实现不同VPC之间的私网互通与隔离(同账号跨地域)
最近更新时间:2024.04.23 10:47:46
首次发布时间:2023.09.12 10:21:32
本文为您介绍如何通过中转路由器实现同地域的2个VPC分别与本账号中不同地域的VPC互通,使得vpc01和vpc02均可以通过中转路由器与vpc03互通,但vpc01与vpc02之间不能互通,如下图所示。
前提条件
- 已完成本文所需3个VPC及其子网的创建,详细操作可参见搭建IPv4私有网络。
说明
请确保各VPC中的子网段不冲突,即无重复网段或重叠网段。
- 已完成3个VPC中ECS实例的创建,详细操作可参见购买云服务器。
路由规划
同一TR实例下,访问目标完全相同的多个网络实例可以通过同一个TR路由表转发流量。
- 华南1(广州)地域中:vpc01与vpc02均只能访问vpc03,所以vpc01与vpc02的访问流量可以通过同一个TR路由表转发;而跨地域连接需同时访问vpc01和vpc02,可访问目标与vpc01和vpc02不同,所以其访问流量需要通过另一个TR路由表转发。
- 华北2(北京)地域中:vpc03和跨地域连接均需要同时访问vpc01和vpc02,可访问目标完全相同,因此只需要使用一个TR路由表。
综上所述,本文中通过中转路由器实现不同VPC之间流量互通与隔离至少需要3个TR路由表,具体路由规划如下图所示。
说明
上图中VPC路由表中的路由可以手动配置,也可以自动同步,本文以自动同步方式为例进行介绍。如需手动配置VPC路由,请参见搭建云上VPC网络的互通与隔离。
配置流程
- 配置华南1(广州)地域中的TR实例:在华南1(广州)地域创建一个TR实例,并创建分别连接vpc01和vpc02的网络实例连接。
- 创建TR实例:创建华南1(广州)地域的TR实例。
- 创建TR自定义路由表:为TR实例创建一个自定义路由表,和TR系统路由表一起用于接收和转发网络流量。
- 创建网络实例连接并配置路由:在TR实例上创建2个网络实例连接,分别连接该地域的2个VPC,并通过关联转发和路由学习分别配置中转路由器侧来自和去往2个VPC的流量走向,通过路由同步配置VPC侧流量走向。
- 配置华北2(北京)地域中的TR实例:创建一个TR实例,并创建连接vpc03的网络实例连接。
- 创建TR实例:创建华北2(北京)地域的TR实例。
- 创建网络实例连接并配置路由:在TR实例上创建1个网络实例连接,连接该地域的VPC,并通过关联转发和路由学习分别配置中转路由器侧来自和去往该VPC的流量走向,通过路由同步配置VPC侧流量走向。
- 配置跨地域带宽:通过跨地域连接连通2个地域的TR实例。
- 创建带宽包:创建一个带宽包,为跨地域连接提供带宽资源
- 创建跨地域连接并配置路由:创建一个跨地域连接,连接上述两个地域的TR实例,为其分配带宽,并为其配置关联转发和路由学习实现两个地域TR实例上的路由传递。
- 结果验证:通过
ping命令测试不同VPC中ECS实例之间的连通性,确保实现了目标场景的互通和隔离。
配置步骤
步骤一:配置华南1(广州)地域中的TR实例
一、创建TR实例
- 登录中转路由器控制台。
- 在顶部导航栏,选择目标项目和地域。
- 单击“创建中转路由器”按钮,进入创建中转路由器页面,参考下表配置TR实例相关参数。
参数 说明 取值示例 地域 选择待创建TR实例所属的地域。 华南1(广州) 名称 输入待创建TR实例的名称。 tr01 ASN
指定TR实例BGP AS号(自治系统编号),取值范围为64512~65534或4200000000~4294967294。不同地域的TR实例请分别使用不同的ASN。
该TR实例发布到其他网络实例的路由,其路由属性AsPath最前面会自动添加该TR实例的ASN。说明
该参数正在邀测中,如需使用,请联系客户经理申请。
64512
项目 选择TR实例所属项目。 default 协议 请根据控制台指引查阅并确认相关协议。 勾选 - 单击“确定”按钮,完成TR实例的创建。
说明
创建TR实例时系统会自动为其创建一个系统路由表,请记录该系统路由表的名称。下文以tr01-rtb-sys为例进行介绍。
二、创建TR自定义路由表
- 单击已创建TR实例的名称,进入实例详情页面。
- 在“基本信息”下方区域,选择“路由表”页签。
- 单击路由表列表右侧的“创建路由表”按钮,进入创建路由表页面,输入路由表名称tr01-rtb-set。
- 单击“确定”按钮,完成TR路由表的创建。
三、创建网络实例连接并配置路由
参考以下步骤创建2条网络实例连接,分别连接vpc01和vpc02。
在“基本信息”下方区域,选择“同地域网络实例连接”页签。
单击“创建网络实例连接”按钮,进入创建网络实例连接页面,参考下表完成网络实例连接的基础配置。
参数 说明 取值示例(连接vpc01) 取值示例(连接vpc02) 基本信息 中转路由器 默认为您选定的中转路由器实例,无需手动配置。 tr01 tr01 地域 默认与中转路由器实例的地域相同,无需手动配置。 华南1(广州) 华南1(广州) 名称 待创建网络实例连接的名称。 attach-vpc01 attach-vpc02 网络实例 网络实例类型 选择待创建网络实例连接的类型。 私有网络 私有网络 私有网络 选择待连接的私有网络实例。 vpc01 vpc02 连接点配置 可用区及子网 选择TR连通VPC时的入口点,请先选择可用区再选择子网。 可用区A,subnet01 可用区A,subnet02 参考下表完成网络实例连接的路由配置。
参数 说明 取值示例(连接vpc01) 取值示例(连接vpc02) 关联转发
TR将根据该网络实例连接所关联转发的路由表,转发来自对应网络实例的流量。
说明
以attach-vpc01为例,中转路由器将根据TR路由表tr01-rtb-sys转发来自vpc01的流量。
开启,tr01-rtb-sys
开启,tr01-rtb-sys
路由学习
选择的TR路由表将自动学习该网络实例的路由,生成下一跳为对应网络实例连接的路由条目。
说明
以attach-vpc01为例,开启路由学习后,TR路由表tr01-rtb-set中自动生成目标网段为vpc01子网段,下一跳为attach-vpc01的路由。
开启,tr01-rtb-set
开启,tr01-rtb-set
路由同步
开启路由同步会将该网络实例连接关联转发的TR路由表中的路由,自动同步至该私有网络的所有路由表中,作为系统路由条目。
说明
以attach-vpc01为例,开启路由同步后,系统自动将TR路由表tr01-rtb-sys中的路由条目同步到vpc01所有路由表中,作为系统路由条目。
开启
开启
单击“确定”按钮,完成操作。
本步骤配置完成后,TR路由表和VPC路由表中的路由条目如下:
- TR路由表tr01-rtb-sys中暂无路由条目,tr01-rtb-set中的路由条目如下图所示。
- 由于vpc01和vpc02路由表自动同步TR路由表tr01-rtb-sys中的路由条目,因此vpc01和vpc02路由表中的路由条目无变化。
步骤二:配置华北2(北京)地域中的TR实例
一、创建TR实例
返回TR实例列表页面,在顶部导航栏选择目标项目和地域。
单击“创建中转路由器”按钮,进入创建中转路由器页面,参考下表配置TR实例相关参数。
参数 说明 取值示例 地域 选择待创建TR实例所属的地域。 华北2(北京) 名称 输入待创建TR实例的名称。 tr02 ASN
指定TR实例的BGP AS号(自治系统编号),取值范围为64512~65534或4200000000~4294967294。不同地域的TR实例请分别使用不同的ASN。
该TR实例发布到其他网络实例的路由,路由属性AsPath最前面会自动添加该TR实例的ASN。64513
项目 选择TR实例所属项目。 default 协议 请根据控制台指引查阅并确认相关协议。 勾选 单击“确定”按钮,完成TR实例的创建。
说明
创建TR实例时系统会自动为其创建一个系统路由表,请记录该系统路由表的名称。下文以tr02-rtb-sys为例进行介绍。
二、创建网络实例连接并配置路由
单击已创建TR实例的名称,进入实例详情页面
在“基本信息”下方区域,选择“同地域网络实例连接”页签。
单击“创建网络实例连接”按钮,进入创建网络实例连接页面,参考下表完成网络实例连接的基本配置。
参数 说明 取值示例(连接vpc03) 基本信息 中转路由器 默认为您选定的中转路由器实例,无需手动配置。 tr02 地域 默认与中转路由器实例的地域相同,无需手动配置。 华北2(北京) 名称 待创建网络实例连接的名称。 attach-vpc03 网络实例 网络实例类型 选择待创建网络实例连接的类型。 私有网络 私有网络 选择待连接的私有网络实例。 vpc03 连接点配置 可用区及子网 选择TR连通VPC时的入口点,请先选择可用区再选择子网。 可用区A,subnet03 参考下表完成网络实例连接的路由配置。
参数 说明 取值示例(连接vpc03) 关联转发 TR将根据该网络实例连接关联转发的TR路由表tr02-rtb-sys,转发来自该网络实例vpc03的流量。
此时,TR路由表中并没有路由条目,只是指定了TR路由表转发流量的来源,并不能真正实现流量转发,后续还需要通过路由学习或静态路由为TR路由表配置目标网段。开启,tr02-rtb-sys 路由学习 选择的TR路由表tr02-rtb-sys将自动学习该网络实例vpc03的路由,生成目标网段为vpc03子网段,下一跳为attach-vpc03的路由条目。 开启,tr02-rtb-sys 路由同步 开启路由同步会将该网络实例连接关联转发的TR路由表tr02-rtb-sys中的路由,自动同步至该私有网络vpc03的所有路由表中,作为系统路由条目。 开启 单击“确定”按钮,完成操作。
本步骤配置完成后,TR路由表和VPC路由表中的路由条目如下:
- TR路由表tr02-rtb-sys中的路由条目如下图所示。
- 由于vpc03路由表同步TR路由表tr02-rtb-sys中的路由条目,而该TR路由表中没有下一跳不是vpc03网络实例连接的路由条目,因此并不会同步路由到vpc03路由表中,即vpc03路由表中的路由条目无变化。
步骤三:配置跨地域带宽
一、创建带宽包
说明
带宽包无地域属性,属于全地域资源,可以在顶部导航栏为任意地域时购买。
在左侧导航树中单击“带宽包”,进入带宽包列表页面。
单击“创建带宽包”按钮,进入创建页面,参考下表配置带宽包信息。
参数 说明 取值示例 基本信息 计费类型 待创建带宽包的计费类型,默认为包年包月。 包年包月 名称 输入待创建带宽包的名称。 trbp01 带宽配置 互通区域 带宽包需要互通的本端区域和对端区域,当前仅支持中国大陆。 中国大陆 ~ 中国大陆 带宽 指定带宽包的带宽上限。取值范围为2~10000,单位为Mbps。 2Mbps 购买时长 选择带宽包需要购买的时长。 1个月 自动续费 选择是否开启自动续费,默认不开启。 不勾选 更多信息 项目 指定带宽包所属项目。 default 在右侧配置详情窗口中,请根据控制台指引查阅并确认相关协议。
确认配置信息无误后,单击“提交订单”按钮,完成操作。
二、创建跨地域连接并配置路由
在顶部导航栏选择目标TR实例所属项目和地域,此处项目以default为例,地域以华南1(广州)为例。
在左侧导航树中单击“中转路由器”,进入中转路由器列表页面。
单击已创建的TR实例的名称,进入中转路由器详情页面。
在“基本信息”下方区域的“跨地域连接”页签,单击“创建跨地域连接”按钮,进入创建跨地域连接页面,参考下表配置跨地域连接的基础信息。
参数 说明 取值示例 基本信息 中转路由器 默认为您选定的中转路由器实例,无需手动配置。 tr01 地域 默认与中转路由器实例的地域相同,无需手动配置。 华南1(广州) 名称 待创建跨地域连接的名称。 attach-跨地域 网络实例 网络实例类型 跨地域连接仅支持中转路由器类型的网络实例。 中转路由器 对端地域 需要实现跨地域互通的地域。 华北2(北京) 实例 按项目选择对端地域中的中转路由器实例。 tr02 带宽包 选择是否同时为跨地域连接分配带宽。勾选“加入带宽包”后,请按项目选择带宽包并设置带宽大小。 勾选,trbp01,2Mbps 参考下表配置跨地域连接的路由信息。
参数 说明 取值示例 本端TR关联转发 TR将根据路由表tr01-rtb-set转发来自该跨地域连接的流量。
后续还需要为该TR路由表配置目标网段。开启,tr01-rtb-set 对端TR关联转发 TR将根据路由表tr02-rtb-sys转发来自该跨地域连接的流量。
后续还需要为该TR路由表配置目标网段。开启,tr02-rtb-sys 本端TR路由学习 开启本端TR路由学习表示指定的本端TR路由表会自动学习对端TR的路由条目,在该TR路由表中自动生成下一跳为跨地域连接的路由条目。 开启,tr01-rtb-sys 对端TR路由学习 开启对端TR路由学习表示指定的对端TR路由表会自动学习本端TR的路由条目,在该TR路由表中自动生成下一跳为跨地域连接的路由条目。 开启,tr02-rtb-sys 说明
跨地域连接支持路由学习的功能正在邀测中,如需使用,请联系客户经理申请。
单击“确定”按钮,完成操作。
本步骤配置完成后,TR路由表和VPC路由表中的路由条目如下:
- TR路由表tr01-rtb-sys和tr02-rtb-sys中的路由条目如下图所示。
- 由于vpc01和vpc02路由表同步TR路由表tr01-rtb-sys中的路由条目,vpc03路由表同步TR路由表tr02-rtb-sys中的路由条目,因此各VPC路由表中的路由条目如下图所示。
结果验证
以下验证步骤以Linux云服务器为例:
- 远程登录vpc01中的ECS实例,具体操作请参考登录Linux实例。
- 执行
ping命令分别连接vpc02和vpc03中的云服务器私网IP地址,测试网络连通性。- vpc01中的ECS实例与vpc02中的ECS实例相互隔离,无法Ping通。
- vpc01中的ECS实例与vpc03中的ECS实例能够互通,可以Ping通。
- 同理,远程登录vpc02、vpc03中的ECS实例,验证vpc02、vpc03与其他VPC的连通性。