文档

内网互通

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

轻量应用服务器使用阿里云自动分配的专有网络VPC(Virtual Private Cloud)进行网络隔离,默认情况下不与ECS实例、云数据库等其他处于专有网络VPC中的阿里云产品内网互通,您可以通过设置内网互通实现互联互通。本文介绍如何设置内网互通以及设置内网互通后管理VPC网络实例。

说明

轻量应用服务器控制台仅支持同账号同地域的内网互通且不收取费用。如果您有跨账号或跨地域的内网互通需求,请自行到云企业网控制台操作,但跨账号或跨地域的内网互通会收取相关费用。更多信息,请参见计费说明跨账号VPC网络实例授权跨地域连接

应用场景

同一阿里云账号下同一地域内的所有轻量应用服务器默认内网互通。内网互通主要适用于以下业务场景:

  • 轻量应用服务器通过内网访问ECS实例

  • 轻量应用服务器通过内网访问云数据库

说明

  • 同地域下轻量应用服务器与对象存储OSS(Object Storage Service)默认内网互通,无需通过设置内网互通实现。更多信息,请参见通过OSS内网地址访问OSS资源实现内网互通

  • 轻量应用负载均衡只能搭配轻量应用服务器一起使用,创建内网互通后也无法搭配同地域的云服务器ECS使用。

本文以下图场景为例。某企业在阿里云华东1(杭州)地域中有两个VPC,VPC1中包含多台轻量应用服务器实例,VPC2中包含多台ECS实例,企业希望VPC1中的轻量应用服务器实例和VPC2中的ECS实例可以内网互通。dadad

注意事项

  • 同一个阿里云账号下:

    • 同一个地域的所有的轻量应用服务器都处于同一个VPC中,一个VPC只能加入一个云企业网实例。

    • 不同地域的轻量应用服务器处于不同的VPC中,不同的VPC需分别执行内网互通的操作。

  • 云企业网控制台执行的所有操作目前无法同步到轻量服务器控制台,建议您设置内网互通后,在轻量服务器控制台执行添加和移除VPC网络实例等操作。

  • 开启内网互通前,创建的同地域轻量服务器和轻量数据库实例可以通过内网连接;开启内网互通后,对应地域的轻量应用服务器底层VPC更换,与同地域的存量轻量数据库实例无法内网连接,只能公网连接。具体操作,请参见通过DMS登录数据库(公网)

    说明

    开启内网互通后,新创建的轻量数据库实例和同地域的轻量应用服务器可以内网连接。关于轻量数据库服务的更多信息,请参见轻量数据库服务概述

费用说明

轻量应用服务器控制台目前仅支持同账号同地域的内网互通操作,且不收取流量费用。

设置内网互通

警告

首次在某地域设置内网互通时,该地域下的轻量应用服务器将会停机大约1分钟,停机可能导致业务中断,建议您在业务低峰期执行该操作。

  1. 登录轻量应用服务器管理控制台

  2. 在左侧导航栏,单击内网互通

  3. 内网互通页面的左上角,单击内网互通

    如果首次使用内网互通功能时,系统会弹窗提示,单击确定授权后,系统将会自动创建一个服务关联角色。更多信息,请参见创建和删除服务关联角色

  4. 设置内网互通对话框,配置参数。

    具体参数说明如下表所示。

    参数

    说明

    地域

    选择需要连接的VPC网络实例所在的地域。例如:杭州。

    云企业网实例

    在下拉列表中,选择云企业网实例。如果下拉框中无可选云企业网实例,请选择自动创建,系统会为您自动创建一个云企业网实例。

    警告

    轻量应用服务器仅支持云企业网基础版实例,如果您选择了在云企业网控制台创建的云企业网企业版实例将导致轻量服务器内网互通功能不可用 。关于云企业网基础版和企业版的更多信息,请参见转发路由器的版本

    网络实例

    请选择您要实现内网互通的VPC ID,可多选。

    设置内网互通后,您也可以根据需求添加和移除VPC网络实例,具体操作,请参见添加和移除VPC网络实例

  5. 单击确定

    可在内网互通页面,查看添加的VPC网络实例。

    说明

    如果界面提示网段冲突可能导致内网不能互通,建议您先验证是否可以内网互通,如果不能内网互通,解决方案请参见Q1:设置内网互通后,提示“可能存在网络冲突,开通后可能由于网络冲突无法完成内网互通”,如何解决?

  6. 验证连通性。

    本示例以同账号同地域轻量应用服务器和云服务器ECS为例,验证VPC1下的轻量应用服务器能否与VPC2下的ECS实例正常通信。默认您已在步骤5中选择VPC2网络实例。

    重要

    如果您需要实现轻量应用服务器与云数据库Redis版内网互通,设置内网互通后,还需将轻量应用服务器的私网IP地址或IP地址段添加到Redis实例的白名单中。具体操作,请参见设置白名单

    1. 远程连接轻量应用服务器。

      具体操作,请参见远程连接Linux服务器

    2. 通过ping命令,ping VPC2下的ECS实例的IP地址,验证轻量应用服务器和ECS实例之间的连通性。

      类似下图所示,表示轻量应用服务器和ECS实例可以正常通信。adasa

添加和移除VPC网络实例

设置内网互通后,您可以继续添加和移除VPC网络实例。

  • 添加VPC网络实例:添加VPC网络实例后,轻量应用服务器与该VPC网络实例下的其它云产品可互联互通。

  • 移除VPC网络实例:移除VPC网络实例后,轻量应用服务器与该VPC网络实例下的其它云产品将停止互联互通。

  1. 登录轻量应用服务器管理控制台

  2. 在左侧导航栏,单击内网互通

  3. 添加和移除VPC网络实例。

    • 添加VPC网络实例

      内网互通页面,单击内网互通

      设置内网互通对话框,选择地域、云企业网实例、VPC网络实例。更多信息,请参见内网互通配置说明表

      单击确定

    • 移除VPC网络实例

      在目标网络实例的操作列,单击移除

      说明
      • 移除VPC网络实例后,轻量应用服务器与该VPC网络实例下的其他云产品将停止互联互通。

      • 如果删除了服务关联角色AliyunServiceRoleForSwas,单击移除后会弹出对话框,单击确定重新授权后,可移除VPC网络实例。

      在弹出的对话框中,单击确定

创建和删除服务关联角色

服务关联角色说明如下

轻量应用服务器服务关联角色(AliyunServiceRoleForSwas)是访问控制提供的一种服务关联角色,用于授权轻量应用服务器服务访问关联云资源。通过AliyunServiceRoleForSwas,轻量应用服务器服务可以获得云企业网CEN、专有网络VPC等相关资源的访问权限,来实现内网互通功能。更多信息,请参见服务关联角色

权限说明

轻量应用服务器服务关联角色的权限说明如下:

  • 角色名称:AliyunServiceRoleForSwas。

  • 角色权限策略:AliyunServiceRolePolicyForSwas。

  • 权限说明:首次使用轻量应用服务器的内网互通功能时,需要您授权轻量应用服务器访问云企业网CEN、专有网络VPC等资源,实现内网互通功能。

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "vpc:DescribeVpcs",
                    "vpc:DescribeVSwitches"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "cen:CreateCen",
                    "cen:DescribeCens",
                    "cen:DescribeCenAttachedChildInstanceAttribute",
                    "cen:DescribeChildInstanceRegions",
                    "cen:DescribeGrantRulesToCen",
                    "cen:ModifyCenAttribute",
                    "cen:AttachCenChildInstance",
                    "cen:DetachCenChildInstance",
                    "cen:DeleteCen"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ram:DeleteServiceLinkedRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": "swas.aliyuncs.com"
                    }
                }
            }
        ]
    }

创建服务关联角色

在您首次使用轻量应用服务器的内网互通功能时,系统会检查当前阿里云账号下是否已有AliyunServiceRoleForSwas,如果不存在则需要您授权后系统自动创建。

AliyunServiceRoleForSwas包含系统权限策略AliyunServiceRolePolicyForSwas。服务关联角色包含的权限策略由对应的云服务定义和使用,您不能为服务关联角色添加、修改或删除权限。

删除服务关联角色

如果需要删除服务关联角色AliyunServiceRoleForSwas,您需确保阿里云账号下没有轻量应用服务器正在使用该角色,方可进行删除。具体操作,请参见删除RAM角色

说明

删除服务关联角色后,如果您还想继续使用内网互通功能,您可以在内网互通页面,单击内网互通,根据系统提示授权后,系统会重新自动创建服务关联角色。

常见问题

Q1:设置内网互通后,提示“可能存在网络冲突,开通后可能由于网络冲突无法完成内网互通”,如何解决?

image

A1:轻量应用服务器和其他VPC资源的网段存在冲突,可能会导致内网无法互通,建议您先验证是否可以内网互通,如果不能内网互通,具体解决方案,请参见云企业网中VPC实例下的交换机网段冲突的解决方法更换ECS实例的VPC

Q2:轻量应用服务器与云数据库Redis设置内网互通后,为啥不能内网互通?

A2:为保障Tair数据库的安全稳定,系统默认禁止所有IP地址访问Tair实例。设置内网互通后,您还需将轻量应用服务器的私网IP地址或IP地址段添加到Redis实例的白名单中。具体操作,请参见设置白名单

关于Redis实例登录方式的更多信息,请参见Redis实例登录方式

Q3:某地域下,仅设置内网互通的某台轻量应用服务器与目标ECS实例内网互通吗?

不是。设置内网互通后,轻量应用服务器所在的VPC与目标ECS实例所在VPC可以相互通信,实现资源互访。由于同一账号、同地域下的所有轻量应用服务器默认在同一个VPC下,所以同一账号、同地域下的所有轻量应用服务器与目标ECS实例所在的VPC中的所有ECS实例都可以实现内网互通。