當您需要實現兩個VPC之間的網路互連時,您可以選擇VPC對等串連實現VPC間高速安全的網路連接。
功能介紹
VPC對等串連是兩個VPC之間的網路連接,支援IPv4或IPv6互連。您可以通過VPC對等串連實現IPv4或IPv6流量互連,從而實現同帳號或跨帳號的兩個VPC間同地區或跨地區的私網互連。
使用情境
資源安全訪問:當您使用VPC對等串連實現跨地區VPC之間的私網互連,不同VPC內的資源通過私網通訊,不流經公網,有效避免了常見的網路攻擊和DDoS攻擊,確保資源訪問的安全性。
多帳號互連:多帳號體系架構中,您可以使用VPC對等串連以連通跨帳號VPC,保障跨團隊業務安全互訪,促進高效安全的資源共用。
業務容災:使用跨地區VPC對等串連進行資料同步與備份,實現資料冗餘和容災,保障業務的可靠性。
發起端和接收端
在建立VPC對等串連時,要串連的兩端VPC,一個是發起端,另一個是接收端。主動發起VPC對等串連請求的一方被稱為發起端,被動等待串連請求的一方被稱為接收端。發起端和接收端僅用於控制串連建立的過程,在實際進行網路通訊時,通訊鏈路是雙向的,發起端和接收端沒有任何差別,相當於在同一個網路中。
對於同帳號的VPC對等串連,發起端發起VPC對等串連請求後,系統會自動接收串連請求並建立串連,無需接收端接收串連請求。
對於跨帳號的VPC對等串連,接收方可以接收或者拒絕串連請求,只有接收了串連請求,VPC對等串連才會啟用。
發起端和接收端的VPC可以是同地區的,也可以是跨地區的。
VPC對等串連的狀態
VPC對等串連過程由發起端發起串連,然後接收端接收串連請求,最後串連成功。
如果您建立的是同帳號VPC對等串連,系統會自動發起串連請求並自動接受請求,VPC對等串連變為已啟用狀態。
在不同的串連過程和階段,VPC對等串連的狀態也不同。
狀態 | 說明 |
建立中 | 發起端發起VPC對等串連請求後的狀態。 |
對端接收中 | 等待接收端接受VPC對等串連請求的狀態。 |
更新中 | 接收端接受VPC對等串連請求後,該VPC對等串連的狀態。 |
已啟用 | 接收端接受VPC對等串連請求後,發起端和接收端協商啟用VPC對等串連後的狀態。 |
已拒絕 | 接收端拒絕VPC對等串連請求後,該VPC對等串連的狀態。 |
已到期 | 接收端超過7天未接受或者拒絕VPC對等串連請求,則該VPC對等串連處於已到期狀態。 |
刪除中 | 發起端或者接收端刪除VPC對等串連後的中間狀態。 |
已刪除 | VPC對等串連成功刪除後的狀態。 |
使用指引
使用VPC對等串連
您需要按照以下步驟在兩個VPC之間建立對等串連,實現簡單安全的私網互連。具體操作,請參見使用VPC對等串連實現VPC私網互連。
在您使用VPC對等串連進行跨VPC互聯時,您需要提前做好網路規劃,建議要互連的VPC CIDR網段沒有重疊。
發起端向接收端發送建立VPC對等串連的請求。
接收端接受VPC對等串連請求,啟用VPC對等串連。
說明接收端帳號為同帳號時,發起端發起對等串連請求後,系統會自動建立串連,無需在接收端接收。
為VPC對等串連的兩端配置指向對端的路由條目以實現VPC之間的私網互連。
VPC對等串連配置樣本
為VPC對等串連的兩端配置指向對端的路由條目時,您可以結合具體需求選擇以下方式。
將對端VPC網段作為目標網段,實現連通的VPC內資源的完全訪問,即VPC中的ECS能訪問對端VPC中所有交換器內的執行個體資源,簡化管理。
配置更精細的路由,將對端VPC中的交換器網段作為目標網段,將對等串連的流量頻寬節流設定在必要範圍內,增強資料轉送安全性。
您需要確保建立VPC對等串連的兩端VPC及交換器網段沒有重疊。
當兩端VPC網段重疊,但交換器網段不重疊時,您配置對端VPC網段作為目標地址後,由於此時系統路由和對等連線路由的目的地址重疊,訪問對端VPC的流量會優先匹配系統路由,在發送端VPC內部轉寄,無法抵達對端VPC。您可以配置對端VPC未產生重疊的交換器網段作為目標地址,建立VPC對等串連。
當兩端交換器網段重疊時,由於無法配置比系統路由更明細的路由,您無法配置對端交換器網段作為目標地址。
問題排查
您可以使用CloudMonitor服務收集跨地區VPC對等串連執行個體的流量頻寬與丟包情況等指標,通過建立閾值警示規則,即時監控執行個體運行情況,保證業務的穩定。
當VPC對等串連執行個體出現訪問不通的問題時,您可以使用網路智慧型服務NIS進行雙向路徑分析,診斷網路設定錯誤引起的串連問題。
說明NIS當前不支援同時進行雙向路徑分析,您需要結合反向路徑分析校正雙向路徑的連通性。
路由不可達:您需要檢查路由配置,驗證VPC路由表中是否配置了以對端VPC網段為目標網段、下一跳為VPC對等串連的路由條目。
匹配安全性群組丟棄規則或被預設規則拒絕:驗證VPC內ECS執行個體的安全性群組是否允許來自對端VPC的出入流量,根據業務需求配置安全性群組出/入方向規則。
匹配網路ACL丟棄規則或被預設規則拒絕:檢查與交換器綁定的網路ACL是否允許來自對端VPC的出入流量,根據業務需求配置網路ACL出/入方向規則。
功能計費
您可以建立同地區同帳號、同地區跨帳號、跨地區同帳號以及跨地區跨帳號的VPC對等串連。同地區同帳號、同地區跨帳號VPC對等串連不收取任何費用,跨地區同帳號、跨地區跨帳號VPC對等串連統一由雲資料轉送CDT(Cloud DataTransfer)按出向流量收取流量傳輸費。更多資訊,請參見跨地區流量。
跨地區VPC對等串連的SLA承諾的可用性不低於99.95%。
CDT僅提供計費和出賬功能,跨VPC互聯能力由VPC對等串連提供。
跨地區VPC對等串連計費樣本
如上圖所示,客戶1在華北5(呼和浩特)建立了VPC1,客戶2在華南3(廣州)建立了VPC2,VPC1和VPC2建立了跨地區跨帳號對等串連。依據出向流量計費規則,客戶1為通過VPC對等串連流出到VPC2的流量付費,客戶2為通過VPC對等串連流出到VPC1的流量付費。
若VPC1和VPC2通過VPC對等串連流出的流量分別為200GB和100GB,華北5(呼和浩特)到華南3(廣州)的跨地區流量費單價為0.6元/GB,客戶需支付的費用為:
客戶1需要支付的費用為:0.6元/GB×200GB=120元
客戶2需要支付的費用為:0.6元/GB×100GB=60元
使用限制
功能限制
兩個VPC之間不能同時建立多個VPC對等串連。
VPC對等串連不具備路由傳遞能力,建立VPC對等串連後,您可以通過配置發起端和接收端的路由條目實現發起端VPC和接收端VPC之間的互連。
假設有3個VPC,分別為VPC1、VPC2和VPC3。其中VPC1和VPC2建立了VPC對等串連並配置路由條目,VPC2和VPC3建立了VPC對等串連並配置路由條目,但VPC1和VPC3不能通過VPC2做中轉互連。您可以建立VPC1和VPC3的對等串連並配置路由條目來實現VPC1和VPC3的互連。
多帳號共用VPC情境下,資源所有者可以建立VPC對等串連或對已建立的對等串連進行修改或刪除,而資源使用者對VPC對等串連沒有操作許可權。
功能發布及地區支援情況
地區 | 支援VPC對等串連的地區 |
亞太地區 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地區)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地區)、華東6(福州-本地地區)、日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀) |
歐美地區 | 德國(法蘭克福)、英國(倫敦)、美國(矽谷)、美國(維吉尼亞) |
中東 | 阿聯酋(杜拜)、沙特(利雅得) 重要 沙特(利雅得)地區由夥伴營運。 |
配額限制
配額名稱 | 描述 | 預設限制 | 申請限制 |
vpc_quota_cross_region_peer_num_per_vpc | 單個VPC支援的跨地區VPC對等串連數量 | 20個 | 您可以通過以下任意方式自助提升配額: |
vpc_quota_intra_region_peer_num_per_vpc | 單個VPC支援的同地區VPC對等串連數量 | 10個 | |
vpc_quota_peer_num | 單個阿里雲帳號單地區支援的VPC對等串連數量 | 20個 | |
vpc_quota_peer_cross_border_bandwidth | 跨境頻寬允許的最大值 | 1024 Mbps | |
vpc_quota_peer_cross_region_bandwidth | 跨地區頻寬允許的最大值 | 1024 Mbps | |
無 | 同地區頻寬預設值 | -1 Mbps,即不限制頻寬 | 無法提升 |