【VPC-最佳实践】VPC对等连接
对等连接路由配置方案
当您需要两个VPC互相通信时,可以通过在VPC间建立对等连接的方式实现。拥有不同CIDR的VPC可创建指向整个VPC的对等连接路由,具有重叠CIDR的VPC只能针对子网创建对等连接路由。
指向整个VPC的对等连接路由配置。
指向整个VPC的对等连接包含以下几种情况:两个VPC之间建立对等连接,多个VPC之间建立对等连接。
不论是哪种情况,只要是指向整个VPC的对等连接路由配置,建立对等连接的所有VPC的CIDR都不能重叠,否则连接失效,路由不通。
指向整个VPC的对等连接的路由配置,目的地址为对端VPC的CIDR,下一跳地址为对等连接ID。
指向子网的对等连接路由配置。
如果VPC间的CIDR有重叠,建立对等连接时,只能针对子网建立对等关系。如果VPC下的子网网段有重叠,那么该对等关系不生效。建立对等连接时,请确保VPC之间没有重叠的子网。
假设VPC1和VPC2的CIDR相同且相互之间子网没有重叠,那么,可以在两个不同的子网间建立对等连接,具体是哪些子网具有对等关系,是在路由表里体现的。对等关系如图1。图中VPC1的子网A和VPC2的子网X需要通过添加路由来建立对等关系。
子网A和子网X的对等连接路由配置如图2所示,配置完成后,子网A与子网X就建立了对等关系,可以相互通信。
如果两个VPC之间的子网网段有重叠,那么建立的对等连接将无效,无法相互通信。
如图3所示,由于子网B与子网Y的网段相同,因此子网A和子网Y无法建立对等关系。
当VPC1与多个VPC (比如:VPC2、VPC3、VPC4)建立对等连接时,VPC1与这些VPC下的子网CIDR都不能重叠。如果VPC2、VPC3、VPC4具有重叠子网,重叠子网不能同时作为对等子网与VPC1的子网建立对等关系。1个子网与其他N个子网建立对等关系时,所有子网的网段彼此都不能重叠。
创建同一帐户下的对等连接
操作场景
创建对等连接首先要向需要建立对等连接的VPC发送请求,您可以和自己帐户内相同区域的其他VPC申请对等连接,同帐户内同区域的VPC创建对等连接,默认自动接受。
前提条件
已创建相同区域内的两个VPC。
创建VPC对等连接
登录管理控制台。
在管理控制台左上角单击
,选择区域和项目。在系统首页,选择“网络 > 虚拟私有云”。
在左侧导航栏选择“对等连接”。
在界面右侧详情区域单击“创建对等连接”。
根据界面提示配置参数,其中“帐户”选择“当前帐户”,相关参数如表1所示。
图1 创建对等连接 
参数 | 说明 | 取值样例 |
|---|---|---|
名称 | 对等连接名称。 由中文字符、英文字母、数字、中划线、下划线等构成,一般不超过64个字符。 | peering-001 |
本端VPC | 本端VPC。可在下拉框中选择。 | vpc_002 |
本端VPC网段 | 本端VPC网段。 | 192.168.10.0/24 |
帐户 | 建立对等连接的帐号: | 当前帐户 |
对端项目 | 对端项目名称,默认为当前项目的项目名称。 | aaa |
对端VPC | 对端VPC。同帐户Peer VPC可在下拉框中选择。 | vpc_fab1 |
对端VPC网段 | 对端VPC网段。 对端VPC网段不能和本端VPC网段相同或有重叠网段,否则对等连接路由可能会失效。 | 192.168.2.0/24 |
当前帐户:表示在同一个帐户内、同一个区域下的不同VPC间建立对等连接。
其他帐户:表示在同一个区域下的不同帐户的VPC间建立对等连接。
7.单击“确定”。
添加VPC对等连接路由
相同帐户创建VPC对等连接,默认自动接受请求,要使对等连接的VPC可以路由数据,还需要添加VPC对等连接本端、对端路由信息。
在系统首页,选择“网络 > 虚拟私有云”。
在左侧导航栏选择“对等连接”。
在对等连接列表中,查找需要添加路由信息的对等连接。
单击对等连接名称,进入对等连接详情页面。
在VPC对等连接详情页面,单击“本端路由”。
在“本端路由”页签区域,单击“添加本端路由”添加本端路由信息,参数说明参考表2。
图2 添加本端路由 
参数 | 说明 | 取值样例 |
|---|---|---|
目的地址 | 目的地址,对端VPC或子网的网段。 | 192.168.10.0/24 |
下一跳地址 | 下一跳地址,即对等连接ID,默认不用配置。 | 65d062b3-40fa-4204-550a |
7.单击“确定”,回到对等连接详情界面。
8.在对等连接详情界面,单击“对端路由”。
9.在“对端路由”页签区域,单击“添加对端路由”添加对端路由信息。
10.单击“确定”,完成添加VPC对等连接路由信息。
对等连接建立后,您可以使用私有IP地址在两个VPC之间进行通信。您可以使用“ping”命令检查网络两端是否连通。
如果两个VPC不能互通,请参考为什么对等连接创建完成后不能互通?检查相关配置。
创建不同帐户下的对等连接
操作场景
VPC支持本帐户与其他帐户内相同区域的VPC创建对等连接。与其他帐户内相同区域的VPC创建对等连接时,需要对端帐户接受对等连接请求,才能建立有效对等连接。
创建VPC对等连接
登录管理控制台。
在管理控制台左上角单击
,选择区域和项目。在系统首页,选择“网络 > 虚拟私有云”。
在左侧导航栏选择“对等连接”。
在界面右侧详情区域单击“创建对等连接”。
根据界面提示配置参数,其中“帐户”选择“其他帐户”。
图1 创建对等连接
表1 参数说明 参数
说明
取值样例
名称
对等连接名称。
由中文字符、英文字母、数字、中划线、下划线等构成,一般不超过64个字符。
peering-001
本端VPC
本端VPC。可在下拉框中选择。
vpc_002
帐户
建立对等连接的帐号:
其他帐户
对端项目ID
选择“其他帐户”时,有此参数。
对端项目ID获取参考如何获取对端项目ID。
-
对端VPC ID
选择“其他帐户”时,有此参数。
对端VPC ID获取请参考如何获取对端VPC ID。
65d062b3-40fa-4204-8181-3538f527d2ab
当前帐户:表示在同一个帐户内、同一个区域下的不同VPC间建立对等连接。
其他帐户:表示在同一个区域下的不同帐户的VPC间建立对等连接。
7.单击“确定”。
接受对等连接
不同帐户创建对等连接,由于本端帐户没有对端账号权限,要使对等连接生效,需对端帐户接受对等连接。
对端帐户登录管理控制台。
在系统首页,选择“网络 > 虚拟私有云”。
在左侧导航栏选择“对等连接”。
在对等连接列表中,找到需要接受请求的对等连接,单击操作列的“接受请求”。
图2 对等连接列表
单击“是”,接受对等连接。
拒绝对等连接
不同帐户创建对等连接,由于本端帐户没有对端帐户权限,对端帐户如果不同意创建对等连接,可以选择拒绝对等连接请求,拒绝后本次创建对等连接结束。拒绝的对等连接,需要删除后,才能再次发起请求。
对端帐户登录管理控制台。
在系统首页,选择“网络 > 虚拟私有云”。
在左侧导航栏选择“对等连接”。
在对等连接列表中,找到需要拒绝请求的对等连接,单击操作列的“拒绝请求”。
单击“是”。拒绝对等连接。
添加VPC对等连接路由
不同帐户创建VPC对等连接,接受请求后,要使对等连接的VPC可以相互通信,还需要添加VPC对等连接路由信息。由于本端帐户没有对端帐户权限,本端帐户只可以添加本端路由信息,对端路由信息需要对端帐户添加相应路由信息。本端帐户添加路由信息和对端帐户添加路由信息操作相同,具体操作如下。
登录管理控制台。
在系统首页,选择“网络 > 虚拟私有云”。
在左侧导航栏选择“对等连接”。
在已创建对等连接列表,查找需要添加路由信息对等连接名。
单击对等连接名称链接,进入对等连接详情页面。
在VPC对等连接详情页面,单击“本端路由”。
在“本端路由”页签区域,单击“添加本端路由”添加本端路由信息,参数说明参考表2。
图3 添加本端路由
表2 路由参数说明 参数
说明
取值样例
目的地址
目的地址,对端VPC或子网的网段。
192.168.10.0/24
下一跳地址
下一跳地址,即对等连接ID,默认不用配置。
65d062b3-40fa-4204-550a
单击“确定”,完成添加VPC对等连接路由信息。
对等连接建立后,您可以使用私有IP地址在两个VPC之间进行通信。您可以使用“ping”命令检查网络两端是否连通。
如何获取对端项目ID
使用对端帐户登录管理控制台。
在用户名的下拉列表中,单击“我的凭证”。
在“项目列表”页签中查看项目ID。
如何获取对端VPC ID
使用对端帐户登录管理控制台。
在系统首页,选择“网络 > 虚拟私有云”。
在左侧导航栏,选择“虚拟私有云”。
单击VPC名称,在VPC详情页查看VPC ID。
- 点赞
- 收藏
- 关注作者
评论(0)