可将不同阿里云账号下的VPC加入到同一个云企业网中,实现跨账号的VPC互通。
场景示例
假设您拥有2个阿里云账号:
-
账号A:拥有两个VPC(
VPC1、VPC2)和一个云企业网(CEN1)。 -
账号B:拥有一个VPC(
VPC3)。
其中VPC1和VPC2已加入到云企业网CEN1,并已根据同地域VPC互通教程实现网络互通。
现计划将VPC3加入到云企业网CEN1中,实现3个VPC网络互通。
3个VPC的资源规划如下:
|
配置项 |
VPC1 |
VPC2 |
VPC3 |
|
所属账号 |
账号A |
账号A |
账号B |
|
地域 |
华东1(杭州) |
华东1(杭州) |
华东1(杭州) |
|
IPv4网段 |
10.0.0.0/16 |
172.16.0.0/16 |
192.168.0.0/16 |
|
交换机1 |
位于可用区J,网段10.0.0.0/24 |
位于可用区J,网段172.16.0.0/24 |
位于可用区J,网段192.168.0.0/24 |
|
交换机2 |
位于可用区K,网段10.0.1.0/24 |
位于可用区K,网段172.16.1.0/24 |
位于可用区K,网段192.168.1.0/24 |
|
ECS实例IP(用于验证连通性) |
ECS1: 10.0.0.1 |
ECS2: 172.16.0.1 |
ECS3: 192.168.0.1 |
如果您自行规划网络资源,请注意:
-
互通VPC的网段范围不能重叠。如果已存在重叠,请考虑重新规划网络,并将资源迁移到新的、网段不重叠的VPC中。
-
为实现可用区级别的容灾,在支持多可用区的地域,您需要至少在2个不同的可用区下分别创建1台交换机。
开始配置
仅需2步:
-
先登录账号B进行跨账号授权,以允许账号A将
VPC3加入CEN1。 -
再登录账号A将
VPC3加入到CEN1。
一、账号B:向账号A授权
二、账号A:将VPC3加入到CEN1
-
控制台登录账号A,前往云企业网实例页面。
-
单击
CEN1的实例ID进入详情页,找到华东1(杭州)地域的转发路由器,在其操作列单击创建网络实例连接 > 创建地域内连接。 -
在 创建地域内连接页面进行配置:
-
实例类型:选择专有网络(VPC)。
-
地域:选择华东1(杭州)。
-
资源归属UID:选择跨账号,并填入账号B的阿里云账号ID(
VPC3归属于账号B)。 -
连接名称:填入
attach3。 -
网络实例:下拉选择
VPC3对应的实例ID。如果此处下拉选项为空,则代表未在账号B中将
VPC3跨账号授权给CEN1。请检查上一步跨账号授权的配置,确保填写的对方账号UID为账号A的账号ID,且对方云企业网实例ID为当前操作的云企业网CEN1的实例ID。 -
交换机:系统自动选择
VPC3内的2个交换机。为实现多可用区容灾,系统会帮您自动勾选当前VPC下的2个可用区内的交换机。如果VPC3仅有1个交换机,需要至少再创建1个交换机,且这2个交换机必须位于不同可用区。
-
高级配置:保持默认全部勾选,具体解释详见路由说明。
-
测试验证
-
确保3台ECS的安全组已放行入方向的ICMP协议流量。
-
登录到账号B的
ECS3,执行ping命令访问ECS1:ping 10.0.0.1[root@iZbp xxx ~]# ping 10.0.0.1 PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. 64 bytes from 10.0.0.1: icmp_seq=1 ttl=63 time=0.580 ms 64 bytes from 10.0.0.1: icmp_seq=2 ttl=63 time=0.421 ms 64 bytes from 10.0.0.1: icmp_seq=3 ttl=63 time=0.281 ms 64 bytes from 10.0.0.1: icmp_seq=4 ttl=63 time=0.295 ms 64 bytes from 10.0.0.1: icmp_seq=5 ttl=63 time=0.296 ms 64 bytes from 10.0.0.1: icmp_seq=6 ttl=63 time=0.247 ms 64 bytes from 10.0.0.1: icmp_seq=7 ttl=63 time=0.269 ms如果能ping通,则证明
VPC3和VPC1已互通。可利用同样的方法,执行ping 172.16.0.1访问ECS2,验证VPC3和VPC2的连通性。
路由说明
创建VPC连接时,系统根据默认选中的3个高级功能自动完成路由相关的配置:
自动关联至转发路由器的默认路由表
开启本功能后,VPC连接会自动关联至转发路由器的默认路由表,转发路由器通过查询默认路由表转发VPC实例的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后,VPC实例会将自身的系统路由传播至转发路由器的默认路由表中,用于网络实例的互通。
自动为VPC的所有路由表配置指向转发路由器的路由
开启本功能后,系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目,其下一跳均指向VPC连接,用于引导VPC实例的IPv4流量进入转发路由器。转发路由器默认不向VPC实例传播路由。
转发路由器默认路由表
|
目标网段 |
下一跳 |
路由类型 |
|
10.0.0.0/24 |
|
自动学习 |
|
10.0.1.0/24 |
|
自动学习 |
|
172.16.0.0/24 |
|
自动学习 |
|
172.16.1.0/24 |
|
自动学习 |
|
192.168.0.0/24 |
|
自动学习 |
|
192.168.1.0/24 |
|
自动学习 |
VPC1系统路由表
|
目标网段 |
下一跳 |
路由类型 |
|
10.0.0.0/24 |
本地 |
系统 |
|
10.0.1.0/24 |
本地 |
系统 |
|
10.0.0.0/8 |
|
自定义 |
|
172.16.0.0/12 |
|
自定义 |
|
192.168.0.0/16 |
|
自定义 |
VPC2系统路由表
|
目标网段 |
下一跳 |
路由类型 |
|
172.16.0.0/24 |
本地 |
系统 |
|
172.16.1.0/24 |
本地 |
系统 |
|
10.0.0.0/8 |
|
自定义 |
|
172.16.0.0/12 |
|
自定义 |
|
192.168.0.0/16 |
|
自定义 |
VPC3系统路由表
|
目标网段 |
下一跳 |
路由类型 |
|
192.168.0.0/24 |
本地 |
系统 |
|
192.168.1.0/24 |
本地 |
系统 |
|
10.0.0.0/8 |
|
自定义 |
|
172.16.0.0/12 |
|
自定义 |
|
192.168.0.0/16 |
|
自定义 |
更多信息
跨地域且跨账号的VPC如何互通?
整体流程与跨地域VPC互通教程类似,但区别是2个VPC属于不同账号。只需在创建跨账号的VPC连接之前,参考本文第一步完成跨账号授权即可。
如何实现有限的互通和隔离?
可通过配置TR多路由表实现VPC1和VPC2隔离、VPC1和VPC3互通、VPC2和VPC3互通,详情参考隔离VPC使用共享服务。