VPC对等连接

更新时间: 2024-12-12 23:29:38

当您需要实现两个VPC之间的网络互通时,您可以选择VPC对等连接实现VPC间高速安全的网络连接。

功能介绍

VPC对等连接是两个VPC之间的网络连接,支持IPv4或IPv6互连。您可以通过VPC对等连接实现IPv4或IPv6流量互通,从而实现同账号或跨账号的两个VPC间同地域或跨地域的私网互通。

image

使用场景

  • 资源安全访问:当您使用VPC对等连接实现跨地域VPC之间的私网互通,不同VPC内的资源通过私网通信,不流经公网,有效避免了常见的网络攻击和DDoS攻击,确保资源访问的安全性。

  • 多账号互连:多账号体系架构中,您可以使用VPC对等连接以连通跨账号VPC,保障跨团队业务安全互访,促进高效安全的资源共享。

  • 业务容灾:使用跨地域VPC对等连接进行数据同步与备份,实现数据冗余和容灾,保障业务的可靠性。

发起端和接收端

  • 在建立VPC对等连接时,要连接的两端VPC,一个是发起端,另一个是接收端。主动发起VPC对等连接请求的一方被称为发起端,被动等待连接请求的一方被称为接收端。发起端和接收端仅用于控制连接建立的过程,在实际进行网络通信时,通信链路是双向的,发起端和接收端没有任何差别,相当于在同一个网络中。

  • 对于同账号的VPC对等连接,发起端发起VPC对等连接请求后,系统会自动接收连接请求并建立连接,无需接收端接收连接请求。

  • 对于跨账号的VPC对等连接,接收方可以接收或者拒绝连接请求,只有接收了连接请求,VPC对等连接才会激活。

  • 发起端和接收端的VPC可以是同地域的,也可以是跨地域的。

VPC对等连接的状态

VPC对等连接过程由发起端发起连接,然后接收端接收连接请求,最后连接成功。

说明

如果您创建的是同账号VPC对等连接,系统会自动发起连接请求并自动接受请求,VPC对等连接变为已激活状态。

在不同的连接过程和阶段,VPC对等连接的状态也不同。

image

状态

说明

创建中

发起端发起VPC对等连接请求后的状态。

对端接收中

等待接收端接受VPC对等连接请求的状态。

更新中

接收端接受VPC对等连接请求后,该VPC对等连接的状态。

已激活

接收端接受VPC对等连接请求后,发起端和接收端协商激活VPC对等连接后的状态。

已拒绝

接收端拒绝VPC对等连接请求后,该VPC对等连接的状态。

已过期

接收端超过7天未接受或者拒绝VPC对等连接请求,则该VPC对等连接处于已过期状态。

删除中

发起端或者接收端删除VPC对等连接后的中间状态。

已删除

VPC对等连接成功删除后的状态。

使用指引

使用VPC对等连接

您需要按照以下步骤在两个VPC之间建立对等连接,实现简单安全的私网互通。具体操作,请参见使用VPC对等连接实现VPC私网互通

在您使用VPC对等连接进行跨VPC互联时,您需要提前做好网络规划,建议要互通的VPC CIDR网段没有重叠。

  1. 发起端向接收端发送创建VPC对等连接的请求。

  2. 接收端接受VPC对等连接请求,激活VPC对等连接。

    说明

    接收端账号为同账号时,发起端发起对等连接请求后,系统会自动建立连接,无需在接收端接收。

  3. 为VPC对等连接的两端配置指向对端的路由条目以实现VPC之间的私网互通。

VPC对等连接配置示例

为VPC对等连接的两端配置指向对端的路由条目时,您可以结合具体需求选择以下方式。

  • 将对端VPC网段作为目标网段,实现连通的VPC内资源的完全访问,即VPC中的ECS能访问对端VPC中所有交换机内的实例资源,简化管理。

  • 配置更精细的路由,将对端VPC中的交换机网段作为目标网段,将对等连接的流量带宽限制在必要范围内,增强数据传输安全性。

配置示例

当VPC对等连接创建完成且状态为已激活后,需要在VPC对等连接的两端添加指向对端的路由条目以实现VPC私网互通。

image

上图所示场景中,您可以选择为对等连接的两端配置指向对端VPC网段的路由条目。更多配置示例,请参见VPC对等连接路由配置示例

路由表

目标地址

下一跳

VPC1

192.168.0.0/16

pcc-aaabbb

2408:XXXX:XXXX:4000::/56

pcc-aaabbb

VPC2

172.16.0.0/12

pcc-aaabbb

2408:XXXX:XXXX:3f00::/56

pcc-aaabbb

说明

您需要确保创建VPC对等连接的两端VPC及交换机网段没有重叠。

  • 当两端VPC网段重叠,但交换机网段不重叠时,您配置对端VPC网段作为目标地址后,由于此时系统路由和对等连接路由的目的地址重叠,访问对端VPC的流量会优先匹配系统路由,在发送端VPC内部转发,无法抵达对端VPC。您可以配置对端VPC未产生重叠的交换机网段作为目标地址,建立VPC对等连接。

  • 当两端交换机网段重叠时,由于无法配置比系统路由更明细的路由,您无法配置对端交换机网段作为目标地址。

问题排查

  • 您可以使用云监控服务收集跨地域VPC对等连接实例的流量带宽与丢包情况等指标,通过创建阈值报警规则,实时监控实例运行情况,保证业务的稳定。

  • 当VPC对等连接实例出现访问不通的问题时,您可以使用网络智能服务NIS进行双向路径分析,诊断网络配置错误引起的连接问题。

    说明

    NIS当前不支持同时进行双向路径分析,您需要结合反向路径分析校验双向路径的连通性。

    • 路由不可达:您需要检查路由配置,验证VPC路由表中是否配置了以对端VPC网段为目标网段、下一跳为VPC对等连接的路由条目。

    • 匹配安全组丢弃规则或被默认规则拒绝:验证VPC内ECS实例的安全组是否允许来自对端VPC的出入流量,根据业务需求配置安全组出/入方向规则。

    • 匹配网络ACL丢弃规则或被默认规则拒绝:检查与交换机绑定的网络ACL是否允许来自对端VPC的出入流量,根据业务需求配置网络ACL出/入方向规则。

功能计费

您可以创建同地域同账号、同地域跨账号、跨地域同账号以及跨地域跨账号的VPC对等连接。同地域同账号、同地域跨账号VPC对等连接不收取任何费用,跨地域同账号、跨地域跨账号VPC对等连接统一由云数据传输CDT(Cloud DataTransfer)按出向流量收取流量传输费。更多信息,请参见跨地域流量

说明
  • 跨地域VPC对等连接的SLA承诺的可用性不低于99.95%。

  • CDT仅提供计费和出账功能,跨VPC互联能力由VPC对等连接提供。

跨地域VPC对等连接计费示例

image

如上图所示,客户1在华北5(呼和浩特)创建了VPC1,客户2在华南3(广州)创建了VPC2,VPC1和VPC2建立了跨地域跨账号对等连接。依据出向流量计费规则,客户1为通过VPC对等连接流出到VPC2的流量付费,客户2为通过VPC对等连接流出到VPC1的流量付费。

若VPC1和VPC2通过VPC对等连接流出的流量分别为200GB和100GB,华北5(呼和浩特)华南3(广州)跨地域流量费单价为0.6元/GB,客户需支付的费用为:

客户1需要支付的费用为:0.6元/GB×200GB=120元

客户2需要支付的费用为:0.6元/GB×100GB=60元

使用限制

功能限制

  • 两个VPC之间不能同时创建多个VPC对等连接。

  • VPC对等连接不具备路由传递能力,创建VPC对等连接后,您可以通过配置发起端和接收端的路由条目实现发起端VPC和接收端VPC之间的互通。

    假设有3个VPC,分别为VPC1、VPC2和VPC3。其中VPC1和VPC2建立了VPC对等连接并配置路由条目,VPC2和VPC3建立了VPC对等连接并配置路由条目,但VPC1和VPC3不能通过VPC2做中转互通。您可以建立VPC1和VPC3的对等连接并配置路由条目来实现VPC1和VPC3的互通。

  • 多账号共享VPC场景下,资源所有者可以创建VPC对等连接或对已创建的对等连接进行修改或删除,而资源使用者对VPC对等连接没有操作权限。

功能发布及地域支持情况

公有云支持的地域

区域

支持VPC对等连接的地域

亚太

华东1(杭州)华东2(上海)华东5 (南京-本地地域华北1(青岛)华北2(北京)华北3(张家口)华北5(呼和浩特)华北6(乌兰察布)华南1(深圳)华南2(河源)华南3(广州)西南1(成都)中国香港华中1(武汉-本地地域)华东6(福州-本地地域)日本(东京)韩国(首尔)新加坡马来西亚(吉隆坡)印度尼西亚(雅加达)菲律宾(马尼拉)泰国(曼谷)

欧洲与美洲

德国(法兰克福)英国(伦敦)美国(硅谷)美国(弗吉尼亚)

中东

阿联酋(迪拜)沙特(利雅得)

重要

沙特(利雅得)地域由合作伙伴运营。

金融云支持的地域

区域

支持VPC对等连接的地域

亚太

华南1 金融云华东2 金融云华北2 金融云(邀测)

政务云支持的地域

区域

支持VPC对等连接的地域

亚太

华北2 阿里政务云1

配额限制

配额名称

描述

默认限制

申请限制

vpc_quota_cross_region_peer_num_per_vpc

单个VPC支持的跨地域VPC对等连接数量

20个

您可以通过以下任意方式自助提升配额:

vpc_quota_intra_region_peer_num_per_vpc

单个VPC支持的同地域VPC对等连接数量

10个

vpc_quota_peer_num

单个阿里云账号单地域支持的VPC对等连接数量

20个

vpc_quota_peer_cross_border_bandwidth

跨境带宽允许的最大值

1024 Mbps

vpc_quota_peer_cross_region_bandwidth

跨地域带宽允许的最大值

1024 Mbps

同地域带宽默认值

-1 Mbps,即不限制带宽

无法提升

上一篇: 跨VPC互联 下一篇: 使用VPC对等连接实现VPC私网互通
阿里云首页 专有网络VPC 相关技术圈