VPC对等连接作为连接两个VPC的产品,可以实现多个VPC之间的互通,也可以与云企业网转发路由器组合使用实现多VPC之间的互通。本文为您介绍VPC对等连接的使用示例。
示例场景
VPC对等连接的使用示例场景如下:
VPC对等连接实现多个VPC之间全连通的互访
VPC对等连接可以实现两个VPC或者多个VPC之间完全对等的关系,也可以实现您VPC与其他阿里云账号VPC之间完全对等的关系,使得VPC之间能够互联互通及共享资源。
配置步骤
创建需要互通的VPC。具体操作,请参见创建专有网络和交换机。
创建VPC对等连接。具体操作,请参见创建VPC对等连接。
配置路由。具体操作,请参见配置路由。
两个VPC之间互访
在此场景下,VPC A与VPC B之间建立对等连接(pcc-aaabbb),二者之间能够互联且共享资源。
当VPC A与VPC B都关联了IPv6 CIDR网段时,每个VPC的路由表可同时配置对端VPC的IPv4与IPv6路由条目,您可以根据需求选择采用IPv4或IPv6通信。
路由表 | 目标地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb |
当VPC A与VPC B网段相同,但VPC内需要互通的交换机网段不冲突时,每个VPC的路由表可配置对端VPC未产生重叠的交换机网段作为目标地址,建立VPC对等连接。
路由表 | 目标地址 | 下一跳 |
VPC A | 10.2.1.0/24 | pcc-aaabbb |
VPC B | 10.2.0.0/24 | pcc-aaabbb |
三个VPC之间互访
在此场景下,VPC A、VPC B、VPC C两两之间建立对等连接,各VPC之间能够互联且共享资源。
当VPC A与VPC B都关联了IPv6 CIDR网段、VPC C未关联IPv6 CIDR网段时,VPC路由表的配置如下表所示。VPC A与VPC B间可通过VPC对等连接进行IPv6通信,而VPC C无法通过IPv6协议与VPC A或VPC B通信。
路由表 | 目标地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-bbbccc | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
172.16.0.0/16 | pcc-bbbccc |
多个VPC之间互访(大于三个VPC)
在此场景下,VPC A、VPC B、VPC C、VPC D、VPC E两两之间建立对等连接,各VPC之间能够互联且共享资源。以5个VPC之间互访为例。
如上图所示,5个VPC之间两两建立对等连接,建立对等连接的数目为N*(N-1)/2
,其中N=5,一共10个对等连接。通过将对端VPC路由指向VPC对等连接实例,实现5个VPC之间的两两互通。 所有VPC都关联了IPv6 CIDR网段,路由配置如下表所示。
路由表 | 目标地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
2408:4006:121b:5b00::/56 | pcc-aaaccc | |
172.17.0.0/16 | pcc-aaaddd | |
2408:4006:121b:5d00::/56 | pcc-aaaddd | |
10.2.0.0/16 | pcc-aaaeee | |
2408:4006:121b:5c00::/56 | pcc-aaaeee | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-bbbccc | |
2408:4006:121b:5b00::/56 | pcc-bbbccc | |
172.17.0.0/16 | pcc-bbbddd | |
2408:4006:121b:5d00::/56 | pcc-bbbddd | |
10.2.0.0/16 | pcc-bbbeee | |
2408:4006:121b:5c00::/56 | pcc-bbbeee | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
2408:4006:121b:4000::/56 | pcc-aaaccc | |
172.16.0.0/16 | pcc-bbbccc | |
2408:4006:121b:3f00::/56 | pcc-bbbccc | |
172.17.0.0/16 | pcc-cccddd | |
2408:4006:121b:5d00::/56 | pcc-cccddd | |
10.2.0.0/16 | pcc-ccceee | |
2408:4006:121b:5c00::/56 | pcc-ccceee | |
VPC D | 192.168.0.0/16 | pcc-aaaddd |
2408:4006:121b:4000::/56 | pcc-aaaddd | |
172.16.0.0/16 | pcc-bbbddd | |
2408:4006:121b:3f00::/56 | pcc-bbbddd | |
10.1.0.0/16 | pcc-cccddd | |
2408:4006:121b:5b00::/56 | pcc-cccddd | |
10.2.0.0/16 | pcc-dddeee | |
2408:4006:121b:5c00::/56 | pcc-dddeee | |
VPC E | 192.168.0.0/16 | pcc-aaaeee |
2408:4006:121b:4000::/56 | pcc-aaaeee | |
172.16.0.0/16 | pcc-bbbeee | |
2408:4006:121b:3f00::/56 | pcc-bbbeee | |
10.1.0.0/16 | pcc-ccceee | |
2408:4006:121b:5b00::/56 | pcc-ccceee | |
172.17.0.0/16 | pcc-dddeee | |
2408:4006:121b:5d00::/56 | pcc-dddeee |
随着VPC数量的增多,VPC对等连接的数目以及路由条目的数量会相应增多,例如,10个VPC两两互通,则需创建45个VPC对等连接实例,每个VPC需要配置到其他9个VPC的路由,配置复杂度会变高。因此,建议创建两两VPC对等连接的VPC数量不超过10个。
VPC对等连接实现多个VPC与中心VPC互通
您在部署业务的时候,出于对安全隔离的需求,需要为不同的业务或者分支机构规划独立的VPC,这些VPC需要和中心服务VPC或者中心机构VPC之间互联互通,以便实现与中心服务VPC或者中心机构VPC之间的资源共享。例如以下场景:
公司为不同业务部门规划了不同的VPC,这些业务部门之间不能互通,但需要访问共同的服务(例如,文件共享服务、中间件服务等),这些服务部署在中心VPC内。
公司为多个用户提供服务,且服务部署在一个独立服务VPC内,每个用户VPC都与公司的独立服务VPC互通,但是不同用户VPC之间不能互通。
配置步骤
创建需要互通的VPC。具体操作,请参见创建专有网络和交换机。
创建VPC对等连接。具体操作,请参见创建VPC对等连接。
配置路由。具体操作,请参见配置路由。
如上图所示,某公司有4个分支机构以及一个中心部门,且服务部署在中心部门内。现在各个分支机构需要访问中心部门的服务,且各个部门之间不能互通。您可以如上图创建VPC对等连接,通过配置指向VPC对等连接的路由,实现访问需求。VPC的路由配置如下表所示。
路由表 | 目标地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
2408:4006:121b:5b00::/56 | pcc-aaaccc | |
172.17.0.0/16 | pcc-aaaddd | |
2408:4006:121b:5d00::/56 | pcc-aaaddd | |
10.2.0.0/16 | pcc-aaaeee | |
2408:4006:121b:5c00::/56 | pcc-aaaeee | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
2408:4006:121b:4000::/56 | pcc-aaaccc | |
VPC D | 192.168.0.0/16 | pcc-aaaddd |
2408:4006:121b:4000::/56 | pcc-aaaddd | |
VPC E | 192.168.0.0/16 | pcc-aaaeee |
2408:4006:121b:4000::/56 | pcc-aaaeee |
VPC对等连接与转发路由器组合实现多VPC间互通
VPC对等连接与转发路由器的对比如下表所示。
对比项 | VPC对等连接 | 转发路由器 |
连接方式 | Full Mesh全连接方式,VPC两两之间建立对等连接。 | Hub-Spoke连接方式,VPC以网络连接方式加入转发路由器。 |
路由传播 | 不支持 | 支持 |
配置复杂度 | 复杂度高,需要两两建立对等关系并相互配置对端路由。 | 复杂度低,VPC只需要加入转发路由器并配置路由指向转发路由器的网络连接即可。 |
支持互联VPC数目 | 最大支持10个 | 最大支持1000个 |
收费 | 同地域不收费,跨地域收取出方向流量传输费。 | 收取实例费、流量处理费,跨地域收取出方向流量传输费。 |
由于VPC对等连接的配置方式以及点对点的路由配置,当需要互联的VPC数目增多时,相应地配置复杂度也会增大,因此不适合大量VPC全连通的场景。然而,VPC对等连接具备延迟低、同地域不收费等优点。
转发路由器的Hub-Spoke连接方式,只需要VPC以网络连接的方式加入转发路由器,转发路由器便会自动同步路由。转发路由器的配置复杂度比较低,同时支持丰富的路由策略及QoS机制,可以实现复杂的组网及访问控制。然而,转发路由器自身具有带宽限制会收取流量处理费等费用,使用成本高于VPC对等连接。
不论是VPC对等连接还是转发路由器,单个产品都无法满足复杂组网、带宽要求高以及成本要求的组网需求。因此,可以通过VPC对等连接组合转发路由器的方式解决这类较复杂的需求。
以下图为例,某公司在多个地域拥有多个VPC,多个VPC之间不仅有互联互通的需求、还有路由策略控制及降低成本的需求。
针对同个地域的VPC可以通过VPC对等连接的方式将多个VPC连通,做到同地域无任何费用产生,且访问延迟低。
跨地域访问通过Transit VPC加入转发路由器,实现本地域VPC与其他地域VPC互联互通以及精细化的路由策略控制。
部分VPC之间需要跨域互联但带宽较大的场景,通过跨地域VPC对等连接实现互通(例如,VPC A 和VPC C)。