当您需要在不同VPC中的资源之间建立安全且高效的私网通信时,您可以通过云企业网、VPN 网关、VPC对等连接或私网连接(PrivateLink)等连接方式,满足您跨VPC资源互联的需求。
跨VPC互联解决方案介绍
云企业网
在您使用云企业网进行跨VPC互联时,您需要提前做好网络规划,确保需要互通的网段没有重叠。
云企业网通过转发路由器帮助您在跨地域或同地域VPC之间搭建私网通信通道。转发路由器通过Hub-Spoke的连接方式,只需要VPC以网络连接的方式加入转发路由器,转发路由器便会自动同步路由。
转发路由器的配置复杂度比较低,同时支持丰富的路由策略及QoS机制,可以实现复杂的组网及访问控制。然而,转发路由器自身具有带宽限制,同时也会收取流量处理费等费用,使用成本高于VPC对等连接。
VPC对等连接
在您使用VPC对等连接进行跨VPC互联时,您需要提前做好网络规划,建议需要互通的CIDR地址段不要重叠。
通过VPC对等连接实现不同VPC私网互通时,由于VPC对等连接的配置方式以及点对点的路由配置,当需要互联的VPC数目增多时,相应地配置复杂度也会增大,因此不适合大量VPC全连通的场景。然而,VPC对等连接具备无带宽限制、延迟低、同地域不收费等优点。
私网连接
私网连接能够将终端节点所在的VPC与终端节点服务所在VPC通过终端节点连接,建立安全稳定的私有连接,配置灵活,可满足不同的应用场景。私网连接不支持跨地域连接,只支持同地域互联。
使用私网连接实现VPC互通时,需要互通的终端节点所在VPC与终端节点服务所在VPC的网段可以重叠且互不影响。
通过私网连接实现不同VPC互通时,无需考虑地址冲突和路由配置,网络配置简单。且私网连接本身提供了较强的网络隔离和访问控制能力,安全可控。但私网连接仅支持单向访问,即只允许特定方向的连接请求。
VPN网关
在您使用VPN网关进行跨VPC互联时,您需要提前做好网络规划,确保需要互通的网段没有重叠。
通过VPN网关实现不同VPC私网互通时,由于需要创建VPN网关、用户网关和IPSec连接,还需要为VPN网关配置路由,因此配置复杂度高,不适合大量VPC连通的场景。
下表从网络连接的连接方式、带宽限制、延迟以及计费等方面对比通过云企业网的转发路由器、VPC对等连接、私网连接以及VPN网关实现不同VPC私网互通的差异。
对比项 | VPC对等连接 | 转发路由器 | 私网连接 | VPN网关 |
连接方式 | Full Mesh全连接方式,VPC两两之间建立对等连接。 | Hub-Spoke连接方式,VPC以网络连接方式加入转发路由器。 | 基于业务网元的连接, 类似于物理网络中负载均衡、防火墙等设备的连接。 | VPC两两之间通过VPN建立连接。 |
路由传播 | 不支持 | 支持 | 不支持 | 支持 |
配置复杂度 | 复杂度高,需要两两建立对等关系并相互配置对端路由。 | 复杂度低,VPC只需要加入转发路由器并配置路由指向转发路由器的网络连接即可。 | 复杂度低,私网连接无需考虑地址冲突和路由配置,网络配置简单。 | 配置复杂度高,需要创建VPN网关、用户网关和IPSec连接,并为VPN网关配置路由。 |
支持互联VPC数目 | 最多支持10个 | 最多支持1000个 | 无限制,超出配额可申请提升。 | 最多支持10个 |
延迟 | 低延迟,使用阿里云内网链路。 | 低延迟,使用阿里云内网链路。 | 低延迟,使用阿里云内网链路,私网连接只支持同地域互联。 | 高延迟,使用公网链路。 |
收费 | 同地域不收费,跨地域统一由云数据传输CDT(Cloud DataTransfer)收取出方向流量传输费。更多信息,请参见什么是云数据传输。 | 同地域收取连接费、流量处理费,跨地域收取带宽包实例费、连接费和流量处理费。更多信息,请参见计费说明。 | 私网连接开通时不产生费用。开通成功后,根据私网连接服务的实际使用量进行计费,按每小时出账。费用包含实例费和流量处理费。更多信息,请参见计费说明。 | 收取IPsec-VPN实例费、带宽费。更多信息,请参见 计费说明。 |
支持的地域 |
跨VPC互联解决方案示例
您可以将两个或两个以上VPC通过使用云企业网、VPN网关或者VPC对等连接的方式实现VPC之间的私网完全互通,使不同VPC内的资源可以实现资源互访。您可以通过私网连接将一个VPC的服务共享给其他VPC,这些VPC间不需要私网互通。
云企业网
云企业网可以帮助您在不同VPC之间实现同地域或跨地域网络互通。本文以下图场景为例介绍同地域3个VPC之间通过云企业网实现资源互访。
VPC对等连接
VPC对等连接是两个VPC之间的网络连接,您可以通过VPC对等连接,实现两个或两个以上VPC之间私网互通。当使用VPC对等连接实现两个以上的VPC私网互通时,需要VPC之间两两建立对等连接。本文以下图场景为例介绍3个VPC之间通过VPC对等连接实现资源互访。
创建VPC对等连接时,要连接的两端VPC,一个是发起端,另一个是接收端。发起端和接收端的VPC可以是同地域,也可以是跨地域的。
私网连接
私网连接的终端节点服务支持将负载均衡作为服务资源,您可以使用私网连接服务将一个VPC内的负载均衡服务资源共享给另外一个VPC,实现跨VPC私网访问负载均衡服务资源。本文以下图场景为例介绍两个VPC通过私网连接实现跨VPC私网访问传统型负载均衡CLB(Classic Load Balancer)的服务资源。
VPN网关
VPN网关可以通过IPsec-VPN加密隧道的方式在两个VPC之间建立安全连接,实现两个VPC内的资源互访。本文以下图场景为例介绍通过VPN网关实现2个VPC之间的资源互访。
当您需要通过VPN网关建立跨境连接(即一个VPC属于中国内地地域,另一个VPC属于非中国内地地域)时,跨境链路的状态不稳定,因此不建议您使用VPN网关进行跨境连接。如果您需要在VPC之间建立跨境连接,您可以使用云企业网产品。更多信息,请参见什么是云企业网。
跨VPC互联解决方案配置
方案分类 | 配置方法 |
云企业网 | |
VPC对等连接 | |
私网连接 |
|
VPN网关 |