vpc | 单个VPC支持的同地域VPC对等连接数量 | 10个 | |
vpc_quota_peer_num | 单个阿里云账号单地域支持的VPC对等连接数量 | 20个 | |
vpc_quota_peer_cross_border_bandwidth | 跨境带宽允许的最大值 | 1024 Mbps | |
vpc_quota_peer_cross_region_bandwidth | 跨地域带宽允许的最大值 | 1024 Mbps | |
无 | 同地域带宽默认值 | -1 Mbps,即不限制带宽 | 无法提升 |