全部產品
Search

搜尋本產品

    Simple Application Server:內網互連

    文件中心

    Simple Application Server:內網互連

    更新時間:Sep 13, 2024

    Simple Application Server使用阿里雲自動分配的Virtual Private Cloud(Virtual Private Cloud)進行網路隔離,預設情況下不與ECS執行個體、雲資料庫等其他處於Virtual Private Cloud中的阿里雲產品內網互連,您可以通過設定內網互連實現互聯互連。本文介紹如何設定內網互連以及設定內網互連後管理VPC網路執行個體。

    說明

    Simple Application Server控制台僅支援同帳號同地區的內網互連且不收取費用。如果您有跨帳號或跨地區的內網互連需求,請自行到雲企業網控制台操作,但跨帳號或跨地區的內網互連會收取相關費用。更多資訊,請參見計費說明跨帳號VPC網路執行個體授權跨地區串連

    應用情境

    同一阿里雲帳號下同一地區內的所有Simple Application Server預設內網互連。內網互連主要適用於以下業務情境:

    • Simple Application Server通過內網訪問ECS執行個體

    • Simple Application Server通過內網訪問雲資料庫

    說明

    同地區下Simple Application Server與Object Storage Service(Object Storage Service)預設內網互連,無需通過設定內網互連實現。更多資訊,請參見通過OSS內網地址訪問OSS資源實現內網互連

    本文以下圖情境為例。某企業在阿里雲華東1(杭州)地區中有兩個VPC,VPC1中包含多台Simple Application Server執行個體,VPC2中包含多台ECS執行個體,企業希望VPC1中的Simple Application Server執行個體和VPC2中的ECS執行個體可以內網互連。dadad

    注意事項

    • 同一個阿里雲帳號下:

      • 同一個地區的所有的Simple Application Server都處於同一個VPC中,一個VPC只能加入一個雲企業網執行個體。

      • 不同地區的Simple Application Server處於不同的VPC中,不同的VPC需分別執行內網互連的操作。

    • 雲企業網控制台執行的所有操作目前無法同步到輕量伺服器控制台,建議您設定內網互連後,在輕量伺服器控制台執行添加和移除VPC網路執行個體等操作。

    費用說明

    Simple Application Server控制台目前僅支援同帳號同地區的內網互連操作,且不收取流量費用。

    設定內網互連

    警告

    首次在某地區設定內網互連時,該地區下的Simple Application Server將會停機大約1分鐘,停機可能導致業務中斷,建議您在業務低峰期執行該操作。

    1. 登入Simple Application Server管理主控台

    2. 在左側導覽列,單擊內網互連

    3. 內網互連頁面的左上方,單擊內網互連

      如果首次使用內網互連功能時,系統會彈窗提示,單擊確定授權後,系統將會自動建立一個服務關聯角色。更多資訊,請參見建立和刪除服務關聯角色

    4. 設定內網互連對話方塊,配置參數。

      具體參數說明如下表所示。

      參數

      說明

      地區

      選擇需要串連的VPC網路執行個體所在的地區。例如:杭州。

      雲企業網執行個體

      在下拉式清單中,選擇雲企業網執行個體。如果下拉框中無可選雲企業網執行個體,請選擇自動建立,系統會為您自動建立一個雲企業網執行個體。

      警告

      Simple Application Server僅支援雲企業網基礎版執行個體,如果您選擇了在雲企業網控制台建立的雲企業網企業版執行個體將導致輕量伺服器內網互連功能不可用 。關於雲企業網基礎版和企業版的更多資訊,請參見轉寄路由器的版本

      網路執行個體

      請選擇您要實現內網互連的VPC ID,可多選。

      設定內網互連後,您也可以根據需求添加和移除VPC網路執行個體,具體操作,請參見添加和移除VPC網路執行個體

    5. 單擊確定

      可在內網互連頁面,查看添加的VPC網路執行個體。

      說明

      如果介面提示網段衝突可能導致內網不能互連,建議您先驗證是否可以內網互連,如果不能內網互連,解決方案請參見Q1:設定內網互連後,提示“可能存在網路衝突,開通後可能由於網路衝突無法完成內網互連”,如何解決?

    6. 驗證連通性。

      本樣本以同帳號同地區Simple Application Server和Elastic Compute Service為例,驗證VPC1下的Simple Application Server能否與VPC2下的ECS執行個體正常通訊。預設您已在步驟5中選擇VPC2網路執行個體。

      重要

      如果您需要實現Simple Application Server與ApsaraDB for Redis內網互連,設定內網互連後,還需將Simple Application Server的私網IP地址或IP位址區段添加到Redis執行個體的白名單中。具體操作,請參見設定白名單

      1. 遠端連線Simple Application Server。

        具體操作,請參見遠端連線Linux伺服器

      2. 通過ping命令,ping VPC2下的ECS執行個體的IP地址,驗證Simple Application Server和ECS執行個體之間的連通性。

        類似下圖所示,表示Simple Application Server和ECS執行個體可以正常通訊。adasa

    添加和移除VPC網路執行個體

    設定內網互連後,您可以繼續添加和移除VPC網路執行個體。

    • 添加VPC網路執行個體:添加VPC網路執行個體後,Simple Application Server與該VPC網路執行個體下的其它雲產品可互聯互連。

    • 移除VPC網路執行個體:移除VPC網路執行個體後,Simple Application Server與該VPC網路執行個體下的其它雲產品將停止互聯互連。

    1. 登入Simple Application Server管理主控台

    2. 在左側導覽列,單擊內網互連

    3. 添加和移除VPC網路執行個體。

      • 添加VPC網路執行個體

        內網互連頁面,單擊內網互連

        設定內網互連對話方塊,選擇地區、雲企業網執行個體、VPC網路執行個體。更多資訊,請參見內網互連配置說明表

        單擊確定

      • 移除VPC網路執行個體

        在目標網路執行個體的操作列,單擊移除

        說明

        • 移除VPC網路執行個體後,Simple Application Server與該VPC網路執行個體下的其他雲產品將停止互聯互連。

        • 如果刪除了服務關聯角色AliyunServiceRoleForSwas,單擊移除後會彈出對話方塊,單擊確定重新授權後,可移除VPC網路執行個體。

        在彈出的對話方塊中,單擊確定

    建立和刪除服務關聯角色

    服務關聯角色說明如下

    Simple Application Server服務關聯角色(AliyunServiceRoleForSwas)是存取控制提供的一種服務關聯角色,用於授權Simple Application Server服務訪問關聯雲資源。通過AliyunServiceRoleForSwas,Simple Application Server服務可以獲得雲企業網CEN、Virtual Private Cloud等相關資源的存取權限,來實現內網互連功能。更多資訊,請參見服務關聯角色

    許可權說明

    Simple Application Server服務關聯角色的許可權說明如下:

    • 角色名稱:AliyunServiceRoleForSwas。

    • 角色權限原則:AliyunServiceRolePolicyForSwas。

    • 許可權說明:首次使用Simple Application Server的內網互連功能時,需要您授權Simple Application Server訪問雲企業網CEN、Virtual Private Cloud等資源,實現內網互連功能。

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "cen:CreateCen",
                "cen:DescribeCens",
                "cen:DescribeCenAttachedChildInstanceAttribute",
                "cen:DescribeChildInstanceRegions",
                "cen:DescribeGrantRulesToCen",
                "cen:ModifyCenAttribute",
                "cen:AttachCenChildInstance",
                "cen:DetachCenChildInstance",
                "cen:DeleteCen"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "swas.aliyuncs.com"
                }
            }
        }
    ]
}

    建立服務關聯角色

    在您首次使用Simple Application Server的內網互連功能時,系統會檢查當前阿里雲帳號下是否已有AliyunServiceRoleForSwas,如果不存在則需要您授權後系統自動建立。

    AliyunServiceRoleForSwas包含系統權限原則AliyunServiceRolePolicyForSwas。服務關聯角色包含的權限原則由對應的雲端服務定義和使用,您不能為服務關聯角色添加、修改或刪除許可權。

    刪除服務關聯角色

    如果需要刪除服務關聯角色AliyunServiceRoleForSwas,您需確保阿里雲帳號下沒有Simple Application Server正在使用該角色,方可進行刪除。具體操作,請參見刪除RAM角色

    說明

    刪除服務關聯角色後,如果您還想繼續使用內網互連功能,您可以在內網互連頁面,單擊內網互連,根據系統提示授權後,系統會重新自動建立服務關聯角色。

    常見問題

    Q1:設定內網互連後,提示“可能存在網路衝突,開通後可能由於網路衝突無法完成內網互連”,如何解決?

    image

    A1:Simple Application Server和其他VPC資源的網段存在衝突,可能會導致內網無法互連,建議您先驗證是否可以內網互連,如果不能內網互連,具體解決方案,請參見雲企業網中VPC執行個體下的交換器網段衝突的解決方案更換ECS執行個體的VPC

    Q2:Simple Application Server與KVStore for Redis設定內網互連後,為啥不能內網互連?

    A2:為保障Tair資料庫的安全穩定,系統預設禁止所有IP地址訪問Tair執行個體。設定內網互連後,您還需將Simple Application Server的私網IP地址或IP位址區段添加到Redis執行個體的白名單中。具體操作,請參見設定白名單

    關於Redis執行個體登入方式的更多資訊,請參見Redis執行個體登入方式

    Q3:某地區下,僅設定內網互連的某台Simple Application Server與目標ECS執行個體內網互連嗎?

    不是。設定內網互連後,Simple Application Server所在的VPC與目標ECS執行個體所在VPC可以相互連信,實現資源互訪。由於同一帳號、同地區下的所有Simple Application Server預設在同一個VPC下,所以同一帳號、同地區下的所有Simple Application Server與目標ECS執行個體所在的VPC中的所有ECS執行個體都可以實現內網互連。