多个云企业网使用共享服务_云企业网(CEN)-阿里云帮助中心

默认情况下，不同云企业网（CEN）之间网络相互隔离。您可以通过将单个VPC同时接入多个CEN，实现跨CEN的资源访问共享服务。

场景示例

以上图为例，如果您需要将VPC3设置为两个CEN的共享服务VPC，那么您可以将VPC3分别连接到TR1和TR2，并通过配置每个VPC的路由，最终实现：

VPC1和VPC3网络互通，VPC2和VPC3网络互通，但VPC1和VPC2网络隔离。

准备工作

开始操作前，请参考场景示例完成如下配置：

创建2个CEN实例，名称分别为CEN1和CEN2。每个CEN中创建1个转发路由器，名称分别为TR1和TR2，地域均为华东1（杭州）。
创建3个VPC，暂不连接到转发路由器。
创建3台ECS，分别部署在3个VPC下，名称分别为ECS1、ECS2、ECS3。

3个VPC的资源配置如下：

配置项	VPC1	VPC2	VPC3

配置项	VPC1	VPC2	VPC3
地域	华东1（杭州）	华东1（杭州）	华东1（杭州）
IPv4网段	10.0.0.0/8	172.16.0.0/12	192.168.0.0/16
交换机1	位于可用区J，网段为 10.0.0.0/24	位于可用区J，网段为 172.16.0.0/24	位于可用区J，网段为 192.168.0.0/24
交换机2	位于可用区K，网段为 10.0.1.0/24	位于可用区K，网段为 172.16.1.0/24	位于可用区K，网段为 192.168.1.0/24
ECS（均在交换机1下创建）	ECS1的IP地址：10.0.0.1	ECS2的IP地址：172.16.0.1	ECS3的IP地址：192.168.0.1

说明

如果您自行规划资源，请确保：
1. 3个VPC的网段没有重叠。
2. 在企业版转发路由器支持多可用区的地域，为实现可用区级别的容灾，您需要至少在2个不同的可用区下创建交换机。
关于如何创建各项资源，请查看：创建云企业网实例、创建转发路由器实例、创建VPC和交换机、创建ECS实例。

操作步骤

先将VPC连接至TR，然后配置每个VPC的路由表，最后进行测试验证。

第一步：将VPC连接到TR

本步需要创建4个VPC连接。先为您介绍创建每个VPC连接的通用步骤，具体创建时的配置项请查看步骤下方的表格。

登录云企业网管理控制台。在云企业网实例页面，找到目标云企业网实例，单击目标实例ID。（目标云企业网实例请查看下方表格）
在基本信息 > 转发路由器页签，找到目标地域的转发路由器实例，在操作单击创建网络实例连接。（目标转发路由器实例请查看下方表格）
在连接网络实例页面，根据下表信息进行配置，然后单击确定创建。

下表列出上述每步对应的配置项。

配置项		VPC1连接到TR1	VPC2连接到TR2	VPC3连接到TR1	VPC3连接到TR2

配置项		VPC1连接到TR1	VPC2连接到TR2	VPC3连接到TR1	VPC3连接到TR2
1.目标云企业网实例		`CEN1`	`CEN2`	`CEN1`	`CEN2`
2.目标转发路由器实例		`TR1`	`TR2`	`TR1`	`TR2`
3.连接网络实例	实例类型	专有网络（VPC）
	地域	华东1（杭州）
	资源归属UID	同账号
	付费方式	按量付费
	连接名称	`Attach1`	`Attach2`	`Attach3-1`	`Attach3-2`
	网络实例	VPC1	VPC2	VPC3	VPC3
	交换机	系统默认会自动选择每个VPC下创建的交换机杭州可用区J：交换机1 杭州可用区K：交换机2
	高级配置	选中前2个选项，不选中第3个选项。 ✅ 自动关联至转发路由器的默认路由表 ✅ 自动传播系统路由至转发路由器的默认路由表 ❌ 自动为VPC的所有路由表配置指向转发路由器的路由说明此处我们不选中第3个选项，即不让系统自动配置VPC的路由表，而是在后续步骤中手动配置。单击查看3个高级配置选项的说明自动关联至转发路由器的默认路由表开启本功能后，VPC连接会自动关联至转发路由器的默认路由表，转发路由器通过查询默认路由表转发VPC实例的流量。自动传播系统路由至转发路由器的默认路由表开启本功能后，VPC实例会将自身的系统路由传播至转发路由器的默认路由表中，用于网络实例的互通。自动为VPC的所有路由表配置指向转发路由器的路由开启本功能后，系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目，其下一跳均指向VPC连接，用于引导VPC实例的IPv4流量进入转发路由器。转发路由器默认不向VPC实例传播路由。重要如果VPC的路由表中已经存在目标网段为10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由条目，则系统无法再自动下发该路由条目，您需要在VPC路由表中手动添加指向VPC连接的路由条目以实现VPC和转发路由器之间的流量互通。您可以单击发起路由检查查看网络实例内是否存在上述路由。如果VPC实例需要实现IPv6网络通信，创建VPC连接后，您需要为VPC连接开启路由同步功能或者在VPC实例的路由表中手动添加指向VPC连接的IPv6路由条目，VPC实例的IPv6流量才能进入转发路由器。

第二步：配置VPC的路由表

在3个VPC的路由表中新增自定义路由条目。

登录专有网络管理控制台。
在左侧导航栏，单击路由表。
在顶部菜单栏，选择VPC实例所属的地域：华东1（杭州）。
在路由表页面，选择VPC1对应的路由表，单击路由表的实例ID。
在路由表详情页面，单击路由条目列表页签，再单击自定义路由条目页签。
单击添加路由条目，在弹出的添加路由条目面板中输入目标网段192.168.0.0/16，下一跳类型选择转发路由器，转发路由器选择Attach1，最后单击确定。

回到路由表页面，按照同样的方法，进入VPC2和VPC3对应的路由表并添加自定义路由条目。

每个VPC需要新增的自定义路由条目见如下表格：

VPC名称	目标网段	下一跳	路由类型

VPC名称	目标网段	下一跳	路由类型
VPC1	192.168.0.0/16	`Attach1`	自定义路由条目
VPC2	192.168.0.0/16	`Attach2`	自定义路由条目
VPC3	10.0.0.0/8	`Attach3-1`	自定义路由条目
VPC3	172.16.0.0/12	`Attach3-2`	自定义路由条目

第三步：测试验证

说明

操作前，请确保3台ECS的安全组规则放通了ICMP协议。具体操作，请参见查询安全组规则和添加安全组规则。

您可以登录ECS1实例，执行ping命令访问ECS3：

ping 192.168.0.1

如图所示，如果能ping通，则证明VPC1和VPC3已互通。

您可以利用同样的方法，验证互通和隔离：

登录ECS2实例，执行ping命令访问ECS3，如果能ping通，证明VPC2和VPC3已互通。
登录ECS1实例，执行ping命令访问ECS2，如果无法ping通，证明VPC1和VPC2之间网络相互隔离。

常见问题

1个阿里云账号下能创建多少个云企业网实例？

默认为5个，您可以申请提升，详见配额。

1个VPC能连接多少个转发路由器？

默认为5个，您可以申请提升，详见配额。

网络不通怎么办？

请依次检查路由、安全组、ECS操作系统自身的防火墙。

以本文的路由为例，ECS1要访问ECS3，您需要依次检查VPC1路由表、转发路由器路由表、VPC3路由表，确保路由表中有往返的路由条目。