使用VPC对等连接实现VPC私网互通

VPC对等连接是两个VPC之间的网络连接,支持IPv4或IPv6互连。您可以通过VPC对等连接实现IPv4或IPv6流量互通,从而实现同账号或跨账号的两个VPC间同地域或跨地域的私网互通。

场景示例

某企业分别在华北2(北京)华东2(上海)地域创建了VPC1和VPC2。

为实现资源安全互访,企业通过建立对等连接实现VPC1与VPC2之间的网络互通。跨地域流量不流经公网,有效避免了常见的数据泄漏DDoS攻击等安全威胁,确保资源访问的安全性。

说明

如果需要创建跨账号VPC对等连接,需确保发起端和接收端账号均已创建VPC。

image

操作步骤

步骤一:创建VPC对等连接

  1. 登录专有网络管理控制台。在顶部菜单栏处,选择发起端VPC所在地域,本文为华北2(北京)。在左侧导航栏,单击VPC对等连接

  2. 如果您是初次使用VPC对等连接,请在VPC对等连接页面,单击开通CDT功能,然后在弹出的对话框单击确定开通

    说明

    如果创建跨账号VPC对等连接,您需要确保接收端阿里云账号已经开通了CDT功能。

  3. VPC对等连接页面,单击创建对等连接,配置以下参数信息。

    E20A1099-C438-410B-9DBD-C0CDCB223EDF.png

    说明
    • 您可以创建同账号同地域同账号跨地域跨账号同地域以及跨账号跨地域的VPC对等连接。

    • 接收端账号为同账号时,发起端发起对等连接请求后,系统会自动建立连接,无需在接收端接收。

    • 接收端账号为跨账号时,发起端发起对等连接请求后,需要接收端接收连接请求后,才能建立VPC对等连接;接收端也可以拒绝连接请求,从而终止VPC对等连接的请求。接收端具体操作如下:

      1. 使用接收端账号登录专有网络管理控制台在左侧导航栏,单击VPC对等连接

      2. VPC对等连接页面,找到目标VPC对等连接,此时VPC对等连接的状态为接收中image根据实际场景选择是否接收请求:

        • 接收请求:VPC对等连接的状态由接收中变为更新中

          待VPC对等连接激活成功后状态变为已激活,表明该VPC对等连接可以正常使用。

        • 拒绝请求:VPC对等连接的状态由接收中变为已拒绝

          状态为已拒绝的VPC对等连接无法使用,可以在发起端或者接收端删除该VPC对等连接。

        • 如果接收端未对跨账号VPC对等连接请求做任何操作,7天后,该VPC对等连接进入已过期状态。

步骤二:配置路由

VPC对等连接创建完成且状态为已激活后,需要在VPC对等连接的两端添加指向对端的路由条目以实现VPC私网互通。

  1. VPC对等连接页面,找到已创建的VPC对等连接,在发起端VPC实例列/接收端VPC实例列单击配置路由条目

  2. 分别配置发起端VPC和接收端VPC的IPv4/IPv6路由条目。下图以IPv4路由条目配置为例。

    A5670115-E729-4548-B2A1-1C74843A220E.png

    配置项说明

    配置项

    说明

    专有网络

    系统自动显示当前发起端的VPC实例。

    路由表

    在下拉列表中选择该VPC实例所关联的路由表。

    目标网段

    • 为VPC对等连接配置IPv4路由

      选择目标网段类型为IPv4,输入接收端的IPv4 CIDR网段。

    • 为VPC对等连接配置IPv6路由

      选择目标网段类型为IPv6,输入接收端的IPv6 CIDR网段。

    下一跳

    系统自动显示下一跳对等连接实例。

说明

跨账号对等连接的场景下,您需要使用接收端账号登录专有网络管理控制台输入发送端VPC的IPv4/IPv6 CIDR网段,以配置接收端VPC的路由。

步骤三:互通性验证

  1. 登录ECS1实例,访问ECS2实例的私网IP地址。peer.pngpeer6.png

  2. 登录ECS2实例,访问ECS1实例的私网IP地址。peer2.pngpeer62.png

  3. 收到上图所示的返回报文,则表示VPC1和VPC2之间网络已连通。确认网络正常连通后,您即可在两个私网互通的VPC中搭建并使用业务,实现资源安全互访。

说明

若您的网络出现无法连通的异常情况,您可以使用网络智能服务NIS,结合反向路径分析,对以下配置进行排查,校验双向路径的连通性。

  • 确认对等连接两端的VPC已正确配置了以对端VPC网段为目标网段、下一跳为VPC对等连接的IPv4/IPv6路由条目。

  • 确认VPC内ECS实例的安全组,已配置放行对端IP的出/入方向规则。

  • 确认与交换机绑定的网络ACL,已配置放行对端IP的出/入方向规则。

更多操作

删除VPC对等连接

您可以删除不再需要的VPC对等连接。

重要

VPC对等连接删除后,您的私网访问能力也会中断,且删除后无法恢复,请您确保对业务无影响的情况下谨慎操作。

  1. VPC对等连接页面,找到需要删除的VPC对等连接,在操作列单击删除

  2. 在弹出的对话框,单击确定

    • 非强制删除:删除VPC对等连接前,需要将路由表中指向VPC对等连接的路由条目删除。

    • 强制删除:无需删除路由表中指向VPC对等连接的路由条目删除,系统会自动删除该路由条目。

      如需强制删除VPC对等连接,请在对话框中选中确认不影响业务,删除上述所有对等连接及配置的路由条目

修改跨地域VPC对等连接的带宽值

  1. VPC对等连接页面,找到要修改带宽的跨地域VPC对等连接,单击VPC对等连接的实例ID。

  2. 在VPC对等连接详情页面,在基本信息区域,在带宽(Mbps)右侧单击编辑

  3. 在弹出的对话框,输入要修改的带宽值,单击确定

    输入的带宽值为大于0的整数,最大值为1024

使用私网连接PrivateLink私网访问VpcPeer OpenAPI服务

说明

使用私网连接PrivateLink私网访问OpenAPI服务,当前支持的地域有:华东1(杭州)华东2(上海)华北1(青岛)华北2(北京)华南1(深圳)中国香港新加坡美国(硅谷)美国(弗吉尼亚)

  1. 登录终端节点控制台。在终端节点页面,单击创建终端节点

  2. 创建终端节点页面,根据以下信息配置终端节点,单击确定创建。此处仅列举和本文强相关的配置,其余参数的配置,请参见创建和管理终端节点。创建完成后,您可以通过终端节点域名vpcpeer.vpc-proxy.aliyuncs.com访问VPC对等连接API。

    配置

    说明

    终端节点类型

    本文选择接口终端节点

    终端节点服务

    选择目标终端节点服务。

    本文先单击阿里云服务,然后选择名称为com.aliyuncs.privatelink.cn-[Region-ID].vpcpeer的终端节点服务。

相关文档