如何使用本地IDC通过专线访问跨账号跨地域的VPC_高速通道(Express Connect)-阿里云帮助中心

您可以使用已接入到阿里云接入点的物理专线，将本地IDC和不同地域、不同账号的VPC连接起来，实现本地IDC通过物理专线可以访问不同地域、不同账号的VPC中的资源。

场景示例

某企业在阿里云上开通了阿里云账号（主账号）A，同时在华东1（杭州）拥有一个本地IDC（私网网段：172.16.0.0/12），并且在该地域创建了专有网络VPC1（私网网段：192.168.0.0/16）。账号A已经申请开通了一条物理专线将该企业本地IDC和专有网络VPC1连接起来。该企业的一个子公司在阿里云上开通了一个阿里云账号（主账号）B，在账号B下的华北2（北京）地域创建了专有网络VPC2（私网网段：10.0.0.0/8）。现在子公司希望本地IDC也可以访问专有网络VPC2中的资源。

由于账号A已经购买了专线并已实现将本地IDC通过该专线连接到阿里云，所以子公司账号B可以复用这根专线，通过该专线可以实现账号B下的专有网络VPC2和本地IDC互通。

本文以下图场景为例介绍本地IDC如何通过专线访问跨账号跨地域的VPC2中的资源。

本文账号和账号B下的配置如下表所示。下表中“-”表示不涉及。

配置	账号A	账号B
专有网络VPC	专有网络VPC1 名称：VPC-1 地域：华东1（杭州）网段：192.168.0.0/16	专有网络VPC2 名称：VPC-2 地域：华北2（北京）网段：10.0.0.0/8
边界路由器VBR	边界路由器VBR 名称：VBR-test VLAN ID：0 阿里云侧IPv4互联IP：10.100.1.2 客户侧IPv4互联IP：10.100.1.10 IPv4子网掩码：255.255.255.0	-
VBR上连	VBR上连2（发起端）发起端地域：华东1（杭州）发起端VBR实例名称：VBR-test 接收端地域：华北2（北京）接收端VPC实例名称：VPC-2	VBR上连2（接收端）发起端地域：华东1（杭州）发起端VBR实例名称：VBR-test 接收端地域：华北2（北京）接收端VPC实例名称：VPC-2

前提条件

您已通过高速通道VBR上连1实现本地IDC与账号A下的专有网络VPC1的互通。具体操作，请参见本地IDC通过负载冗余专线连接上云（静态路由）中物理专线1的配置。
因安全合规要求，VBR跨账号互联功能默认不开放，如需使用，请联系您的客户经理开通。具体操作，请参见使用限制。
您已在账号B下的华北2（北京）地域创建了专有网络VPC2，且VPC2中使用云服务器ECS（Elastic Compute Service）等云资源部署了相关业务。具体操作，请参见搭建IPv4专有网络。

步骤一：创建VBR上连2并配置健康检查

将账号B的VPC2授权给账号A的VBR实例。
1. 使用账号B登录专有网络管理控制台。
2. 在顶部菜单栏，选择VPC2实例的地域。本文选择华北2（北京）。
3. 在专有网络页面，找到VPC2实例，单击实例ID。
4. 在专有网络详情页面，单击跨账号授权 > 边界路由器 > 边界路由器跨账号授权。
5. 在边界路由器跨账号授权对话框中，根据以下信息进行配置，然后单击确定。
  设置完成后，表示已授权成功。您可以在边界路由器跨账号授权页签下，查看已创建的授权信息。
  说明
  您可以记录账号B的账号ID和VPC实例ID以便后续创建VBR上连。

创建VBR上连2（跨地域跨账号）。

使用账号A登录高速通道管理控制台。。
在左侧导航栏，选择专有网络对等连接 > VBR上连。
在VBR上连页面，单击创建对等连接。

在创建VBR上连页面，配置以下参数信息。

本文仅列举强相关的配置，其余参数的配置，请参见创建VBR上连。

配置	说明
发起端地域	选择发起端的VBR实例所在的地域。本文选择华东1（杭州）。
发起端VBR实例	在下拉列表中选择发起端的VBR实例。本文选择已创建的VBR实例。
接收端地域类型	选择接收端VPC实例所在地域类型。本文选择跨地域。
接收端地域	选择接收端的地域。本文选择华北2（北京）。
接收端账号类型	选择接收端VPC实例所属的阿里云账号类型。本文选择跨账号。
接收端账号ID	当您选择阿里云账号类型为跨账号时，您需要选择接收端的账号ID。在下拉列表中选择接收端的账号ID。本文选择阿里云账号B的账号ID。
接收端VPC实例	选择接收端已授权过的VPC的实例ID，本文选择VPC2的实例ID。
付费方式	本文自动显示后付费按带宽。
选择带宽	根据您的需要选择VBR上连2的带宽。

选中我已阅读并同意高速通道-对等连接（后付费）服务协议，然后单击确定。
待连接成功后，发起端和接收端的状态均为已激活。

配置健康检查。
在VBR上连2的操作列单击健康检查，然后单击设置，配置以下信息，单击确定。

步骤二：为VBR配置访问VPC2的路由条目

配置VBR上的路由，将VBR访问云上VPC2（网段：10.0.0.0/8）的流量转发至VPC2。

使用账号A登录高速通道管理控制台。。
在顶部菜单栏，选择目标地域。本文选择华东1（杭州）。
在左侧导航栏，单击边界路由器（VBR），然后在边界路由器（VBR）页面，单击目标VBR实例ID。
在边界路由器详情页面，选择路由条目 > 自定义路由条目页签，然后单击添加路由条目。
在添加路由条目面板，配置路由条目，然后单击确定。

步骤三：为VPC2配置访问本地IDC的路由条目

配置完VBR路由后，您需要配置VPC2的路由，将VPC2中访问本地IDC（网段：172.16.0.0/12）的流量转发至VBR。

使用账号B登录高速通道管理控制台。
在顶部菜单栏，选择目标地域。本文选择华北2（北京）。
在左侧导航栏，选择专有网络对等连接 > VBR上连。
在VBR上连页面，找到目标接收端VBR实例，然后在接收端实例单击路由配置。
在基本信息面板，单击添加对端路由，添加目标网段（本地IDC的网段：172.16.0.0/12）。

步骤四：配置本地IDC侧路由及健康检查

您需要为本地IDC的接入设备添加指向VPC2的路由，以实现本地IDC与VPC2流量的安全互访。同时需要配置健康检查探测报文的回程路由、健康检查以及健康检查和路由联动的配置，实现冗余物理专线接入阿里云。

配置本地IDC路由。
不同厂商的设备，配置命令不同，以下示例仅供参考。具体配置命令，请您咨询设备厂商。
```
#配置本地IDC去往云上VPC2的路由
ip route 10.0.0.0 255.255.0.0 10.100.1.2
```
配置本地IDC侧的健康检查。具体操作，请参见配置本地IDC侧的健康检查。
说明
当使用跨账号进行VBR上连时，您需要在接收端的账号下进行VBR侧健康检查的配置。

步骤五：测试连通性

完成上述配置后，您需要测试物理专线的连通性。

说明

验证测试前，请确保您已经了解VPC中ECS实例所应用的安全组规则，并确保安全组规则允许本地IDC与云上ECS实例互相访问。具体操作，请参见查询安全组规则和添加安全组规则。

在本地IDC侧，打开电脑端的命令行窗口。
执行ping命令，检查本地IDC与云上VPC2（网段：10.0.0.0/8）下的ECS实例是否连通。
如果能ping通，则表示连接成功。