當您需要在不同VPC中的資源之間建立安全且高效的私網通訊時,您可以通過Cloud Enterprise Network、VPN Gateway、VPC對等串連或PrivateLink等串連方式,滿足您跨VPC資源互聯的需求。
跨VPC互聯解決方案介紹
雲企業網
在您使用雲企業網進行跨VPC互聯時,您需要提前做好網路規劃,確保需要互連的網段沒有重疊。
雲企業網通過轉寄路由器協助您在跨地區或同地區VPC之間搭建私網通訊通道。轉寄路由器通過Hub-Spoke的串連方式,只需要VPC以網路連接的方式加入轉寄路由器,轉寄路由器便會自動同步路由。
轉寄路由器的配置複雜度比較低,同時支援豐富的路由策略及QoS機制,可以實現複雜的組網及存取控制。然而,轉寄路由器自身具有頻寬節流設定,同時也會收取流量處理費等費用,使用成本高於VPC對等串連。
VPC對等串連
在您使用VPC對等串連進行跨VPC互聯時,您需要提前做好網路規劃,建議需要互連的CIDR位址區段不要重疊。
通過VPC對等串連實現不同VPC私網互連時,由於VPC對等串連的配置方式以及點對點的路由配置,當需要互聯的VPC數目增多時,相應地配置複雜度也會增大,因此不適合大量VPC全連通的情境。然而,VPC對等串連具備無頻寬節流設定、延遲低、同地區不收費等優點。
私網串連
私網串連能夠將終端節點所在的VPC與終端節點服務所在VPC通過終端節點串連,建立安全穩定的私人串連,配置靈活,可滿足不同的應用情境。私網串連不支援跨地區串連,只支援同地區互聯。
使用私網串連實現VPC互連時,需要互連的終端節點所在VPC與終端節點服務所在VPC的網段可以重疊且互不影響。
通過私網串連實現不同VPC互連時,無需考慮地址衝突和路由配置,網路設定簡單。且私網串連本身提供了較強的網路隔離和存取控制能力,安全可控。但私網串連僅支援單向訪問,即只允許特定方向的串連請求。
VPN網關
在您使用VPN網關進行跨VPC互聯時,您需要提前做好網路規劃,確保需要互連的網段沒有重疊。
通過VPN網關實現不同VPC私網互連時,由於需要建立VPN網關、使用者網關和IPSec串連,還需要為VPN網關配置路由,因此配置複雜度高,不適合大量VPC連通的情境。
下表從網路連接的串連方式、頻寬節流設定、延遲以及計費等方面對比通過雲企業網的轉寄路由器、VPC對等串連、私網串連以及VPN網關實現不同VPC私網互連的差異。
對比項 | VPC對等串連 | 轉寄路由器 | 私網串連 | VPN網關 |
串連方式 | Full Mesh全串連方式,VPC兩兩之間建立對等串連。 | Hub-Spoke串連方式,VPC以網路連接方式加入轉寄路由器。 | 基於業務網元的串連, 類似於物理網路中負載平衡、防火牆等裝置的串連。 | VPC兩兩之間通過VPN建立串連。 |
路由傳播 | 不支援 | 支援 | 不支援 | 支援 |
配置複雜度 | 複雜度高,需要兩兩建立對等關係並相互配置對端路由。 | 複雜度低,VPC只需要加入轉寄路由器並配置路由指向轉寄路由器的網路連接即可。 | 複雜度低,私網串連無需考慮地址衝突和路由配置,網路設定簡單。 | 配置複雜度高,需要建立VPN網關、使用者網關和IPSec串連,並為VPN網關配置路由。 |
支援互聯VPC數目 | 最多支援10個 | 最多支援1000個 | 無限制,超出配額可申請提升。 | 最多支援10個 |
延遲 | 低延遲,使用阿里雲內網鏈路。 | 低延遲,使用阿里雲內網鏈路。 | 低延遲,使用阿里雲內網鏈路,私網串連只支援同可用性區域互聯。 | 高延遲,使用公網鏈路。 |
收費 | 同地區不收費,跨地區統一由雲資料轉送CDT(Cloud DataTransfer)收取出方向流量傳輸費。更多資訊,請參見什麼是雲資料轉送。 | 私網串連開通時不產生費用。開通成功後,根據私網串連服務的實際使用量進行計費,按每小時出賬。費用包含執行個體費和流量處理費。更多資訊,請參見計費說明。 | 收取IPsec-VPN執行個體費、流量費。更多資訊,請參見計費說明。 | |
支援的地區 |
跨VPC互聯解決方案樣本
您可以將兩個或兩個以上VPC通過使用雲企業網、VPN網關或者VPC對等串連的方式實現VPC之間的私網完全互連,使不同VPC內的資源可以實現資源互訪。您可以通過私網串連將一個VPC的服務共用給其他VPC,這些VPC間不需要私網互連。
雲企業網
雲企業網可以協助您在不同VPC之間實現同地區或跨地區網路互連。本文以下圖情境為例介紹同地區3個VPC之間通過雲企業網實現資源互訪。
VPC對等串連
VPC對等串連是兩個VPC之間的網路連接,您可以通過VPC對等串連,實現兩個或兩個以上VPC之間私網互連。當使用VPC對等串連實現兩個以上的VPC私網互連時,需要VPC之間兩兩建立對等串連。本文以下圖情境為例介紹3個VPC之間通過VPC對等串連實現資源互訪。
建立VPC對等串連時,要串連的兩端VPC,一個是發起端,另一個是接收端。發起端和接收端的VPC可以是同地區,也可以是跨地區的。
私網串連
私網串連的終端節點服務支援將負載平衡作為服務資源,您可以使用私網串連服務將一個VPC內的負載平衡服務資源共用給另外一個VPC,實現跨VPC私網訪問負載平衡服務資源。本文以下圖情境為例介紹兩個VPC通過私網串連實現跨VPC私網訪問傳統型負載平衡CLB(Classic Load Balancer)的服務資源。
VPN網關
VPN網關可以通過IPsec-VPN加密隧道的方式在兩個VPC之間建立安全連線,實現兩個VPC內的資源互訪。本文以下圖情境為例介紹通過VPN網關實現2個VPC之間的資源互訪。
當您需要通過VPN網關建立跨境串連(即一個VPC屬於中國內地地區,另一個VPC屬於非中國內地地區)時,跨境鏈路的狀態不穩定,因此不建議您使用VPN網關進行跨境串連。如果您需要在VPC之間建立跨境串連,您可以使用雲企業網產品。更多資訊,請參見什麼是雲企業網。
跨VPC互聯解決方案配置
方案分類 | 配置方法 |
雲企業網 | |
VPC對等串連 | |
私網串連 |
|
VPN網關 |