共享VPC

更新时间: 2024-11-29 11:05:07

共享VPC允许多个阿里云账号(主账号)在一个集中管理、共享的VPC内创建云资源,例如云服务器ECS(Elastic Compute Service)、负载均衡SLB(Server Load Balancer)、云数据库RDS(Relational Database Service)等。共享VPC基于资源共享RS(Resource Sharing)机制,VPC的所有者可以将VPC内的非默认交换机共享给一个或多个目标阿里云账号(主账号)使用。

功能简介

VPC的所有者账号(资源所有者)可以将VPC内的非默认交换机共享给其他阿里云账号(主账号),其他阿里云账号(主账号)可以在共享的交换机内创建云资源。当前支持共享给同一企业组织内的阿里云账号(主账号),也支持共享给任意阿里云账号(主账号)。关于资源共享的更多信息,请参见什么是资源共享

VPC的所有者账号将交换机共享后:

  • 如果共享给另外一个阿里云账号(主账号)使用,资源使用者需要接受共享资源的邀请。

  • 如果在资源目录内共享,资源使用者无需确认,默认直接接受共享资源的邀请。

  • 资源使用者仅可在共享VPC内创建云资源,不可对共享VPC内已有的云资源变更VPC操作。

  • 资源使用者不可把非共享交换机中的云资源变更到共享交换机内。

  • 资源所有者和资源使用者在同一个VPC内创建的云资源默认私网互通。

共享VPC简图

资源所有者和资源使用者的权限

资源所有者将交换机共享给资源使用者后,资源所有者与资源使用者对共享交换机及共享交换机内云资源的操作权限如下表所示。

角色

支持的操作

不支持的操作

资源所有者

  • 支持创建、查看、修改、删除共享交换机中的由自身创建的资源。

  • 支持查看资源使用者在共享交换机中所创建的资源属性,当前只允许查看弹性网卡的资源属性,仅限:

    • 实例ID。

    • 私网IP地址。

    • 资源所属账号。

不支持修改、删除资源使用者在共享交换机中创建的任何资源。

资源使用者

当交换机处于共享状态时,资源使用者支持在共享交换机中创建云资源,修改、删除由自身创建的云资源。

当交换机处于共享状态时,资源使用者不支持查看、修改、删除共享交换机中其他账号(包含资源所有者和资源使用者)的任何资源。

当交换机处于取消共享状态时,资源使用者支持继续使用共享交换机中由自身创建的已有资源,也支持查看、修改、删除共享交换机中由自身创建的已有资源。

当交换机处于取消共享状态时,资源使用者不支持查看与共享交换机相关联的资源(例如VPC、路由表、私网网段、网络ACL),也不支持在已经取消共享的交换机中创建资源。

资源所有者与资源使用者对其他网络资源的操作权限如下表所示。

网络资源

资源所有者可执行的操作

资源使用者可执行的操作

VPC

全部操作权限。

仅支持查看共享给自己的交换机所属的VPC。

交换机

全部操作权限(包含开启和关闭交换机的IPv6功能)。

说明

如果要删除交换机,请确保交换机已取消共享,且该交换机中的资源(包括资源所有者和资源使用者创建的资源)已全部删除。

  • 查看共享的交换机。

  • 在共享的交换机内创建、修改、删除云资源。

路由表

全部操作权限。

仅支持查看共享给自己的交换机绑定的路由表以及路由条目。

网络ACL

全部操作权限。

仅支持查看共享给自己的交换机绑定的ACL。

网段

查看VPC及VPC内所有交换机的网段。

仅支持查看共享给自己的交换机的网段。

流日志

  • 支持创建VPC或交换机粒度的流日志,对资源所有者的交换机下的弹性网卡生效。

  • 支持创建弹性网卡粒度的流日志,仅对资源所有者的弹性网卡生效。

支持创建弹性网卡粒度的流日志,仅对资源使用者的弹性网卡生效。

NAT网关

公网NAT网关和VPC NAT网关的全部操作权限。

说明
  • 交换机中的资源(包括资源所有者和资源使用者创建的资源)可以通过公网NAT网关与互联网通信。

  • 公网NAT网关仅支持绑定资源所有者的弹性公网IP。

无操作权限。

VPN网关

全部操作权限。

说明

交换机中的资源(包括资源所有者和资源使用者创建的资源)可以通过VPN网关与VPC外部网络互通。

无操作权限。

云企业网

全部操作权限。

说明

交换机中的资源(包括资源所有者和资源使用者创建的资源)可以通过云企业网与VPC外部网络互通。

无操作权限。

VPC对等连接

全部操作权限。

说明

交换机中的资源(包括资源所有者和资源使用者创建的资源)可以通过VPC对等连接与VPC外部网络互通。

无操作权限。

标签

共享行为不影响资源所有者为资源配置的标签。

资源所有者将交换机共享给资源使用者后,资源所有者与资源使用者都可以为各自的资源配置标签,且标签互不可见也互不影响。当共享交换机取消共享后,系统会删除资源使用者在该共享交换机上配置的标签。

计费说明

在共享VPC中,每个资源使用者只需要为各自所创建的资源(例如,ECS实例、SLB实例和RDS实例等)付费,而网关资源(例如,公网NAT网关、VPN网关等)及公网带宽费由资源所有者支付。各种云资源的计费详情,请参见对应云资源的计费文档。

使用限制

功能发布及地域支持情况

区域

支持共享VPC的地域

亚太

华东1(杭州)华东2(上海)华北1(青岛)华北2(北京)华北3(张家口)华北5(呼和浩特)华北6(乌兰察布)华南1(深圳)华南2(河源)华南3(广州)西南1(成都)中国香港日本(东京)韩国(首尔)新加坡马来西亚(吉隆坡)印度尼西亚(雅加达)菲律宾(马尼拉)泰国(曼谷)

欧洲与美洲

德国(法兰克福)英国(伦敦)美国(硅谷)美国(弗吉尼亚)

中东

沙特(利雅得)

重要

沙特(利雅得)地域由合作伙伴运营。

配额限制

配额名称

描述

默认限制

提升配额

vpc_quota_sharedvpc_share_user_num_per_vpc

单个VPC支持共享的资源使用者的数量

50个

您可以通过以下任意方式自助提升配额:

vpc_quota_sharedvpc_share_user_num_per_vswitch

单个VPC内的单个交换机支持共享的资源使用者的数量

50个

vpc_quota_sharedvpc_accept_shared_vswitch_num

单个资源使用者支持接收的共享交换机的数量

30个

单个VPC可用的IP数量

资源所有者和资源使用者共享单个VPC的IP数量。

无法提升

支持在共享交换机下创建的云资源类型

  • ECS实例

  • SLB实例

  • RDS实例

  • 容器服务Terway组件

  • MongoDB实例

  • Redis实例

  • Kafka实例

  • Elasticsearch

  • ACR实例

  • PolarDB MySQL集群

  • RocketMQ实例

  • MSE注册配置中心

不涉及

共享VPC对安全组的限制

  • 资源使用者无法使用其他资源使用者或资源所有者拥有的安全组创建资源,包括默认安全组。

  • 资源所有者无法使用资源使用者拥有的安全组创建资源。

支持共享的交换机的类型

非默认交换机

说明

VPC的配额和使用限制仍以VPC为准,不因共享资源使用者的增加而变化。

相关文档

上一篇: 多账号管理 下一篇: 资源所有者开启VPC共享
阿里云首页 专有网络VPC 相关技术圈