VPC对等连接
不同VPC之间网络隔离,您可以使用VPC对等连接实现两个VPC间高速安全的网络连通。
功能介绍
VPC对等连接可实现同账号或跨账号、同地域或跨地域的两个VPC间的私网互通。在两个VPC之间建立对等连接后,VPC内部署的云产品资源可以通过私有IPv4地址或IPv6地址互相访问。
使用场景
资源安全访问:当您使用VPC对等连接实现跨地域VPC之间的私网互通,不同VPC内的资源通过私网通信,不流经公网,有效避免了常见的网络攻击,确保资源访问的安全性。
多账号互连:多账号体系架构中,您可以使用VPC对等连接以连通跨账号VPC,保障跨团队业务安全互访,促进高效安全的资源共享。
业务容灾:使用跨地域VPC对等连接进行数据同步与备份,实现数据冗余和容灾,保障业务的可靠性。
发起端和接收端
在建立VPC对等连接时,要连接的两端VPC,一个是发起端,另一个是接收端。
发起端:主动发起VPC对等连接请求的一方。
接收端:被动等待连接请求的一方。
发起端和接收端仅用于控制连接建立的过程,在实际进行网络通信时,通信链路是双向的,发起端和接收端没有任何差别,相当于在同一个网络中。
VPC对等连接的状态
从发起端发送创建请求开始,VPC对等连接会经过各个阶段。在不同的阶段,对等连接有着不同的状态。
如果您创建的是同账号VPC对等连接,系统会自动发起连接请求并自动接受请求,VPC对等连接变为已激活状态。
VPC对等连接状态说明
功能计费
同地域的VPC对等连接:两端VPC属于同账号或跨账号,均不收取任何费用。
跨地域的VPC对等连接:统一由云数据传输CDT(Cloud DataTransfer)按出向流量收取流量传输费。
跨地域情况下,支持铂金、金两种链路类型,分别提供不同质量的流量传输服务:
链路类型 | 服务可用性承诺 | 适用场景 |
铂金 | 99.995% | 适用于对链路抖动、链路时延非常敏感,对链路质量要求较高的业务。例如证券交易、在线语音、视频会议、实时游戏等。 |
金 | 99.95% | 适用于对链路质量不敏感的业务。例如数据同步、文件传输等。 |
跨地域VPC对等连接计费示例
如上图所示,客户1在华北5(呼和浩特)创建了VPC1,客户2在华南3(广州)创建了VPC2,VPC1和VPC2建立了跨地域跨账号对等连接。依据出向流量计费规则,客户1为通过VPC对等连接流出到VPC2的流量付费,客户2为通过VPC对等连接流出到VPC1的流量付费。
若VPC1和VPC2通过VPC对等连接流出的流量分别为200GB和100GB,链路类型选择金,华北5(呼和浩特)到华南3(广州)的跨地域流量费单价为0.48元/GB,客户需支付的费用为:
客户1需要支付的费用为:0.48元/GB × 200GB = 96元
客户2需要支付的费用为:0.48元/GB × 100GB = 48元
使用指引
您需要按照以下步骤在两个VPC之间建立对等连接,实现简单安全的私网互通。具体操作,请参见使用VPC对等连接实现VPC私网互通。
在您使用VPC对等连接进行跨VPC互联时,您需要提前做好网络规划,确保创建VPC对等连接的两端VPC及交换机网段没有重叠。
创建VPC对等连接。
发起端向接收端发送创建VPC对等连接的请求。
激活VPC对等连接。
同账号的VPC对等连接:系统会自动接受请求并建立连接,无需接收端接受连接请求。
跨账号的VPC对等连接:接收端可以接受或者拒绝连接请求,只有接受了连接请求,VPC对等连接才会激活。
为VPC对等连接的两端配置指向对端的路由条目以实现VPC之间的私网互通。
您可以结合具体需求选择以下方式。
将对端VPC网段作为目标网段,实现连通的VPC内资源的完全访问,即VPC中的ECS能访问对端VPC中所有交换机内的实例资源,简化管理。
配置更精细的路由,将对端VPC中的交换机网段作为目标网段,将对等连接的流量带宽限制在必要范围内,增强数据传输安全性。
重要如果两端VPC网段重叠:
交换机网段不重叠:您可以配置对端VPC未产生重叠的交换机网段作为目标地址,建立VPC对等连接。后续业务部署时,您需要避免新建交换机与现有交换机出现网段冲突。
如果您配置对端VPC网段作为目标地址,由于此时系统路由和对等连接路由的目的地址重叠,访问对端VPC的流量会优先匹配系统路由,在发送端VPC内部转发,无法抵达对端VPC。
交换机网段重叠:由于无法配置比系统路由更明细的路由,无法实现两个VPC的连通。
当VPC对等连接创建完成且状态为已激活后,需要在VPC对等连接的两端添加指向对端的路由条目以实现VPC私网互通。
上图所示场景中,您可以选择将对端VPC网段作为目标网段,实现连通的VPC内实例的完全互访。
路由表
目标地址
下一跳
VPC1
192.168.0.0/16
pcc-aaabbb
2408:XXXX:XXXX:4000::/56
pcc-aaabbb
VPC2
172.16.0.0/12
pcc-aaabbb
2408:XXXX:XXXX:3f00::/56
pcc-aaabbb
问题排查
您可以使用云监控服务收集跨地域VPC对等连接实例的流量带宽与丢包情况等指标,通过创建阈值报警规则,实时监控实例运行情况,保证业务的稳定。
当VPC对等连接实例出现访问不通的问题时,您可以使用网络智能服务NIS进行双向路径分析,诊断网络配置错误引起的连接问题。
说明NIS当前不支持同时进行双向路径分析,您需要结合反向路径分析校验双向路径的连通性。
路由不可达:您需要检查路由配置,验证VPC路由表中是否配置了以对端VPC网段为目标网段、下一跳为VPC对等连接的路由条目。
匹配安全组丢弃规则或被默认规则拒绝:验证VPC内ECS实例的安全组是否允许来自对端VPC的出入流量,根据业务需求配置安全组出/入方向规则。
匹配网络ACL丢弃规则或被默认规则拒绝:检查与交换机绑定的网络ACL是否允许来自对端VPC的出入流量,根据业务需求配置网络ACL出/入方向规则。
使用限制
功能限制
两个VPC之间不能同时创建多个VPC对等连接。
VPC对等连接不具备路由传递能力,创建VPC对等连接后,您可以通过配置发起端和接收端的路由条目实现发起端VPC和接收端VPC之间的互通。
假设有3个VPC,分别为VPC1、VPC2和VPC3。其中VPC1和VPC2建立了VPC对等连接并配置路由条目,VPC2和VPC3建立了VPC对等连接并配置路由条目,但VPC1和VPC3不能通过VPC2做中转互通。您可以建立VPC1和VPC3的对等连接并配置路由条目来实现VPC1和VPC3的互通。
多账号共享VPC场景下,资源所有者可以创建VPC对等连接或对已创建的对等连接进行修改或删除,而资源使用者对VPC对等连接没有操作权限。
支持的地域
公有云支持的地域
区域 | 支持VPC对等连接的地域 |
亚太 | 华东1(杭州)、华东2(上海)、华东5 (南京-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华中1(武汉-本地地域)、华东6(福州-本地地域)、日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 阿联酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴运营。 |
金融云支持的地域
区域 | 支持VPC对等连接的地域 |
亚太 | 华南1 金融云、华东2 金融云、华北2 金融云(邀测) |
政务云支持的地域
区域 | 支持VPC对等连接的地域 |
亚太 | 华北2 阿里政务云1 |
配额限制
配额名称 | 描述 | 默认限制 | 申请限制 |
vpc_quota_cross_region_peer_num_per_vpc | 单个VPC支持的跨地域VPC对等连接数量 | 20个 | 您可以通过以下任意方式自助提升配额: |
vpc_quota_intra_region_peer_num_per_vpc | 单个VPC支持的同地域VPC对等连接数量 | 10个 | |
vpc_quota_peer_num | 单个阿里云账号单地域支持的VPC对等连接数量 | 20个 | |
vpc_quota_peer_cross_border_bandwidth | 跨境带宽允许的最大值 | 1024 Mbps | |
vpc_quota_peer_cross_region_bandwidth | 跨地域带宽允许的最大值 | 1024 Mbps | |
无 | 同地域带宽默认值 | -1 Mbps,即不限制带宽 | 无法提升 |