您可以使用已接入到阿里云接入点的物理专线,将本地IDC和不同地域、不同账号的VPC连接起来,实现本地IDC通过物理专线可以访问不同地域、不同账号的VPC中的资源。

场景示例

某企业在阿里云上开通了账号A,同时在华东1(杭州)拥有一个本地IDC(私网网段:172.16.0.0/12),并且在该地域创建了专有网络VPC1(私网网段:192.168.0.0/16)。账号A已经申请开通了一条物理专线将该企业本地IDC和专有网络VPC1连接起来。该企业的一个子公司在阿里云上开通了一个账号B,在账号B下的华北2(北京)地域创建了专有网络VPC2(私网网段:10.0.0.0/8)。现在子公司希望本地IDC也可以访问专有网络VPC2中的资源。

由于账号A已经购买了专线并已实现将本地IDC通过该专线连接到阿里云,所以子公司账号B可以复用这根专线,通过该专线可以实现账号B下的专有网络VPC2和本地IDC互通。

本文以下图场景为例介绍本地IDC如何通过专线访问跨账号跨地域的VPC2中的资源。架构图
本文阿里云账号A和阿里云账号B下的配置如下表所示。下表中“-”表示不涉及。
配置账号A账号B
专有网络VPC专有网络VPC1
  • 名称:VPC-1
  • 地域:华东1(杭州)
  • 网段:192.168.0.0/16
专有网络VPC2
  • 名称:VPC-2
  • 地域:华北2(北京)
  • 网段:10.0.0.0/8
边界路由器VBR边界路由器VBR
  • 名称:VBR-test
  • VLAN ID:0
  • 阿里云侧IPv4互联IP:10.100.1.2
  • 客户侧IPv4互联IP:10.100.2.10
  • IPv4子网掩码:255.255.255.0
-
VBR上连VBR上连2(发起端)
  • 发起端地域:华东1(杭州)
  • 发起端VBR实例名称:VBR-test
  • 接收端地域:华北2(北京)
  • 接收端VPC实例名称:VPC-2
VBR上连2(接收端)
  • 发起端地域:华东1(杭州)
  • 发起端VBR实例名称:VBR-test
  • 接收端地域:华北2(北京)
  • 接收端VPC实例名称:VPC-2

前提条件

  • 您已通过高速通道VBR上连1实现本地IDC与账号A下的专有网络VPC1的互通。
  • 因安全合规要求,VBR跨账号互联功能默认不开放,如需使用,请联系您的客户经理开通。具体操作,请参见创建跨账号VBR上连
  • 您已在账号B下的华北2(北京)地域创建了专有网络VPC2,且VPC2中使用云服务器ECS(Elastic Compute Service)等云资源部署了相关业务。具体操作,请参见搭建IPv4专有网络
  • 您已经了解VPC中ECS实例所应用的安全组规则,并确保安全组规则允许本地IDC与云上ECS实例互相访问。具体操作,请参见查询安全组规则添加安全组规则

配置流程

配置步骤

步骤一:申请物理专线端口并完成专线接入

您可以通过登录阿里云账号A的高速通道控制台自主创建物理专线(独享端口方式)或通过合作伙伴共享专线方式创建物理专线。本文选择自主创建物理专线(独享端口)方式。具体操作,请参见创建和管理独享专线连接

说明 当您选择通过合作伙伴共享专线方式创建物理专线时,您不需要完成物理专线的接入。具体操作,请参见合作伙伴操作指导

步骤二:为物理专线创建边界路由器

说明 本文选择通过独享专线的方式创建边界路由器。关于如何通过共享专线创建边界路由器,请参见创建VBR实例
  1. 使用阿里云账号A登录高速通道管理控制台
  2. 在顶部菜单栏,选择目标地域。本文选择华东1(杭州)
  3. 物理端口页面,找到已开通的物理专线,单击实例ID。
  4. 在物理端口详情页面,然后在边界路由器页签,单击创建边界路由器
  5. 创建边界路由器面板,配置以下参数,然后单击确定
    配置说明
    基础信息
    账号类型创建VBR的账号类型。默认选择当前账号,为当前登录的阿里云账号A创建VBR。
    名称

    输入VBR的名称。本文输入VBR-test

    物理专线接口信息
    物理专线接口选择VBR需要绑定的物理专线接口类型,确保物理专线施工完成且状态正常,然后在下拉列表中选择具体的物理专线接口。

    支持的物理专线接口类型如下:

    • 独享专线:为独享物理专线创建VBR。
    • 共享专线:为共享物理专线创建VBR。

    本文选择独享专线,然后在下拉列表中选择目标物理专线。

    VLAN ID输入VBR的VLAN ID,范围为0~2999。

    本文输入0

    设置VBR带宽值设置VBR的带宽值。

    本文设置为200Mb

    阿里云侧IPv4互联IP输入VPC通往本地IDC的路由网关IPv4地址。阿里云侧IPv4互联IP客户侧IPv4互联IP必须在同一个网段内。

    本文输入10.100.0.1

    客户侧IPv4互联IP输入本地IDC通往VPC的路由网关IPv4地址。
    说明 如果VPC中的云产品需要访问阿里云或客户侧IPv4互联IP地址时,您需要在VBR路由表中添加目标地址为阿里云或客户侧IPv4互联IP地址所在网段,下一跳指向物理专线的路由条目。关于如何添加路由条目,请参见添加自定义路由条目

    本文输入10.100.0.10

    IPv4子网掩码阿里云侧和客户侧IPv4地址的子网掩码。由于只需要两个IP地址,您可以选择位数多的子网掩码。

    本文输入255.255.255.0

    支持IPv6选择是否为VBR1开启IPv6功能。本文选择不开启
    • 不开启:默认值,不开启IPv6功能。
    • 开启:为VBR开启IPv6功能。IPv6功能开启后不支持关闭。为VBR配置以下参数:
      • 阿里云侧IPv6互联IP:输入VPC通往本地IDC的路由网关IPv6地址。阿里云侧IPv6互联IP客户侧IPv6互联IP必须在同一个网段内。
      • 客户侧IPv6互联IP:输入本地IDC通往VPC的路由网关IPv6地址。
      • IPv6子网掩码:阿里云侧和客户侧IPv6地址的子网掩码。

步骤三:创建VBR上连2并配置健康检查

  1. 跨账号VPC授权。
    1. 使用阿里云账号B登录专有网络管理控制台
    2. 在顶部菜单栏,选择VPC2实例的地域。本文选择华北2(北京)
    3. 专有网络页面,找到VPC2实例,单击实例ID。
    4. 在专有网络详情页面,单击边界路由器跨账号授权页签,然后单击边界路由器跨账号授权
    5. 边界路由器跨账号授权对话框中,根据以下信息进行配置,然后单击确定
      配置说明
      对方账号UID输入VBR实例所属阿里云账号A的账号ID。
      地域选择VBR实例所属的地域。本文选择华东1(杭州)
      边界路由器实例ID选择要授权的阿里云账号A下的VBR实例ID。
      • 授权至指定实例:表示将该VPC实例授权给阿里云账号A的目标地域下的VBR实例。
      • 授权至全部实例:表示将该VPC实例授权给阿里云账号A的目标地域下所有的VBR实例。

      本文选择授权至指定实例,然后在文本框中输入步骤二:为物理专线创建边界路由器中创建的VBR实例的实例ID。

      设置完成后,表示已授权成功。您可以在边界路由器跨账号授权页签下,查看已创建的授权信息。
      说明 您可以记录阿里云账号B的账号ID和VPC实例ID以便后续创建VBR上连。
  2. 创建VBR上连2(跨地域跨账号)。
    1. 使用阿里云账号A登录高速通道管理控制台
    2. 在左侧导航栏,选择专有网络对等连接 > VBR上连
    3. VBR上连页面,单击创建对等连接
    4. 创建VBR上连页面,配置以下参数信息。
      配置说明
      发起端地域选择发起端的VBR实例所在的地域。本文选择华东1(杭州)
      发起端VBR实例在下拉列表中选择发起端的VBR实例。本文选择步骤二:为物理专线创建边界路由器中创建的VBR实例。
      接收端地域类型选择接收端VPC实例所在地域类型。本文选择跨地域
      接收端地域选择接收端的地域。本文选择华北2(北京)
      接收端账号类型选择接收端VPC实例所属的阿里云账号类型。本文选择跨账号
      接收端账号ID当您选择阿里云账号类型为跨账号时,您需要选择接收端的账号ID。

      在下拉列表中选择接收端的账号ID。本文选择阿里云账号B的账号ID。

      接收端VPC实例选择接收端已授权过的VPC的实例ID,本文选择VPC2的实例ID。
      付费方式本文自动显示后付费按带宽
      选择带宽根据您的需要选择VBR上连2的带宽。
      费用详情系统自动显示带宽费用
    5. 选中我已阅读并同意高速通道-对等连接(后付费)服务协议,然后单击确定

      待连接成功后,发起端和接收端的状态均为已激活

步骤四:配置VBR的路由

您需要在VBR中添加通往本地IDC和VPC2的路由条目,引导和管理VPC2与本地IDC的流量实现流量的安全互访。

为VBR添加访问本地IDC的路由条目

配置VBR上的路由,将VBR访问本地IDC(网段:172.16.0.0/12)的流量转发至物理专线。

  1. 使用阿里云账号A登录高速通道管理控制台
  2. 在顶部菜单栏,选择目标地域。本文选择华东1(杭州)
  3. 在左侧导航栏,单击边界路由器(VBR),然后在边界路由器(VBR)页面,单击目标VBR实例ID。
  4. 在边界路由器详情页面,选择路由条目 > 自定义路由条目页签,然后单击添加路由条目
  5. 添加路由条目面板,配置路由条目,然后单击确定
    配置说明
    下一跳类型选择下一跳类型:
    • 专有网络:将目标网段的流量转发至选择的VPC。
    • 物理专线接口:将目标网段的流量转发至选择的物理专线接口。

    本文选择物理专线接口

    目标网段输入本地IDC的网段。

    本文输入172.16.0.0/12

    下一跳根据下一跳类型,选择接收流量的下一跳实例ID。

    本文选择步骤一:申请物理专线端口并完成专线接入创建的物理专线实例。

    描述输入路由条目的描述信息。

为VBR添加访问云上VPC的路由条目

配置VBR上的路由,将VBR访问云上VPC2(网段:10.0.0.0/8)的流量转发至VPC2。

  1. 使用阿里云账号A登录高速通道管理控制台
  2. 在顶部菜单栏,选择目标地域。本文选择华东1(杭州)
  3. 在左侧导航栏,单击边界路由器(VBR),然后在边界路由器(VBR)页面,单击目标VBR实例ID。
  4. 在边界路由器详情页面,选择路由条目 > 自定义路由条目页签,然后单击添加路由条目
  5. 添加路由条目面板,配置路由条目,然后单击确定
    配置说明
    下一跳类型选择下一跳类型:
    • 专有网络:将目标网段的流量转发至选择的VPC。
    • 物理专线接口:将目标网段的流量转发至选择的物理专线接口。

    本文选择专有网络

    目标网段输入本地IDC的网段。

    本文输入10.0.0.0/8

    下一跳根据下一跳类型,选择接收流量的下一跳实例ID。

    本文选择专有网络VPC2的实例ID。

    描述输入路由条目的描述信息。

步骤五:配置VPC2的路由

配置完VBR路由后,您需要配置VPC2的路由,将VPC2中访问本地IDC(网段:172.16.0.0/12)的流量转发至VBR。

  1. 使用阿里云账号B登录高速通道管理控制台
  2. 在顶部菜单栏,选择目标地域。本文选择华北2(北京)
  3. 在左侧导航栏,选择专有网络对等连接 > VBR上连
  4. VBR上连页面,找到目标接收端VBR实例,然后在接收端实例单击路由配置
  5. 基本信息面板,单击添加对端路由
  6. 添加路由条目对话框,输入目标网段(本地IDC的网段:172.16.0.0/12),然后单击确定

步骤六:配置本地IDC侧路由及健康检查

您需要为本地IDC的接入设备添加指向VPC2的路由,以实现本地IDC与VPC2流量的安全互访。同时需要配置健康检查探测报文的回程路由、健康检查以及健康检查和路由联动的配置,实现冗余物理专线接入阿里云。

  1. 配置本地IDC路由。

    不同厂商的设备,配置命令不同,以下示例仅供参考。具体配置命令,请您咨询设备厂商。

    #配置本地IDC去往云上VPC2的路由
ip route 10.0.0.0 255.255.0.0 10.100.1.2
  2. 配置本地IDC侧的健康检查。具体操作,请参见配置本地IDC侧的健康检查

步骤七:测试连通性

完成上述配置后,您需要测试物理专线的连通性。

  1. 在本地IDC侧,打开电脑端的命令行窗口。
  2. 执行ping命令,检查本地IDC与云上VPC2(网段:10.0.0.0/8)下的ECS实例是否连通。
    如果能ping通,则表示连接成功。