基于VPC对等连接与转发路由器组合实现多VPC互通方案
基于TR的组网与VPC peer组网都有其适用场景,企业可以综合利用这两种组网方式来平衡可扩展性与成本。
方案概述
当企业有多个业务需要部署在云上,我们推荐通过账号来隔离不同资源,通过VPC来隔离网络。当不同业务之间需要网络互联,目前在云上要实现不同VPC网络的互联可以采用云企业网与对等连接。
本方案会介绍这两种连接方式的组合场景,让大型企业客户能够兼顾成本、网络可扩展性及时延。
方案优势
兼顾成本、时延及可扩展性
VPC对等连接具备无带宽限制、延迟低、同地域不收费。而转发路由器的Hub-Spoke连接方式,只需要VPC以网络连接的方式加入转发路由器,转发路由器便会自动同步路由。转发路由器的配置复杂度比较低,同时支持丰富的路由策略及QoS机制,可以实现复杂的组网及访问控制。
客户场景
多VPC并且部分VPC之间流量高
场景描述
客户有多个账号,并且每个账号内有业务VPC。存在两个或以上的VPC之间有高流量传输需求。
适用客户
- 使用资源目录管理云上多个账号的企业客户。
- 使用多个VPC来部署业务的企业客户。
- 对成本、网络时延、及网络可扩展性要求高的企业客户。
客户案例
客户背景
某自动驾驶企业X,由多个软件供应商(ISV)提供不同的软件。
客户诉求
不同软件供应商(ISV)需要登录到云控制台进行软件发布与运维。客户希望对供应商能够做到强隔离,包括资源管理、人员身份权限及财务隔离。有部分供应商的软件需要互相调用,并且调用数据量到PB级别。客户希望能够有一套可扩展、易管理且成本可控的组网方案。
实施方案
方案建议:
- 对于需要大数据量调用的两个VPC,推荐使用VPC对等连接。
- 其他VPC如果有需要调用在线业务中的服务,可以通过云企业网+转发路由器(TR)实现网络打通。
- 建议将云企业网部署在共享服务账号,这样可以将转发路由器的费用分摊给不同业务账号。
客户收益
- 借助VPC对等连接,极大降低跨VPC互联的流量费用。
- 借助转发路由器,可以将其他小流量的VPC组网,降低网络管理复杂度。
方案架构
VPC对等连接与转发路由器的对比如下表所示:
|
对比项 |
VPC对等连接 |
转发路由器 |
|
连接方式 |
Full Mesh全连接方式,VPC两两之间建立对等连接。 |
Hub-Spoke连接方式,VPC以网络连接方式加入转发路由器。 |
|
路由传播 |
不支持 |
支持 |
|
带宽限制 |
带宽无限制 |
受限于转发路由器的处理能力。 |
|
配置复杂度 |
复杂度高,需要两两建立对等关系并相互配置对端路由。 |
复杂度低,VPC只需要加入转发路由器并配置路由指向转发路由器的网络连接即可。 |
|
支持互联VPC数目 |
最大支持20个 |
最大支持200个 |
|
延迟 |
延迟低 |
由于流量经过转发路由器,会增加额外一跳的延迟。 |
|
收费 |
同地域不收费,跨地域收取出方向流量传输费。 |
收取实例费、流量处理费,跨地域收取出方向流量传输费。 |
双上表中可以看到这两种组网方式(VPC对等连接、转发路由器)有各自适用的场景与优势。如果同城不同VPC之间有大流量传输需求,那推荐企业客户可以组合使用。
产品费用及名词
产品费用
|
产品名称 |
产品说明 |
产品费用 |
|
专有网络VPC |
专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、SLB、RDS等。 |
免费 |
|
云企业网CEN |
云企业网可帮助您在不同地域专有网络VPC(Virtual Private Cloud)之间、VPC与本地数据中心间搭建私网通信通道,实现同地域或跨地域网络互通;同时,云企业网支持在地域内定义灵活的互通、隔离、引流策略,帮助您打造一张灵活、可靠、大规模的企业级全球互联网络。 |
免费 |
|
转发路由器TR |
转发路由器TR(Transit Router)提供连接网络实例、添加自定义路由表、添加路由条目、添加路由策略等丰富的网络互通和路由管理功能。本文为您介绍企业版和基础版转发路由器工作原理。 |
收费,详情参见产品定价。 |
|
VPC对等连接 |
VPC对等连接是两个VPC之间的网络连接,您可以通过VPC对等连接,实现两个VPC之间私网互通。您可以在您的VPC之间创建VPC对等连接,或者在您的VPC与其他阿里云账号的VPC之间创建VPC对等连接。建立VPC对等连接的VPC可以在同一个地域,也可以在不同地域。 |
同地域连接是免费,详情参见产品计费。 |
名词解释
|
名称 |
说明 |
|
路由 |
路由(routing)是指分组从源到目的地时,决定端到端路径的网络范围的进程 。路由工作在OSI参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。 |
|
路由表 |
企业版转发路由器连接网络实例后,通过路由表存储网络实例的路由。企业版转发路由器通过查询路由表中的路由条目信息转发网络实例的流量。 |
|
路由学习 |
路由学习功能控制网络实例的路由传播。网络实例连接与企业版转发路由器路由表建立路由学习关系后,网络实例的路由才被允许传播至企业版转发路由器路由表中。 |
|
自定义路由条目 |
企业版转发路由器路由表支持添加自定义路由条目。您可以通过在企业版转发路由器路由表中添加自定义路由条目辅助控制网络实例流量的转发。 |
|
路由策略 |
路由策略功能控制企业版转发路由器路由表的路由传播。您可以通过路由策略决定是否将企业版转发路由器路由表中的路由传播给网络实例或者其他地域的转发路由器,您也可以通过路由策略修改企业版转发路由器路由表中路由的属性。 |
安全性
VPC安全性
专有网络VPC具有安全可靠、灵活可控、灵活可用以及较强的可扩展性,详情参见产品优势及访问控制。
跨账号网络实例授权
在转发路由器实例连接其他账号的网络实例前,需要其他账号的网络实例对转发路由器实例进行授权。授权说明及操作详情参见跨账号网络实例授权。
注意事项
地域限制
转发路由器分为基础版和企业版。企业版转发路由器是基础版转发路由器的升级版,除包含基础版转发路由器的所有功能外,还支持定义灵活的路由策略。企业版转发路由器支持的地域和可用区可参考产品链接。
VPC对等连接所支持的地域,可以查看产品链接。
功能限制
- VPC对等连接不具备路由传递能力。
- 假设有3个VPC,分别为VPC1、VPC2和VPC3。其中VPC1和建立VPC2建立了VPC对等连接,VPC2和VPC3建立了VPC对等连接,但VPC1和VPC3不能通过VPC2做中转互通。
- VPC1与VPC2建立了VPC对等连接,VPC2通过VBR与本地IDC互通,但VPC1无法通过VPC2做中转与本地IDC互通。
- VPC对等连接不支持IPv6。
配额限制
VPC对等连接的配额限制:
|
资源 |
默认限制 |
申请限制 |
|
单个VPC支持的VPC对等连接数 |
10 |
|
|
单个阿里云账号单地域支持的VPC对等连接数 |
20 |
|
|
跨境带宽允许的最大值 |
1024 Mbps |
|
|
跨地域带宽允许的最大值 |
1024 Mbps |
实施步骤
场景规划
本文会介绍一个场景的实施步骤:
场景1:跨账号同地域多VPC通过对等连接与转发路由器组合组网。
实施准备
实施时长
在实施准备工作完成的情况下,本方案实施预计时长:30分钟。
操作步骤
场景一:跨账号同地域多VPC通过对等连接与转发路由器组合组网
数据规划
|
账号UID |
VPC名称 |
备注 |
VPC段 |
vSwitch段 |
ECS-IP |
|
账号A |
VPC1 |
连接到TR |
10.0.0.0/19 |
10.0.0.0/24 |
10.0.0.159 |
|
VPC2 |
配置VPC对等连接 |
10.0.32.0/19 |
10.0.32.0/24 |
10.0.32.246 |
|
|
账号B |
VPC3 |
连接到TR |
10.0.64.0/19 |
10.0.64.0/24 |
10.0.64.100 |
|
VPC4 |
配置VPC对等连接 |
10.0.96.0/19 |
10.0.96.0/24 |
10.0.96.151 |
说明:
- 为了简化配置,vSwitch没有将连接TR的单独出来,而是跟业务公用一个。
- 为了简化配置,云企业网也是直接部署在账号B这个账号内。而没有单独开一个共享账号。
配置VPC2与VPC4对等连接
具体操作可以参考官方文档。
完成这一步操作之后,登录VPC2下面的ECS(10.0.32.246)可以PING 通VPC4下面的ECS。
配置云企业网和转发路由器
1、登录账号B这个云账号,配置云企业网。操作见官方文档。
2、配置转发路由器,添加VPC连接,操作见官方文档。
这一步,可以将VPC3、VPC4添加到TR里面。
3、配置VPC跨账号网络实例授权
登录账号A账号,完成跨账号网络实例授权。操作见官方文档。需要完成VPC1、VPC2的跨账号授权。
切换到账号B账号,继续配置转发路由器,添加VPC连接,操作见官方文档。这一步完成将VPC1、VPC2添加到TR。
配置完成之后TR的截图:
完成这步操作之后,登录VPC1下面的ECS(10.0.0.159)可以PING通其他三个VPC下面的ECS。
验证VPC2到VPC4的流量走的是VPC对等连接而不是转发路由器
从VPC2中的ECS(10.0.32.246)发起PING 大包请求到其他VPC的ECS。从TR的监控数据来看
VPC2对应的TR流量(源端):
VPC3/VPC1对应的TR流量(目标端):
VPC4对应的TR流量(走的是VPC对等连接而非TR):
从TR的监控数据来看,可以证明VPC2到VPC4的路由是没有走TR转发的。
故障排除
CEN常见问题
CEN常见问题详情参见常见问题。
VPC常见问题
VPC常见问题详情参见常见问题。
ECS实例间ping不通的排查思路
ECS实例ping不通可以参见排查思路。
方案卸载
删除VPC对等连接
当您不再需要VPC对等连接时,您可以删除该VPC对等连接。
- 非强制删除:删除VPC对等连接前,需要将路由表中指向VPC对等连接的路由条目删除。关于如何删除自定义路由条目,请参见添加和删除路由表中的路由条目。
- 强制删除:无需删除路由表中指向VPC对等连接的路由条目删除,系统会自动删除该路由条目。
VPC对等连接删除后,您的业务也会中断,且删除后无法恢复,请您确保对业务无影响的情况下谨慎操作。
- 登录专有网络管理控制台。
- 在VPC对等连接页面,找到需要删除的VPC对等连接,然后在操作列单击删除。
- 在弹出的对话框,单击确定。如需强制删除VPC对等连接,请在对话框中选中强制删除。
删除网络实例连接
前提条件
- 如果您需要删除企业版转发路由器中的网络实例连接,请确保满足以下条件:
- 目标网络实例连接未关联自定义路由表。关于如何解除关联关系,请参见删除关联转发关系。
- 目标网络实例连接未创建路由学习关系。关于如何解除路由学习关系,请参见删除路由学习关系。
- 如果您要删除VPC连接,请确保VPC实例的路由表中不存在下一跳指向转发路由器的路由条目。关于如何删除VPC中的路由条目,请参见添加和删除路由表中的路由条目。
- 企业版转发路由器的路由表中不存在下一跳指向目标网络实例连接的自定义路由条目。关于如何删除转发路由器路由表下的自定义路由条目,请参见删除企业版转发路由器自定义路由条目。
- 企业版转发路由器的路由表中不存在下一跳指向目标网络实例连接,且由前缀列表生成的路由条目。您可以通过解绑前缀列表删除路由条目,具体操作,请参见解绑前缀列表。
- 如果您需要删除基础版转发路由器中的网络实例连接,请直接参见本文内容进行操作。
删除网络实例连接
- 登录云企业网管理控制台。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
- 在基本信息 > 转发路由器页签,根据目标网络实例所属的地域,找到该地域下的转发路由器实例,单击转发路由器实例ID。
- 在地域内连接管理页签,找到目标网络实例连接,在操作列单击卸载。
- 在卸载实例对话框,确认实例信息,然后单击确认。
