默认情况下,不同云企业网(CEN)之间网络相互隔离。您可以通过将单个VPC同时接入多个CEN,实现跨CEN的资源访问共享服务。
场景示例
以上图为例,如果您需要将VPC3设置为两个CEN的共享服务VPC,那么您可以将VPC3分别连接到TR1和TR2,并通过配置每个VPC的路由,最终实现:
VPC1和VPC3网络互通,VPC2和VPC3网络互通,但VPC1和VPC2网络隔离。
准备工作
开始操作前,请参考场景示例完成如下配置:
创建2个CEN实例,名称分别为
CEN1和CEN2。每个CEN中创建1个转发路由器,名称分别为TR1和TR2,地域均为华东1(杭州)。创建3个VPC,暂不连接到转发路由器。
创建3台ECS,分别部署在3个VPC下,名称分别为ECS1、ECS2、ECS3。
3个VPC的资源配置如下:
配置项 | VPC1 | VPC2 | VPC3 |
地域 | 华东1(杭州) | 华东1(杭州) | 华东1(杭州) |
IPv4网段 | 10.0.0.0/8 | 172.16.0.0/12 | 192.168.0.0/16 |
交换机1 | 位于可用区J,网段为 10.0.0.0/24 | 位于可用区J,网段为 172.16.0.0/24 | 位于可用区J,网段为 192.168.0.0/24 |
交换机2 | 位于可用区K,网段为 10.0.1.0/24 | 位于可用区K,网段为 172.16.1.0/24 | 位于可用区K,网段为 192.168.1.0/24 |
ECS(均在交换机1下创建) | ECS1的IP地址:10.0.0.1 | ECS2的IP地址:172.16.0.1 | ECS3的IP地址:192.168.0.1 |
如果您自行规划资源,请确保:
3个VPC的网段没有重叠。
在企业版转发路由器支持多可用区的地域,为实现可用区级别的容灾,您需要至少在2个不同的可用区下创建交换机。
关于如何创建各项资源,请查看:创建云企业网实例、创建转发路由器实例、创建VPC和交换机、创建ECS实例。
操作步骤
先将VPC连接至TR,然后配置每个VPC的路由表,最后进行测试验证。
第一步:将VPC连接到TR
本步需要创建4个VPC连接。先为您介绍创建每个VPC连接的通用步骤,具体创建时的配置项请查看步骤下方的表格。
登录云企业网管理控制台。在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。(目标云企业网实例请查看下方表格)
在页签,找到目标地域的转发路由器实例,在操作单击创建网络实例连接。(目标转发路由器实例请查看下方表格)
在连接网络实例页面,根据下表信息进行配置,然后单击确定创建。
下表列出上述每步对应的配置项。
配置项 | VPC1连接到TR1 | VPC2连接到TR2 | VPC3连接到TR1 | VPC3连接到TR2 | |
1.目标云企业网实例 |
|
|
|
| |
2.目标转发路由器实例 |
|
|
|
| |
实例类型 | 专有网络(VPC) | ||||
地域 | 华东1(杭州) | ||||
资源归属UID | 同账号 | ||||
付费方式 | 按量付费 | ||||
连接名称 |
|
|
|
| |
网络实例 | VPC1 | VPC2 | VPC3 | VPC3 | |
交换机 | 系统默认会自动选择每个VPC下创建的交换机 杭州 可用区J:交换机1 杭州 可用区K:交换机2 | ||||
高级配置 | 选中前2个选项,不选中第3个选项。 ✅ 自动关联至转发路由器的默认路由表 ✅ 自动传播系统路由至转发路由器的默认路由表 ❌ 自动为VPC的所有路由表配置指向转发路由器的路由 说明 此处我们不选中第3个选项,即不让系统自动配置VPC的路由表,而是在后续步骤中手动配置。 | ||||
第二步:配置VPC的路由表
在3个VPC的路由表中新增自定义路由条目。
登录专有网络管理控制台。
在左侧导航栏,单击路由表。
在顶部菜单栏,选择VPC实例所属的地域:华东1(杭州)。
在路由表页面,选择
VPC1对应的路由表,单击路由表的实例ID。在路由表详情页面,单击路由条目列表页签,再单击自定义路由条目页签。
单击添加路由条目,在弹出的添加路由条目面板中输入目标网段
192.168.0.0/16,下一跳类型选择转发路由器,转发路由器选择Attach1,最后单击确定。
回到路由表页面,按照同样的方法,进入
VPC2和VPC3对应的路由表并添加自定义路由条目。每个VPC需要新增的自定义路由条目见如下表格:
VPC名称
目标网段
下一跳
路由类型
VPC1
192.168.0.0/16
Attach1自定义路由条目
VPC2
192.168.0.0/16
Attach2自定义路由条目
VPC3
10.0.0.0/8
Attach3-1自定义路由条目
172.16.0.0/12
Attach3-2自定义路由条目
第三步:测试验证
操作前,请确保3台ECS的安全组规则放通了ICMP协议。具体操作,请参见查询安全组规则和添加安全组规则。
您可以登录ECS1实例,执行ping命令访问ECS3:
ping 192.168.0.1
如图所示,如果能ping通,则证明VPC1和VPC3已互通。
您可以利用同样的方法,验证互通和隔离:
登录ECS2实例,执行
ping命令访问ECS3,如果能ping通,证明VPC2和VPC3已互通。登录ECS1实例,执行
ping命令访问ECS2,如果无法ping通,证明VPC1和VPC2之间网络相互隔离。
常见问题
1个阿里云账号下能创建多少个云企业网实例?
默认为5个,您可以申请提升,详见配额。
1个VPC能连接多少个转发路由器?
默认为5个,您可以申请提升,详见配额。
网络不通怎么办?
请依次检查路由、安全组、ECS操作系统自身的防火墙。
以本文的路由为例,ECS1要访问ECS3,您需要依次检查VPC1路由表、转发路由器路由表、VPC3路由表,确保路由表中有往返的路由条目。
更多信息,详见两个VPC实例都已加载至云企业网,但VPC实例下的ECS实例之间无法互通怎么办?。