通过云企业网实现跨账号VPC互通_云企业网(CEN)-阿里云帮助中心

本文指导您如何使用云企业网实现跨地域跨账号专有网络VPC（Virtual Private Cloud）间互通。

场景示例

本文以上图场景为例。某企业使用账号A在阿里云华东1（杭州）地域、华北1（青岛）地域分别创建了VPC1和VPC3，使用账号B在华东1（杭州）地域创建了VPC2，3个VPC使用云服务器ECS（Elastic Compute Service）分别部署了应用服务，各个VPC之间互不相通。现在因业务发展需要，企业需要3个VPC可以互相通信，资源互访。

企业可以使用云企业网产品，将华东1（杭州）地域的VPC1和VPC2连接至账号A下华东1（杭州）地域的转发路由器，将华北1（青岛）地域的VPC3连接至账号A下华北1（青岛）地域的转发路由器，然后通过跨地域连接实现华东1（杭州）地域和华北1（青岛）地域的转发路由器互通，进而实现3个VPC互相通信。

说明

本文的跨账号指的是不同阿里云账号（主账号），而非RAM用户（子账号）。

前提条件

您已经使用账号A在华东1（杭州）地域、华北1（青岛）地域各创建了1个VPC，使用账号B在华东1（杭州）地域创建了1个VPC，3个VPC均使用ECS部署了应用服务。具体操作，请参见搭建IPv4专有网络。

请确保每个VPC在企业版转发路由器支持的可用区中拥有足够的交换机实例，且每个交换机实例拥有至少一个空闲的IP地址。

对于企业版转发路由器仅支持一个可用区的地域（例如华东5（南京-本地地域）地域），VPC实例需在当前可用区下拥有至少一个交换机实例。
对于企业版转发路由器支持多个可用区的地域（例如华东2（上海）地域），VPC实例需在这些可用区中拥有至少2个交换机实例，2个交换机实例需位于不同的可用区。

更多信息，请参见VPC连接原理。

单击查看企业版转发路由器支持的地域和可用区

区域	地域	可用区
中国内地	华东1（杭州）	B、H、I、J、K
	华东2（上海）	B、E、F、G、L、M、N
	华东5（南京-本地地域）	A
	华东6（福州-本地地域）	A
	华中1（武汉-本地地域）	A
	华南1（深圳）	A（停止新用户新购）、 C、D、E、F
	华南2（河源）	A、B
	华南3（广州）	A、B
	华北1（青岛）	B、C
	华北2（北京）	C、G、H、I、J、K、L
	华北3（张家口）	A、B、C
	华北5（呼和浩特）	A、B
	华北6（乌兰察布）	A、B、C
	西南1（成都）	A、B
亚太	新加坡	A、B、C
	中国香港	B、C、D
	马来西亚（吉隆坡）	A、B
	印度尼西亚（雅加达）	A、B、C
	菲律宾（马尼拉）	A
	日本（东京）	A、B、C
	韩国（首尔）	A
	泰国（曼谷）	A
欧洲	德国（法兰克福）	A、B、C
欧洲	英国（伦敦）	A、B
北美	美国（弗吉尼亚）	A、B
北美	美国（硅谷）	A、B

本示例3个VPC网络规划如下表所示，在您规划网络时请确保要互通的网段没有重叠。

属性	VPC1	VPC2	VPC3

属性	VPC1	VPC2	VPC3
网络实例所属账号	账号A	账号B	账号A
网络实例所属地域	华东1（杭州）	华东1（杭州）	华北1（青岛）
网络实例的网段规划	VPC网段：192.168.0.0/16 交换机1网段：192.168.20.0/24 交换机2网段：192.168.21.0/24	VPC网段：10.0.0.0/16 交换机1网段：10.0.0.0/24 交换机2网段：10.0.1.0/24	VPC网段：172.16.0.0/16 交换机1网段：172.16.0.0/24 交换机2网段：172.16.1.0/24
网络实例交换机的可用区	交换机1位于可用区H 交换机2位于可用区I	交换机1位于可用区H 交换机2位于可用区I	交换机1位于可用区B 交换机2位于可用区C
ECS实例IP地址	192.168.20.161	10.0.0.33	172.16.0.89

您已经了解3个VPC中ECS实例所应用的安全组规则，并确保安全组规则允许3个VPC资源互访。具体操作，请参见查询安全组规则和添加安全组规则。

开始配置

步骤一：创建云企业网实例

本示例将账号B的VPC2连接至账号A的云企业网中，在账号A的云企业网中实现3个VPC相互通信。您需要使用账号A创建一个云企业网实例。

使用账号A登录云企业网管理控制台。
在云企业网实例页面，单击创建云企业网实例。
在创建云企业网实例对话框，根据以下信息进行配置，然后单击确认。
- 名称：输入云企业网实例的名称。
- 描述：输入云企业网实例的描述信息。
- 资源组：选择云企业网实例所属的资源组。
  本文不选择，云企业网实例创建完成后将归属于默认资源组。
- 标签：输入云企业网实例的标签。本文保持为空值。

步骤二：创建转发路由器实例

在连接网络实例前，您需要在云企业网实例中在网络实例所属地域创建转发路由器实例。

使用账号A登录云企业网管理控制台。
在云企业网实例页面，选择在步骤一中创建的云企业网实例，单击云企业网实例ID。
在基本信息 > 转发路由器页签，单击创建转发路由器。

在创建转发路由器对话框，配置转发路由器实例信息，然后单击确认。

请根据下表信息分别在华东1（杭州）和华北1（青岛）地域创建转发路由器实例。

配置项	说明	华东1（杭州）	华北1（青岛）

配置项	说明	华东1（杭州）	华北1（青岛）
地域	选择转发路由器实例所属的地域。	本文选择华东1（杭州）地域。	本文选择华北1（青岛）地域。
版本	转发路由器实例的版本。	系统自动判断并显示当前地域下转发路由器实例的版本。	系统自动判断并显示当前地域下转发路由器实例的版本。
开通组播	选择是否打开转发路由器实例的组播功能。	本文保持默认值，即不打开组播功能。	本文保持默认值，即不打开组播功能。
名称	输入转发路由器实例的名称。	请自定义转发路由器实例的名称。	请自定义转发路由器实例的名称。
描述	输入转发路由器实例的描述信息。	请自定义转发路由器实例的描述信息。	请自定义转发路由器实例的描述信息。
标签	为转发路由器实例添加标签。	本文保持为空值。	本文保持为空值。
TR地址段	输入转发路由器地址段。更多信息，请参见转发路由器地址段。	本文无需配置转发路由器地址段。	本文无需配置转发路由器地址段。

步骤三：跨账号VPC实例授权

在将账号B的VPC2连接至账号A之前，需要在账号B中操作授权，允许账号A下的转发路由器实例连接VPC2。

使用账号B登录专有网络管理控制台。
在顶部菜单栏，选择VPC2所属的地域。
本示例选择华东1（杭州）。
在专有网络页面，找到VPC2，单击VPC2实例ID。
单击跨账号授权页签。在云企业网页签下，单击云企业网跨账号授权。

在加入云企业网对话框，根据以下信息进行配置，然后单击确定。

配置项	说明

配置项	说明
对方账号UID	转发路由器实例所属的阿里云账号（主账号）ID。本示例为账号A的账号ID。
对方云企业网实例ID	转发路由器实例所属的云企业网实例ID。本示例为步骤一创建的云企业网实例ID。
资费承担方式	选择付费方。 CEN用户承担资费（默认值）：表示VPC实例产生的连接费和流量处理费由转发路由器实例所属的账号承担。 VPC用户承担资费：表示VPC实例产生的连接费和流量处理费由VPC实例所属的账号承担。本示例使用默认值。重要请谨慎选择资费承担方。后续变更资费承担方，可能会影响您的业务。更多信息，请参见变更网络实例资费承担方。

步骤四：连接VPC实例

VPC2为账号A授权后，您需要将VPC1、VPC2、VPC3连接至账号A的转发路由器实例，在账号A中实现网络互通。

说明

在您首次连接VPC实例时，系统会自动为您创建一个服务关联角色，角色名称为AliyunServiceRoleForCEN。该角色将允许转发路由器实例在VPC的交换机上创建ENI。更多信息，请参见AliyunServiceRoleForCEN。

使用账号A登录云企业网管理控制台。
在云企业网实例页面，单击步骤一中创建的云企业网实例ID。
在基本信息 > 转发路由器页签，找到目标地域的转发路由器实例，在操作单击创建网络实例连接。

在连接网络实例页面，根据以下信息进行配置，然后单击确定创建。

下表罗列了各个配置项的说明以及VPC1、VPC2、VPC3对应的参数值，请依据下表中的数据，分别将VPC1、VPC2、VPC3连接至账号A的转发路由器实例。

配置项	配置项说明	VPC1	VPC2	VPC3

配置项	配置项说明	VPC1	VPC2	VPC3
实例类型	选择待连接的网络实例类型。	专有网络（VPC）	专有网络（VPC）	专有网络（VPC）
地域	选择待连接的网络实例所在的地域。	华东1（杭州）	华东1（杭州）	华北1（青岛）
转发路由器	系统自动显示该地域下已创建的转发路由器实例ID。
资源归属UID	选择待连接的网络实例所属的账号类型。	同账号	跨账号选择跨账号后，需输入账号B的阿里云账号（主账号）ID。	同账号
付费方式	默认值按量付费。
连接名称	输入网络实例连接的名称。	`Attachment-for-VPC1`	`Attachment-for-VPC2`	`Attachment-for-VPC3`
标签	为网络实例连接添加标签。	本文保持为空值。	本文保持为空值。	本文保持为空值。
网络实例	选择待连接的网络实例。	选择VPC1	选择VPC2	选择VPC3
交换机	在转发路由器支持的可用区选择一个交换机实例。如果您在转发路由器支持的多个可用区均拥有交换机实例，您可以同时选择多个可用区并在每个可用区下选择一个交换机实例以实现可用区级别的容灾。	杭州可用区H：选择交换机1 杭州可用区I：选择交换机2	杭州可用区H：选择交换机1 杭州可用区I：选择交换机2	青岛可用区B：选择交换机1 青岛可用区C：选择交换机2
高级配置	系统默认帮您选中以下三种高级功能。您可以依据实际需求取消选中一个或多个配置项。 VPC1、VPC2、VPC3均保持默认配置，即选中全部高级配置项。自动关联至转发路由器的默认路由表开启本功能后，VPC连接会自动关联至转发路由器的默认路由表，转发路由器通过查询默认路由表转发VPC实例的流量。自动传播系统路由至转发路由器的默认路由表开启本功能后，VPC实例会将自身的系统路由传播至转发路由器的默认路由表中，用于网络实例的互通。自动为VPC的所有路由表配置指向转发路由器的路由开启本功能后，系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目，其下一跳均指向VPC连接，用于引导VPC实例的IPv4流量进入转发路由器。转发路由器默认不向VPC实例传播路由。重要如果VPC的路由表中已经存在目标网段为10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由条目，则系统无法再自动下发该路由条目，您需要在VPC路由表中手动添加指向VPC连接的路由条目以实现VPC和转发路由器之间的流量互通。您可以单击发起路由检查查看网络实例内是否存在上述路由。如果VPC实例需要实现IPv6网络通信，创建VPC连接后，您需要为VPC连接开启路由同步功能或者在VPC实例的路由表中手动添加指向VPC连接的IPv6路由条目，VPC实例的IPv6流量才能进入转发路由器。

连接所有VPC后，同地域的VPC1与VPC2之间可以互相通信，VPC3与VPC1之间、VPC3与VPC2之间为跨地域网络，无法互相通信。为实现VPC3与VPC1、VPC3与VPC2的正常通信，还需要创建跨地域连接。

步骤五：创建跨地域连接

使用账号A登录云企业网管理控制台。
在云企业网实例页面，单击步骤一创建的云企业网实例ID。
在基本信息 > 转发路由器页签，找到目标地域的转发路由器实例，在操作单击创建网络实例连接。

在连接网络实例页面，根据以下信息配置跨地域连接，然后单击确定创建。

配置项	说明

配置项	说明
实例类型	选择跨地域连接。
地域	选择要互通的地域。本示例选择华东1（杭州）。
转发路由器	系统自动显示当前地域下转发路由器的实例ID。
连接名称	输入跨地域连接的名称。本示例输入`Inter-region connection`。
对端地域	选择要互通的对端地域。本示例选择华北1（青岛）。
转发路由器	系统自动显示当前地域下转发路由器的实例ID。
标签	为跨地域连接添加标签。本示例保持为空值。
带宽分配方式	跨地域连接支持以下带宽分配方式：按流量付费：按照跨地域连接实际使用的流量计费。从带宽包分配：从已经购买的带宽包中分配带宽。本示例选择按流量付费。说明选择按流量付费时，费用由云数据传输CDT产品结算。如果界面显示未开通CDT服务，请点击开通。
带宽	输入跨地域连接的带宽值。单位：Mbps。
默认链路类型	保持默认值。
高级配置	保持默认配置，即选中全部高级配置选项。自动关联至转发路由器的默认路由表开启本功能后，跨地域连接将与两个地域的转发路由器的默认路由表建立关联转发关系，两个地域的转发路由器将会通过查询默认路由表转发跨地域间的流量。自动传播系统路由至转发路由器的默认路由表开启本功能后，跨地域连接将与两个地域的转发路由器的默认路由表建立路由学习关系。自动发布路由到对端地域开启本功能后，即允许跨地域连接将本端转发路由器路由表（指与跨地域连接建立关联转发关系的路由表）下的路由自动传播至对端转发路由器的路由表（指与跨地域连接建立路由学习关系的路由表）中，用于网络实例跨地域互通。

步骤六：测试连通性

完成上述操作后，VPC1、VPC2、VPC3之间已经可以互相通信。以下内容为您展示如何测试3个VPC之间的连通性。

测试VPC1和VPC2之间的连通性。
1. 登录VPC1的ECS实例。具体操作，请参见ECS远程连接操作指南。
2. 在VPC1的ECS实例中执行ping命令，尝试访问VPC2的ECS实例。
```
ping <VPC2 ECS实例IP地址> 
```
  收到如下所示的回复报文，则表示VPC1和VPC2之间网络已连通，可以实现资源互访。
测试VPC3与VPC1之间的连通性。
1. 登录VPC3的ECS实例。
2. 在VPC3的ECS实例中执行ping命令，尝试访问VPC1的ECS实例。
```
ping <VPC1 ECS实例IP地址> 
```
  收到如下所示的回复报文，则表示VPC3和VPC1之间网络已连通，可以实现资源互访。
测试VPC3与VPC2之间的连通性。
1. 登录VPC3的ECS实例。
2. 在VPC3的ECS实例中执行ping命令，尝试访问VPC2的ECS实例。
```
ping <VPC2 ECS实例IP地址> 
```
  收到如下所示的回复报文，则表示VPC3和VPC2之间网络已连通，可以实现资源互访。

路由说明

在本示例中，连接VPC以及创建跨地域连接时，云企业网自动完成路由的分发和学习以实现VPC之间的相互通信：

华东1（杭州）和华北1（青岛）地域下的转发路由器实例自动学习VPC1、VPC2、VPC3的路由条目信息。
云企业网自动在VPC1、VPC2和VPC3实例的系统路由表中添加10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条自定义路由条目，下一跳均指向网络实例连接。
3个VPC通过上述三条路由条目将流量发送至转发路由器实例，通过转发路由器实例实现VPC之间的互相通信。

以下内容为您展示本示例中转发路由器实例、VPC1、VPC2和VPC3的路由条目信息，方便您了解本示例的路由原理。您可以在控制台查看对应实例的路由条目信息：

查看转发路由器实例路由条目信息，请参见查看企业版转发路由器路由条目。
查看VPC实例路由条目信息，请参见创建和管理路由表。

表 1. 华东1（杭州）地域转发路由器实例默认路由表的路由条目

目标网段	下一跳	路由类型
10.0.0.0/24	Attachment-for-VPC2	自动学习
10.0.1.0/24	Attachment-for-VPC2	自动学习
172.16.0.0/24	Inter-region connection	自动学习
172.16.1.0/24	Inter-region connection	自动学习
192.168.20.0/24	Attachment-for-VPC1	自动学习
192.168.21.0/24	Attachment-for-VPC1	自动学习

表 2. 华北1（青岛）地域转发路由器实例默认路由表的路由条目

目标网段	下一跳	路由类型
10.0.0.0/24	Inter-region connection	自动学习
10.0.1.0/24	Inter-region connection	自动学习
172.16.0.0/24	Attachment-for-VPC3	自动学习
172.16.1.0/24	Attachment-for-VPC3	自动学习
192.168.20.0/24	Inter-region connection	自动学习
192.168.21.0/24	Inter-region connection	自动学习

表 3. VPC1系统路由表的路由条目

目标网段	下一跳	路由类型
192.168.20.0/24	本地	系统
192.168.21.0/24	本地	系统
10.0.0.0/8	Attachment-for-VPC1	自定义
172.16.0.0/12	Attachment-for-VPC1	自定义
192.168.0.0/16	Attachment-for-VPC1	自定义

表 4. VPC2系统路由表的路由条目

目标网段	下一跳	路由类型
10.0.0.0/24	本地	系统
10.0.1.0/24	本地	系统
10.0.0.0/8	Attachment-for-VPC2	自定义
172.16.0.0/12	Attachment-for-VPC2	自定义
192.168.0.0/16	Attachment-for-VPC2	自定义

表 5. VPC3系统路由表的路由条目

目标网段	下一跳	路由类型
172.16.0.0/24	本地	系统
172.16.1.0/24	本地	系统
10.0.0.0/8	Attachment-for-VPC3	自定义
172.16.0.0/12	Attachment-for-VPC3	自定义
192.168.0.0/16	Attachment-for-VPC3	自定义