全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
专有网络 VPC

ClassicLink迁移概述

更新时间:2017-11-09 11:37:12

专有网络提供ClassicLink功能,使经典网络的ECS可以和VPC中的云资源通过私网互通。

经典网络和VPC互通与经典网络和经典网络互通的底层实现是一致的,因此内网延迟不变,私网带宽限速不变。

宕机迁移、热迁移、停止、启动、重启、更换系统盘等操作不会改变已建立的ClassicLink链接。

经典网络和VPC互通原理

经典网络是一个网络平面,VPC是另一个网络平面,ClassicLink是通过路由将这两个网络平面拉齐,让其具备互通的条件。因此使用ClassicLink功能,首先要避免网络地址冲突,做好网络地址规划。

阿里云经典网络中使用的地址段是10.0.0.0/8(不包括10.111.0.0/16),因此只要VPC的地址段与经典网络的地址段不冲突,就可以通过ClassicLink功能私网通信。可以与经典网络互通的VPC地址段有172.16.0.0/12、10.111.0.0/16、192.168.0.0/16。

经典网络与VPC互通原则

使用ClassicLink功能打通经典网络ECS和VPC的私网通信后:

  • 经典网络ECS可以访问目的VPC内的云资源。

    指的是可与经典网络互通的地址段下的云资源,包括ECS、RDS、SLB等。比如经典网络ECS链接到了地址段为10.0.0.0/8的VPC,该VPC内有个网段为10.111.1.0/24的交换机。如果该交换机内部署了ECS、RDS等云资源,则经典网络的ECS可以通过ClassicLink功能访问这些云资源。

  • VPC内的ECS只能访问已链接到该VPC的经典网络ECS,不能访问未链接的经典网络ECS,也不能访问经典网络内的其它云资源。

经典网络与VPC互通前提

使用ClassicLink功能打通经典网络与VPC的通信,您需要完成以下操作:

专有网络要开启ClassicLink功能的限制如下:

网段限制
172.16.0.0/12该VPC中不存在目标网段为10.0.0.0/8的自定义路由条目。
10.0.0.0/8
  • 该VPC中不存在目标网段为10.0.0.0/8的自定义路由条目。

  • 确保和经典网络ECS通信的交换机的网段在10.111.0.0/16内。

192.168.0.0/16
  • 该VPC中不存在目标网段为10.0.0.0/8的自定义路由条目。

  • 需要在经典网络ECS中增加192.168.0.0/16指向私网网卡的路由。您可以使用提供的脚本添加路由,单击此处下载路由脚本。

    注意:在运行脚本前,请仔细阅读脚本中包含的readme。

2. 将经典网络ECS链接到VPC

将经典网络ECS链接到VPC前,注意如下限制:

  • 最多允许1000台经典网络ECS链接到同一个VPC。

  • 一台经典网络ECS只能链接到一个VPC(同账号且同地域)。

    若您要将账号A的ECS链接到账号B的VPC,可以将ECS从账号A过户到账号B。

    您可以提交工单申请ECS过户。过户前,确保您已了解ECS实例过户须知

3. 配置经典网络和VPC的安全组授权规则

在开启VPC的ClassicLink功能,并将经典网络ECS链接到VPC后,您需要添加ClassicLink安全组规则。

阿里云提供了以下授权方式:

  • 经典网络 <=> 专有网络:相互授权访问(推荐)。
  • 经典网络 <= 专有网络:授权专有网络实例访问经典网络实例。
  • 经典网络 => 专有网络:授权经典网络实例访问专有网络实例。

注意:如果链接的目标专有网络的网段为10.0.0.0/8,添加ClassicLink安全组规则时,不可以将IP在10.111.0.0/16网段内的专有网络ECS和IP不在10.111.0.0/16网段内的专有网络ECS添加到一个安全组内。

10.111.0.0/16是地址段为10.0.0.0/8的VPC用来和经典网络ECS私网互通的地址段。

以用户A和用户B为例,两个账号下的ECS信息如下:

  • 用户A

    网络类型实例名称IP地址所属安全组
    经典网络Classic-ECS110.1.1.1c-sg1
    专有网络(10.0.0.0/8)交换机1(10.1.1.0/24)VPC-ECS1 10.1.1.2v-sg1
    交换机2(10.111.1.0/24)VPC-ECS210.111.1.1
  • 用户B

    网络类型实例名称IP地址
    经典网络Classic-ECS210.1.1.2

如果用户A将经典网络的Classic-ECS1连接到了VPC(10.0.0.0/8)上,并在设置ClassicLink安全组规则时允许安全组v-sg1访问安全组c-sg1,则会出现:

  • 用户A的VPC-ECS1(10.1.1.2)无法访问Classic-ECS1(10.1.1.1)。因为违背了 若VPC的网段是10.0.0.0/8,经典网络ECS与VPC私网互通的网段限制在10.111.0.0/16这个约束。

  • 用户B的Classic-ECS2(10.1.1.2)可以访问用户A的Classic-ECS1(10.1.1.1),但这并不符合预期。因为用户B的经典网络ECS的 IP(10.1.1.2)包含于安全组v-sg1中,在授权v-sg1访问c-sg1后,就会出现此种情况。

为了解决上述问题和规避安全风险,您需要将VPC-ECS1从安全组v-sg1中移除。

具体操作步骤,参考ClassicLink迁移示例

本文导读目录