创建VPC对等连接后,您需要正确配置路由,才能确保VPC内部署的云产品资源通过私有IPv4地址或IPv6地址互相访问。
示例场景
使用场景 | VPC对等连接配置说明 |
将对端VPC网段作为目标网段,实现连通的VPC内资源的完全访问 | |
| |
根据业务需求,将对端不重叠的交换机网段作为目标网段,实现连通的VPC内资源的部分访问 |
VPC对等连接配置的路由条目占用单个路由表支持创建的自定义路由条目配额,如果您需要建立多个VPC之间的对等连接,进行网络规划时需要考虑此限制。
VPC对等连接实现多个VPC之间全连通的互访
VPC对等连接是两个VPC之间的网络连接,支持IPv4或IPv6互连。您可以通过VPC对等连接实现IPv4或IPv6流量互通,从而实现同账号或跨账号的两个VPC间同地域或跨地域的私网互通。为VPC对等连接的两端配置指向对端的路由条目时,将对端VPC网段作为目标网段,实现连通的VPC内资源的完全访问,即VPC中的任何资源都能与对端VPC中的任何资源进行通信,简化管理。
两个VPC之间互访
在此场景下,VPC A与VPC B之间建立对等连接(pcc-aaabbb),二者VPC网段没有重叠。
如果您为业务部门部署VPC A,为财务部门部署VPC B,当您需要这两个VPC能访问对端VPC中所有交换机内的实例资源,可以按照此路由配置,实现VPC互联且共享资源。
当VPC A与VPC B都关联了IPv6 CIDR网段时,每个VPC的路由表可同时配置对端VPC的IPv4与IPv6路由条目,您可以根据需求选择采用IPv4或IPv6通信。
路由表 | 目标地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:XXXX:XXXX:3f00::/56 | pcc-aaabbb | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:XXXX:XXXX:4000::/56 | pcc-aaabbb |
三个VPC之间互访
在此场景下,VPC A、VPC B、VPC C两两之间建立对等连接,各VPC之间能够互联且共享资源。
当VPC A与VPC B都关联了IPv6 CIDR网段、VPC C未关联IPv6 CIDR网段时,VPC路由表的配置如下表所示。VPC A与VPC B间可通过VPC对等连接进行IPv6通信,而VPC C无法通过IPv6协议与VPC A或VPC B通信。
路由表 | 目标地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:XXXX:XXXX:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:XXXX:XXXX:4000::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-bbbccc | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
172.16.0.0/16 | pcc-bbbccc |
多个VPC之间互访(大于三个VPC)
在此场景下,VPC A、VPC B、VPC C、VPC D、VPC E两两之间建立对等连接,各VPC之间能够互联且共享资源。以5个VPC之间互访为例。
如上图所示,5个VPC之间两两建立对等连接,建立对等连接的数目为N*(N-1)/2
,其中N=5,一共10个对等连接。通过将对端VPC路由指向VPC对等连接实例,实现5个VPC之间的两两互通。 所有VPC都关联了IPv6 CIDR网段,路由配置如下所示。
随着VPC数量的增多,VPC对等连接的数目以及路由条目的数量会相应增多,例如,10个VPC两两互通,则需创建45个VPC对等连接实例,每个VPC需要配置到其他9个VPC的路由,配置复杂度会变高。当您部署超过10个VPC,需要两两之间互访时,建议您使用云企业网以降低配置复杂度。
多个VPC之间互访路由配置
VPC对等连接实现多个VPC与中心VPC互通
您在部署业务的时候,出于对安全隔离的需求,需要为不同的业务或者分支机构规划独立的VPC,这些VPC需要和中心服务VPC或者中心机构VPC之间互联互通,以便实现与中心服务VPC或者中心机构VPC之间的资源共享。例如以下场景:
公司为不同业务部门规划了不同的VPC,这些业务部门之间不能互通,但需要访问共同的服务(例如,文件共享服务、中间件服务等),这些服务部署在中心VPC内。
公司为多个用户提供服务,且服务部署在一个独立服务VPC内,每个用户VPC都与公司的独立服务VPC互通,但是不同用户VPC之间不能互通。
单个VPC支持使用对等连接来连通的VPC数量有限,同地域默认10个,跨地域默认20个。
如上图所示,某公司有4个分支机构以及一个中心部门,且服务部署在中心部门内。现在各个分支机构需要访问中心部门的服务,且各个部门之间不能互通。您可以如上图创建VPC对等连接,通过配置指向VPC对等连接的路由,实现访问需求。VPC的路由配置如下所示。
VPC对等连接实现多个VPC与中心VPC互通路由配置
VPC对等连接与转发路由器组合实现多VPC间互通
VPC对等连接与转发路由器的对比如下表所示。
对比项 | VPC对等连接 | 转发路由器 |
连接方式 | Full Mesh全连接方式,VPC两两之间建立对等连接。 | Hub-Spoke连接方式,VPC以网络连接方式加入转发路由器。 |
路由传播 | 不支持 | 支持 |
配置复杂度 | 复杂度高,需要两两建立对等关系并相互配置对端路由。 | 复杂度低,VPC只需要加入转发路由器并配置路由指向转发路由器的网络连接即可。 |
支持互联VPC数目 | 最大支持10个 | 最大支持1000个 |
收费 | 同地域不收费,跨地域收取出方向流量传输费。 | 收取实例费、流量处理费,跨地域收取出方向流量传输费。 |
VPC对等连接具备延迟低、同地域不收费等优点,但对等连接需要进行点对点的全连接路由配置,当需要互联的VPC数目增多时,相应的配置复杂度也会增大,因此不适合大量VPC全连通的场景。
而转发路由器的配置复杂度比较低,您可以使用转发路由器的Hub-Spoke连接方式,只需要VPC以网络连接的方式加入转发路由器,转发路由器便会自动同步路由。同时,转发路由器支持丰富的路由策略及QoS机制,可以实现复杂的组网及访问控制。然而,转发路由器自身具有带宽限制会收取流量处理费等费用,使用成本高于VPC对等连接。
不论是VPC对等连接还是转发路由器,单个产品都无法满足复杂组网、带宽要求高以及成本要求的组网需求。因此,您可以结合使用VPC对等连接和转发路由器,解决这类较复杂的需求。
以下图为例,某公司在多个地域拥有多个VPC,多个VPC之间不仅有互联互通的需求、还有路由策略控制及降低成本的需求。
针对同个地域的VPC可以通过VPC对等连接的方式将多个VPC连通,做到同地域无任何费用产生,且访问延迟低。
跨地域访问通过Transit VPC加入转发路由器,实现本地域VPC与其他地域VPC互联互通以及精细化的路由策略控制。
部分VPC之间需要跨域互联但带宽较大的场景,通过跨地域VPC对等连接实现互通。(例如,VPC A 和VPC C)。
VPC网段重叠时使用对等连接实现资源互访
如果您想要连通的两个VPC网段重叠,您可以按照以下配置实现部分资源互访。
建议您提前做好网络规划,将需要互通的业务部署在网段不重叠的VPC内,避免出现地址冲突。
使用以下配置,将交换机网段作为目标网段实现部分资源互访,后续业务部署时,您需要避免新建交换机与现有交换机出现网段冲突。
两个网段重叠的VPC部分互访
交换机网段不重叠
如果您创建VPC对等连接的两端VPC网段重叠时,配置VPC B网段作为目标地址后,由于此时系统路由10.2.0.0/24
和对等连接路由的目的地址10.2.0.0/20
重叠,VPC A访问VPC B的流量会优先匹配系统路由,在VPC A内部转发,无法抵达VPC B。您可以配置对端VPC未产生重叠的交换机网段10.2.1.0/24
、10.2.2.0/24
和10.2.0.0/24
分别作为两端VPC的目标地址,实现交换机内的实例资源的互访。
交换机网段重叠
如果要互通的交换机网段重叠时,由于VPC A比系统路由10.2.0.0/24
更明细的路由10.2.0.0/26
,且VPC B的系统路由10.2.0.0/26
和对等连接路由的目的地址10.2.0.0/24
重叠,VPC B访问VPC A的流量会优先匹配系统路由,在VPC B内部转发,无法抵达VPC A,您无法配置对端交换机网段作为目标地址,两端VPC无法连通。