将跨账号VPC加入云企业网实现网络互通-云企业网-阿里云

可将不同阿里云账号下的VPC加入到同一个云企业网中，实现跨账号的VPC互通。

场景示例

假设您拥有2个阿里云账号：

账号A：拥有两个VPC（VPC1、VPC2）和一个云企业网（CEN1）。
账号B：拥有一个VPC（VPC3）。

其中VPC1和VPC2已加入到云企业网CEN1，并已根据同地域VPC互通教程实现网络互通。

现计划将VPC3加入到云企业网CEN1中，实现3个VPC网络互通。

3个VPC的资源规划如下：

配置项	VPC1	VPC2	VPC3
所属账号	账号A	账号A	账号B
地域	华东1（杭州）	华东1（杭州）	华东1（杭州）
IPv4网段	10.0.0.0/16	172.16.0.0/16	192.168.0.0/16
交换机1	位于可用区J，网段10.0.0.0/24	位于可用区J，网段172.16.0.0/24	位于可用区M，网段192.168.0.0/24
交换机2	位于可用区K，网段10.0.1.0/24	位于可用区K，网段172.16.1.0/24	位于可用区N，网段192.168.1.0/24
ECS实例IP（用于验证连通性）	ECS1: 10.0.0.1	ECS2: 172.16.0.1	ECS3: 192.168.0.1

重要

如果您自行规划网络资源，请注意：

互通VPC的网段范围不能重叠。如果已存在重叠，请考虑重新规划网络，并将资源迁移到新的、网段不重叠的VPC中。
为实现可用区级别的容灾，在支持多可用区的地域，您需要至少在2个不同的可用区下分别创建1台交换机。

开始配置

仅需2步：

先登录账号B将VPC3跨账号授权给CEN1。
再登录账号A将VPC3加入到CEN1。

一、账号B：向账号A授权

控制台登录账号B，前往专有网络页面。

单击VPC3的实例ID进入详情页，切换到跨账号授权页签，单击云企业网跨账号授权，在弹窗中进行配置：

对方账号UID：填入账号A的阿里云账号（主账号）ID。
如何获取阿里云账号ID？
将鼠标悬浮到控制台右上角的头像获取：
对方云企业网实例ID：填入账号A中VPC1和VPC2加入的云企业网CEN1实例ID。
资费承担方式：本文选择默认的云企业网用户承担资费。
- 云企业网用户承担资费：账号A（云企业网的所属账号）支付VPC3连接到TR的连接费和流量处理费。
- 专有网络用户承担资费：账号B（VPC的所属账号）支付VPC3连接到TR的连接费和流量处理费。
  请谨慎选择资费承担方，后续变更资费承担方可能会影响您的业务。

二、账号A：将`VPC3`加入到`CEN1`

控制台登录账号A，前往云企业网实例页面。
单击CEN1的实例ID进入详情页，找到华东1（杭州）地域的转发路由器，在其操作列单击创建网络实例连接。

在连接网络实例页面进行配置：

实例类型：选择专有网络（VPC）。
地域：选择华东1（杭州）。
资源归属UID：选择跨账号，并填入账号B的阿里云账号ID（VPC3归属于账号B）。
连接名称：填入attach3。
网络实例：下拉选择VPC3对应的实例ID。
如果此处下拉选项为空，则代表未在账号B中将VPC3跨账号授权给CEN1。请检查上一步跨账号授权的配置，确保填写的对方账号UID为账号A的账号ID，且对方云企业网实例ID为当前操作的云企业网CEN1的实例ID。
交换机：系统自动选择VPC3内的2个交换机。
为实现多可用区容灾，系统会帮您自动勾选当前VPC下的2个可用区内的交换机。如果VPC3仅有1个交换机，需要至少再创建1个交换机，且这2个交换机必须位于不同可用区。
高级配置：保持默认全部勾选，具体解释详见路由说明。

测试验证

确保3台ECS的安全组已放行入方向的ICMP协议流量。
登录ECS3，执行ping命令访问ECS1:
```
ping 10.0.0.1
```
如果能ping通，则证明VPC3和VPC1已互通。可利用同样的方法，执行ping 172.16.0.1访问ECS2，验证VPC3和VPC2的连通性。

路由说明

创建VPC连接时，系统根据默认选中的3个高级功能自动完成路由相关的配置：

自动关联至转发路由器的默认路由表
开启本功能后，VPC连接会自动关联至转发路由器的默认路由表，转发路由器通过查询默认路由表转发VPC实例的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后，VPC实例会将自身的系统路由传播至转发路由器的默认路由表中，用于网络实例的互通。
自动为VPC的所有路由表配置指向转发路由器的路由
开启本功能后，系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目，其下一跳均指向VPC连接，用于引导VPC实例的IPv4流量进入转发路由器。转发路由器默认不向VPC实例传播路由。
重要
如果VPC实例需要实现IPv6网络通信，创建VPC连接后，您需要为VPC连接开启路由同步功能或者在VPC实例的路由表中手动添加指向VPC连接的IPv6路由条目，VPC实例的IPv6流量才能进入转发路由器。

配置完成后，转发路由器及VPC的路由表信息如下：

转发路由器默认路由表

目标网段	下一跳	路由类型
10.0.0.0/24	`attach1`	自动学习
10.0.1.0/24	`attach1`	自动学习
172.16.0.0/24	`attach2`	自动学习
172.16.1.0/24	`attach2`	自动学习
192.168.0.0/24	`attach3`	自动学习
192.168.1.0/24	`attach3`	自动学习

VPC1系统路由表

目标网段	下一跳	路由类型
10.0.0.0/24	本地	系统
10.0.1.0/24	本地	系统
10.0.0.0/8	`attach1`	自定义
172.16.0.0/12	`attach1`	自定义
192.168.0.0/16	`attach1`	自定义

VPC2系统路由表

目标网段	下一跳	路由类型
172.16.0.0/24	本地	系统
172.16.1.0/24	本地	系统
10.0.0.0/8	`attach2`	自定义
172.16.0.0/12	`attach2`	自定义
192.168.0.0/16	`attach2`	自定义

VPC3系统路由表

目标网段	下一跳	路由类型
192.168.0.0/24	本地	系统
192.168.1.0/24	本地	系统
10.0.0.0/8	`attach3`	自定义
172.16.0.0/12	`attach3`	自定义
192.168.0.0/16	`attach3`	自定义

常见问题

跨地域且跨账号的VPC如何互通？

整体流程与跨地域VPC互通教程类似，但区别是2个VPC属于不同账号。您只需在将每个VPC连接到对应地域的转发路由器之前，参考本文第一步完成跨账号授权即可。