通过共享VPC,您可以将VPC内的交换机资源共享给不同的阿里云账号使用。不同账号可以在共享VPC下创建云资源,同一个VPC内的云资源默认网络互通。
共享VPC的使用场景包括:
统一规划:例如运维部门集中规划、配置和管理VPC,并将VPC的交换机共享给业务部门。业务部门只能查看和管理自己交换机中的资源,可以根据业务需求添加或删除交换机中的云服务器、数据库等资源。
网络集中管理:将VPC的交换机在多账号间进行共享,不用为每个账号单独配置VPC,从而极大减少了VPC的使用数量,降低网络复杂度,实现对网络的集中管理。同时可以通过网络ACL和安全组,实现跨交换机级别和跨实例级别的安全隔离。
默认VPC不支持共享,建议您先自定义创建VPC,再使用共享VPC功能。关于什么是默认VPC,请查看默认专有网络和交换机。
本文的账号指的是阿里云账号(主账号),而非RAM用户(子账号)。
原理示例
如图以账号A将VPC共享给账号B为例,步骤为:
账号A开启VPC共享,将VPC内的交换机共享给账号B。
账号B在共享交换机中创建云资源,创建云资源时选择已共享的交换机,创建后云资源能够与账号A在VPC内的云资源网络互通。
在示例场景中:
账号A是资源所有者,即共享交换机的资源所有权归属于账号A。
账号B是资源使用者,即账号B仅对共享交换机有使用权,没有管理权。
账号A和账号B具体权限的区别,请查看使用限制。
支持在共享交换机下创建的云资源类型
账号A将VPC内的交换机共享给账号B后,账号B可以在共享交换机下创建ECS、RDS等云资源。支持创建的云资源及其对应的文档链接如下:
计费说明
共享VPC功能本身不收费。在共享VPC中,每个资源使用者只需要为各自所创建的资源(例如,ECS实例、SLB实例和RDS实例等)付费,而网关资源(例如,公网NAT网关、VPN网关等)及公网带宽费由资源所有者支付。各种云资源的计费详情,请参见对应云资源的计费文档。
操作步骤
下面以账号A将VPC共享给账号B为例,为您讲述使用VPC共享的具体操作步骤。
步骤1:账号A开启VPC共享
账号A开启VPC共享,有2种方式:
共享给任意账号:操作简单,适用于少量账号之间共享资源。
在资源目录内共享:操作较为复杂,企业可以基于自身的组织结构或业务形态,使用资源目录集中规划、配置和管理VPC,通过共享VPC快速实现多账号间的网络互通。
请根据实际需求,查看对应的共享方式:
资源所有者可以将资源共享给任意的资源使用者,资源所有者和资源使用者不区分是否已加入资源目录。
将资源共享给任意账号,主要存在以下几个场景:
未加入资源目录的阿里云账号,可以将资源共享给单个阿里云账号。
资源目录的管理账号或成员,可以将资源共享给资源目录外的单个阿里云账号。
资源目录的管理账号或成员,可以将资源共享给本资源目录及其下的资源夹或成员。
仅支持共享给当前登录账号所在的资源目录,不支持跨资源目录共享。
下文提供一个示例,阿里云账号A将自己账号内的VPC交换机,共享给另外一个阿里云账号B。阿里云账号A和阿里云账号B均未加入资源目录。
1. 创建共享单元
阿里云账号A创建共享单元,然后添加需要共享的VPC交换机,最后添加阿里云账号B为资源使用者。
使用阿里云账号A登录资源共享控制台。
在左侧导航栏,选择资源共享>我的共享。
在顶部菜单栏左上角处,选择共享资源所在的地域。
单击创建共享单元。
在配置基本信息并添加资源页面,输入共享单元名称,然后选中需要共享的VPC交换机,最后单击下一步。
在关联权限页面,选择共享权限AliyunRSDefaultPermissionVSwitch,然后单击下一步。
在关联资源使用者页面,添加资源使用者,然后单击下一步。
在资源使用者类型下拉列表中,选择阿里云账号。
在使用者ID区域,输入阿里云账号B的ID。
单击添加。
在确认并提交页面,单击确定。
2. 接受共享邀请
阿里云账号B接受阿里云账号A发出的共享VPC交换机的邀请。
使用阿里云账号B登录资源共享控制台。
在左侧导航栏,选择资源共享>共享给我。
在共享给我页面,单击目标共享单元状态列的接受。
在接受资源共享对话框,单击确定。
接受后,阿里云账号B就可以访问共享的VPC交换机,且后续该共享单元新增的共享资源将默认接受共享邀请。
资源目录的管理账号或成员,可以在资源目录内,将资源共享给整个资源目录及其下的资源夹或成员。
1. 使用资源目录管理多账号
阿里云资源目录支持企业通过创建成员和邀请成员两种方式将企业所有账号集中在一个资源目录内进行管理。请使用资源目录的管理账号完成以下操作。更多信息,请参见资源管理最佳实践。
开通资源目录。
具体操作,请参见开通资源目录。
根据企业组织结构创建资源夹。
具体操作,请参见创建资源夹。
创建成员或邀请成员。
具体操作,请参见创建成员或邀请阿里云账号加入资源目录。
2. 启用资源目录组织共享
使用资源目录管理账号登录资源共享控制台。
在左侧导航栏,选择资源共享>设置。
单击启用。
在资源共享服务关联角色对话框,单击确定。
系统会自动创建一个名为AliyunServiceRoleForResourceSharing的服务关联角色,用于获取资源目录的组织信息。更多信息,请参见资源共享服务关联角色。
3. 创建共享单元
资源所有者在资源共享控制台创建共享单元,然后添加需要共享的VPC资源和资源使用者。
创建共享单元,并添加需要共享的VPC资源和资源使用者。
查看共享单元详情。
在共享单元列表中,查看共享单元ID/名称、状态、允许共享给任意账号和创建时间。
如果共享单元状态显示为已启用,表示共享单元创建成功。
单击共享单元ID链接,查看共享单元详情。
如果共享的资源和资源使用者区域的共享状态显示为已关联时,表示共享的资源和资源使用者添加成功。资源共享后,资源使用者在接受资源目录邀请后便可在共享的交换机内创建云资源。具体操作,请参见资源使用者在共享交换机中创建云资源。
如果共享的资源和资源使用者区域的共享状态显示为关联失败,则表示共享失败。共享失败的可能原因如下,请您排查后再添加要共享的交换机:
要共享的资源使用者的账号与资源所有者的账号相同,即资源所有者不能将自己的交换机共享给自己。
单个VPC共享的资源使用者的数量超过了50个。
单个VPC内的单个交换机共享的资源使用者的数量超过了50个。
单个资源使用者接收的共享交换机的数量超过了30个。
如果要取消共享,可以移除共享交换机,具体操作,请参见移除共享交换机。如果直接删除共享单元,与该共享单元关联的所有资源使用者都将失去对共享资源的访问权限。删除共享单元不会删除共享资源。
步骤2:账号B在共享交换机中创建云资源
账号A将VPC内的交换机共享给账号B后,账号B(资源使用者)可以在共享交换机中创建云资源。
此处讲述账号B的操作,分为2步:
查看共享交换机,确认已经正常收到创建的云资源。
在共享交换机中创建云资源。
查看共享交换机
- 登录专有网络管理控制台。
在左侧导航栏,单击交换机。
在顶部状态栏处,选择共享交换机的地域。
在交换机页面,查看共享交换机。
共享交换机会标记为来自共享。
登录资源管理控制台。
在左侧导航栏,选择。
在顶部状态栏处,选择要查看共享交换机的地域。
在共享给我页面,单击共享单元ID。
在资源区域,查看共享交换机的信息。
在共享交换机创建云资源
资源使用者可以在共享交换机中创建不同类型的云资源,您可以通过交换机页面创建云服务器ECS、云数据库RDS等云资源实例,步骤如下:
- 登录专有网络管理控制台。
在左侧导航栏,单击交换机。
在顶部状态栏,选择共享交换机的地域。
在交换机页面,找到目标共享交换机,在操作列单击创建,然后选择要创建的云资源。
步骤3(可选):管理共享交换机和使用者
将VPC内的交换机共享给其他账号后,您可以管理共享交换机,也可以管理共享交换机的使用者。
以账号A将交换机共享给B为例,本流程讲述账号A(资源所有者)的管理操作。
添加共享交换机
您已创建共享单元开启了VPC共享,具体操作,请参见资源所有者开启VPC共享。
登录资源管理控制台。
在左侧导航栏,选择。
在顶部状态栏处,选择要添加共享交换机的地域。
共享交换机支持的地域信息,请参见使用限制。
在我的共享页面,共享单元页签,找到目标共享单元,单击共享单元ID。
在目标共享单元页面,单击右上方编辑共享单元。
在配置基本信息并添加资源页签 ,然后在资源区域选中需要添加共享的VPC交换机实例,然后单击下一步。
在关联权限页签,选择共享权限AliyunRSDefaultPermissionVSwitch,然后单击下一步。
在关联资源使用者页签,确认资源使用者的阿里云账号UID,然后单击下一步。
在确认并提交页签,确认已添加的共享单元信息后,单击确定。
添加共享交换机后,您可以查看共享交换机的共享状态。
如果共享的资源和资源使用者区域的共享状态显示为已关联时,表示共享的资源和资源使用者添加成功。资源共享后,资源使用者在接受资源目录邀请后便可在共享的交换机内创建云资源。具体操作,请参见资源使用者在共享交换机中创建云资源。
如果共享的资源和资源使用者区域的共享状态显示为关联失败,则表示共享失败。共享失败的可能原因如下,请您排查后再添加要共享的交换机:
要共享的资源使用者的账号与资源所有者的账号相同,即资源所有者不能将自己的交换机共享给自己。
单个VPC共享的资源使用者的数量超过了配额(默认为50个)。
单个VPC内的单个交换机共享的资源使用者的数量超过了配额(默认为50个)。
单个资源使用者接收的共享交换机的数量超过了配额(默认为30个)。
查看已共享的交换机
登录资源管理控制台。
在左侧导航栏,选择。
在顶部状态栏处,选择要查看共享交换机的地域。
在我的共享页面,单击共享的资源页签,查看该账号下所有已共享的交换机。
可选:找到目标共享交换机,单击共享单元列下的查看,查看该共享交换机所属的共享单元。
可选:找到目标共享交换机,单击资源使用者列下的查看,查看该共享交换机的使用者。
移除共享交换机
您可以移除已共享的交换机,移除后,资源使用者将不能在该交换机下创建云资源。
登录资源管理控制台。在左侧导航栏,选择。在顶部状态栏,选择要移除共享交换机的地域。
在我的共享页面,共享单元页签,找到目标共享单元,单击共享单元ID。
在目标共享单元页面,单击右上方编辑共享单元。
在配置基本信息并添加资源页签,取消选中目标共享的VPC交换机实例,然后单击下一步。
在关联权限页签,单击下一步。
在关联资源使用者页签,确认资源使用者的阿里云账号UID,然后单击下一步。
在确认并提交页签,单击确定。
添加共享交换机的使用者
您可以向共享单元中添加新的资源使用者,添加成功后,该资源使用者也可以在共享的交换机下创建云资源。
登录资源管理控制台。
在左侧导航栏,选择。
在顶部状态栏处,选择要添加共享交换机的使用者的地域。
在我的共享页面,共享单元页签,找到目标共享单元,单击共享单元ID。
在目标共享单元页面,单击右上方编辑共享单元。
在关联资源使用者页签,确认新的资源使用者的阿里云账号UID,然后单击下一步。
在确认并提交页签,确认已添加的共享单元信息后,单击确定。
查看共享交换机的使用者
共享交换机后,您可以查看共享交换机的使用者,包括使用者ID、使用者类型、共享单元数量和可以使用的交换机数量。
登录资源管理控制台。
在左侧导航栏,选择。
在顶部状态栏处,选择要查看共享交换机的使用者的地域。
在我的共享页面,单击资源使用者页签,查看该账号下的所有资源使用者。
可选:找到目标资源使用者,单击共享单元列下的查看,查看该资源使用者所属的共享单元。
可选:找到目标资源使用者,单击共享的资源列下的查看,查看该资源使用者可以使用的共享交换机。
移除共享交换机的使用者
您可以移除已添加的资源使用者,移除后,该资源使用者将不能在共享的交换机下创建云资源。
登录资源管理控制台。
在左侧导航栏,选择。
在顶部状态栏处,选择要移除共享交换机的使用者的地域。
在我的共享页面,共享单元页签,找到目标共享单元,单击共享单元ID。
在目标共享单元页面,单击右上方编辑共享单元。
在配置基本信息并添加资源页签,单击下一步。
在关联权限页签,单击下一步。
在关联资源使用者页签,在已添加的资源使用者区域,找到目标使用者ID,单击操作列的移除,然后单击下一步。
在确认并提交页签,单击确定。
使用限制
资源所有者和资源使用者的权限
资源所有者将交换机共享给资源使用者后,资源所有者与资源使用者对共享交换机及共享交换机内云资源的操作权限如下表所示。
角色 | 支持的操作 | 不支持的操作 |
角色 | 支持的操作 | 不支持的操作 |
资源所有者 |
| 不支持修改、删除资源使用者在共享交换机中创建的任何资源。 |
资源使用者 | 当交换机处于共享状态时,资源使用者支持在共享交换机中创建云资源,修改、删除由自身创建的云资源。 | 当交换机处于共享状态时,资源使用者不支持查看、修改、删除共享交换机中其他账号(包含资源所有者和资源使用者)的任何资源。 |
当交换机处于取消共享状态时,资源使用者支持继续使用共享交换机中由自身创建的已有资源,也支持查看、修改、删除共享交换机中由自身创建的已有资源。 | 当交换机处于取消共享状态时,资源使用者不支持查看与共享交换机相关联的资源(例如VPC、路由表、私网网段、网络ACL),也不支持在已经取消共享的交换机中创建资源。 |
资源所有者与资源使用者对其他网络资源的操作权限如下表所示。
分类 | 网络资源 | 资源所有者可执行的操作 | 资源使用者可执行的操作 |
分类 | 网络资源 | 资源所有者可执行的操作 | 资源使用者可执行的操作 |
VPC相关 | VPC | 全部操作权限。 如果要删除交换机,请确保交换机已取消共享,且该交换机中的资源(包括资源所有者和资源使用者创建的资源)已全部删除。 | 仅支持查看共享给自己的交换机所属的VPC。 |
交换机 |
| ||
路由表 | 仅支持查看共享给自己的交换机绑定的路由表以及路由条目。 | ||
网络ACL | 仅支持查看共享给自己的交换机绑定的ACL。 | ||
网段 | 仅支持查看共享给自己的交换机的网段。 | ||
安全组 | 无法使用资源使用者拥有的安全组创建资源。 | 无法使用其他资源使用者或资源所有者拥有的安全组创建资源,包括默认安全组。 | |
运维监控 | 流日志 |
| 支持创建弹性网卡粒度的流日志,仅对资源使用者的弹性网卡生效。 |
网络连接 | NAT网关 | 全部操作权限。
| 无操作权限。 |
VPN网关 | |||
云企业网 | |||
VPC对等连接 | |||
其他 | 标签 | 共享行为不影响资源所有者为资源配置的标签。 资源所有者将交换机共享给资源使用者后,资源所有者与资源使用者都可以为各自的资源配置标签,且标签互不可见也互不影响。当共享交换机取消共享后,系统会删除资源使用者在该共享交换机上配置的标签。 | |
地域支持情况
区域 | 支持共享VPC的地域 |
区域 | 支持共享VPC的地域 |
亚太-中国 | 华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港 |
亚太-其他 | 日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 沙特(利雅得) 沙特(利雅得)地域由合作伙伴运营。 |
配额限制
VPC的配额和使用限制仍以VPC为准,不因共享资源使用者的增加而变化。
配额名称 | 描述 | 默认限制 | 提升配额 |
配额名称 | 描述 | 默认限制 | 提升配额 |
vpc_quota_sharedvpc_share_user_num_per_vpc | 单个VPC支持共享的资源使用者的数量 | 50个 | |
vpc_quota_sharedvpc_share_user_num_per_vswitch | 单个VPC内的单个交换机支持共享的资源使用者的数量 | 50个 | |
vpc_quota_sharedvpc_accept_shared_vswitch_num | 单个资源使用者支持接收的共享交换机的数量 | 30个 | |
无 | 单个VPC可用的IP数量 | 资源所有者和资源使用者共享单个VPC的IP数量。 | 无法提升 |
- 本页导读 (1)
- 原理示例
- 支持在共享交换机下创建的云资源类型
- 计费说明
- 操作步骤
- 步骤1:账号A开启VPC共享
- 步骤2:账号B在共享交换机中创建云资源
- 步骤3(可选):管理共享交换机和使用者
- 使用限制
- 资源所有者和资源使用者的权限
- 地域支持情况
- 配额限制
