文档

管理内网互通

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

轻量应用服务器使用阿里云自动分配的专有网络VPC(Virtual Private Cloud)进行网络隔离,默认情况下不与云服务器ECS、云数据库等其他处于专有网络VPC中的阿里云产品内网互通,您可以通过设置内网互通实现互联互通。本文介绍如何设置内网互通以及设置内网互通后管理VPC网络实例。

背景信息

云企业网CEN(Cloud Enterprise Network)可帮助您在不同地域的VPC之间、VPC与本地数据中心间搭建私网通信通道,实现同地域或跨地域网络互通。更多信息,请参见什么是云企业网

应用场景

同一阿里云账号下同一地域内的所有轻量应用服务器默认内网互通。内网互通主要适用于以下业务场景:

  • 轻量应用服务器通过内网访问云服务器ECS

  • 轻量应用服务器通过内网访问云数据库

说明

  • 同地域下轻量应用服务器与对象存储OSS(Object Storage Service)默认内网互通,无需通过设置内网互通实现。更多信息,请参见通过OSS内网地址访问OSS资源实现内网互通

  • 轻量应用负载均衡只能搭配轻量应用服务器一起使用,创建内网互通后也无法搭配同地域的云服务器ECS使用。

本文以下图场景为例。某企业在阿里云华东1(杭州)地域中有两个VPC,VPC1中包含多台轻量应用服务器实例,VPC2中包含多台ECS实例,企业希望VPC1中的轻量应用服务器实例和VPC2中的ECS实例可以内网互通。dadad

使用限制

  • 同一个阿里云账号下:

    • 同一个地域的所有的轻量应用服务器都处于同一个VPC中,一个VPC只能加入一个云企业网实例。

    • 不同地域的轻量应用服务器处于不同的VPC中,不同的VPC需分别执行内网互通的操作。

  • 如果某地域不存在轻量应用服务器,则无法执行内网互通的操作。

  • 轻量应用服务器控制台目前仅支持同账号同地域的内网互通操作,不收取流量费用,如果您有跨账号或跨地域的内网互通需求,请自行到云企业网控制台操作,但跨地域的内网互通会收取相关费用。更多信息,请参见计费概述跨账号VPC网络实例授权跨地域连接

  • 云企业网控制台执行的所有操作目前无法同步到轻量服务器控制台,建议您设置内网互通后,在轻量服务器控制台执行添加和移除VPC网络实例等操作。

  • 开启内网互通前,创建的同地域轻量服务器和轻量数据库实例可以通过内网连接;开启内网互通后,对应地域的轻量应用服务器底层VPC更换,与同地域的存量轻量数据库实例无法内网连接,只能公网连接。

    说明

    开启内网互通后,新创建的轻量数据库实例和同地域的轻量应用服务器可以内网连接。关于轻量数据库服务的更多信息,请参见轻量数据库服务概述

设置内网互通

警告

首次在某地域设置内网互通时,该地域下的轻量应用服务器将会停机大约1分钟,停机可能导致业务中断,建议您在业务低峰期执行该操作。

  1. 登录轻量应用服务器管理控制台

  2. 在左侧导航栏,单击内网互通

  3. 内网互通页面的左上角,单击内网互通

    如果首次使用内网互通功能时,系统会弹窗提示,单击确定授权后,系统将会自动创建一个服务关联角色。更多信息,请参见创建和删除服务关联角色

  4. 设置内网互通对话框,配置参数。

    具体参数说明如下表所示。

    参数

    说明

    地域

    选择需要连接的VPC网络实例所在的地域。例如:杭州。

    云企业网实例

    在下拉列表中,选择云企业网实例。如果下拉框中无可选云企业网实例,请选择自动创建,系统会为您自动创建一个云企业网实例。

    警告

    轻量应用服务器仅支持云企业网基础版实例,如果您选择了在云企业网控制台创建的云企业网企业版实例将导致轻量服务器内网互通功能不可用 。关于云企业网基础版和企业版的更多信息,请参见转发路由器的版本

    网络实例

    请选择需要连接的VPC网络实例ID,例如ECS实例所在的VPC ID。如果您需要选择多个VPC网络实例ID,可单击添加到批量选择栏后,继续选择。您也可以设置内网互通后,选择添加和移除VPC网络实例,具体操作,请参见添加和移除VPC网络实例

  5. 单击确定

    可在内网互通页面,查看添加的VPC网络实例。

  6. 验证连通性。

    本示例以同账号同地域轻量应用服务器和云服务器ECS为例,验证VPC1下的轻量应用服务器能否与VPC2下的ECS实例正常通信。默认您已在步骤5中选择VPC2网络实例。

    1. 远程连接轻量应用服务器。

      具体操作,请参见远程连接Linux服务器

    2. 通过ping命令,pingVPC2下的ECS实例的IP地址,验证轻量应用服务器和ECS实例之间的连通性。

      类似下图所示,表示轻量应用服务器和ECS实例可以正常通信。adasa

添加和移除VPC网络实例

设置内网互通后,您可以继续添加和移除VPC网络实例。

  • 添加VPC网络实例:添加VPC网络实例后,轻量应用服务器与该VPC网络实例下的其它云产品可互联互通。

  • 移除VPC网络实例:移除VPC网络实例后,轻量应用服务器与该VPC网络实例下的其它云产品将停止互联互通。

  1. 登录轻量应用服务器管理控制台

  2. 在左侧导航栏,单击内网互通

  3. 添加和移除VPC网络实例。

    • 添加VPC网络实例

      1. 内网互通页面,单击内网互通

      2. 设置内网互通对话框,选择地域、云企业网实例、VPC网络实例。更多信息,请参见内网互通配置说明表

      3. 单击确定

    • 移除VPC网络实例

      1. 在目标网络实例的操作列,单击移除

        说明
        • 移除VPC网络实例后,轻量应用服务器与该VPC网络实例下的其他云产品将停止互联互通。

        • 如果删除了服务关联角色AliyunServiceRoleForSwas,单击移除后会弹出对话框,单击确定重新授权后,可移除VPC网络实例。

      2. 在弹出的对话框中,单击确定

创建和删除服务关联角色

轻量应用服务器服务关联角色(AliyunServiceRoleForSwas)是访问控制提供的一种服务关联角色,用于授权轻量应用服务器服务访问关联云资源。通过AliyunServiceRoleForSwas,轻量应用服务器服务可以获得云企业网CEN、专有网络VPC等相关资源的访问权限,来实现内网互通功能。更多信息,请参见服务关联角色

权限说明

轻量应用服务器服务关联角色的权限说明如下:

  • 角色名称:AliyunServiceRoleForSwas。

  • 角色权限策略:AliyunServiceRolePolicyForSwas。

  • 权限说明:首次使用轻量应用服务器的内网互通功能时,需要您授权轻量应用服务器访问云企业网CEN、专有网络VPC等资源,实现内网互通功能。

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "vpc:DescribeVpcs",
                    "vpc:DescribeVSwitches"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "cen:CreateCen",
                    "cen:DescribeCens",
                    "cen:DescribeCenAttachedChildInstanceAttribute",
                    "cen:DescribeChildInstanceRegions",
                    "cen:DescribeGrantRulesToCen",
                    "cen:ModifyCenAttribute",
                    "cen:AttachCenChildInstance",
                    "cen:DetachCenChildInstance",
                    "cen:DeleteCen"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ram:DeleteServiceLinkedRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": "swas.aliyuncs.com"
                    }
                }
            }
        ]
    }

创建服务关联角色

在您首次使用轻量应用服务器的内网互通功能时,系统会检查当前阿里云账号下是否已有AliyunServiceRoleForSwas,如果不存在则需要您授权后系统自动创建。

AliyunServiceRoleForSwas包含系统权限策略AliyunServiceRolePolicyForSwas。服务关联角色包含的权限策略由对应的云服务定义和使用,您不能为服务关联角色添加、修改或删除权限。

删除服务关联角色

如果需要删除服务关联角色AliyunServiceRoleForSwas,您需确保阿里云账号下没有轻量应用服务器正在使用该角色,方可进行删除。具体操作,请参见删除RAM角色

说明

删除服务关联角色后,如果您还想继续使用内网互通功能,您可以在内网互通页面,单击内网互通,根据系统提示授权后,系统会重新自动创建服务关联角色。

  • 本页导读 (1)
文档反馈