更新时间:2024-03-27 GMT+08:00
分享

指向VPC子网的对等连接配置

操作场景

本章节指导用户配置指向VPC子网的对等连接,在VPC路由表中添加的路由目的地址为对端VPC子网网段,此时对等连接两端连通的是VPC内指定子网的资源,示例场景如表1所示。
表1 指向VPC子网的对等连接场景说明

组网示例

场景推荐

IP类型

组网规划说明

对等连接配置指导

两个VPC与一个中心VPC的两个子网对等

当您需要一个中心VPC和其他多个VPC之间资源互访,中心VPC部署的资源类型不同,要求其他多个VPC只能访问中心VPC的特定资源,且彼此之间隔离,可以参考本示例规划组网。

  • 中心VPC具有多个子网,不同子网中部署不同类型的资源。
  • 其他VPC根据业务需要访问中心VPC内特定子网的资源。

IPv4

配置两个VPC与一个中心VPC的两个子网对等 (IPv4)

IPv6/IPv4

配置两个VPC与一个中心VPC的两个子网对等 (IPv6/IPv4)

一个中心VPC与两个VPC的特定子网对等

当您需要一个中心VPC和其他多个VPC之间资源互访,中心VPC部署某类公共资源,其他VPC只有特定子网可以访问中心VPC内的资源,且彼此之间隔离,可以参考本示例规划组网。

  • 中心VPC部署的公共资源没有分类,其他VPC可以访问中心VPC内的所有资源。
  • 其他VPC具有多个子网,根据业务需要指定某个子网访问中心VPC内的资源。

IPv4

配置一个中心VPC与两个VPC的特定子网对等 (IPv4)

一个中心VPC与两个VPC的重叠子网对等

本示例与上面的场景类似,当其他多个VPC和中心VPC对等的子网网段重叠时,可能会导致流量无法被转发到正确的目的地址,请参考本示例规划组网,避免发生该情况。

IPv4

配置一个中心VPC与两个VPC的重叠子网对等 (IPv4)

约束与限制

  • 配置对等连接时,请检查本端和对端VPC内的ECS安全组情况,如果ECS位于不同安全组,需要在安全组中添加规则放通不同安全组的网络,具体请参见不同安全组内的弹性云服务器内网互通

    本章节所有示例中,本端和对端的ECS位于同一个安全组内,不需要额外配置。

  • VPC的单个路由表中最多可添加200条路由,如果您要建立多个VPC之间的对等连接,规划组网时,请务必考虑该限制。
  • 在VPC路由表中,路由优先级说明如下:
    • Local路由:属于系统自动添加的路由,用于VPC内通信,优先级高于自定义路由。
    • 自定义路由:属于用户自己添加的路由,自定义路由遵循最长匹配原则,即优先选择匹配度更高的目的地址进行路由转发。

配置两个VPC与一个中心VPC的两个子网对等 (IPv4)

本示例中,中心VPC-A拥有两个子网,并分别关联至不同的路由表。在子网Subnet-A01和VPC-B之间创建对等连接Peering-AB,在子网Subnet-A02和VPC-C之间创建对等连接Peering-AC。此处VPC-B和VPC-C网段重叠,由于VPC-A的两个子网关联至不同的路由表,因此对等连接路由不会冲突。
  • 资源规划详情,请参见表2
  • 对等连接关系,请参见表3
图1 两个VPC与一个中心VPC的两个子网对等(IPv4)
表2 资源规划详情-两个VPC与一个中心VPC的两个子网对等(IPv4)

VPC名称

VPC网段

子网名称

子网网段

关联VPC路由表

ECS名称

安全组

私有IP地址

VPC-A

172.16.0.0/16

Subnet-A01

172.16.0.0/24

rtb-VPC-A01

ECS-A01

sg-web:通用Web服务器

172.16.0.111

Subnet-A02

172.16.1.0/24

rtb-VPC-A02

ECS-A02

172.16.1.91

VPC-B

10.0.0.0/16

Subnet-B01

10.0.0.0/24

rtb-VPC-B

ECS-B01

10.0.0.139

VPC-C

10.0.0.0/16

Subnet-C01

10.0.0.0/24

rtb-VPC-C

ECS-C01

10.0.0.71

VPC-A有两张路由表,分别关联不同的子网,路由表rtb-VPC-A01关联子网Subnet-A01,路由表子网rtb-VPC-A02关联子网Subnet-A02,两个子网间可正常通信。

表3 对等连接关系说明-两个VPC与一个中心VPC的两个子网对等(IPv4)

VPC对等关系

对等连接名称

本端VPC

对端VPC

VPC-A的子网Subnet-A01和VPC-B对等

Peering-AB

VPC-A

VPC-B

VPC-A的子网Subnet-A02和VPC-C对等

Peering-AC

VPC-A

VPC-C

对等连接创建完成后,您需要在本端和对端VPC路由表中,添加以下路由:
表4 VPC路由表配置说明-两个VPC与一个中心VPC的两个子网对等(IPv4)

路由表

目的地址

下一跳

路由类型

路由说明

rtb-VPC-A01

172.16.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

172.16.1.0/24

Local

系统路由

10.0.0.0/16 (VPC-B)

Peering-AB

自定义

在VPC-A的路由表rtb-VPC-A01中,添加目的地址为VPC-B网段,下一跳指向Peering-AB的路由。

rtb-VPC-A02

172.16.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

172.16.1.0/24

Local

系统路由

10.0.0.0/16 (VPC-C)

Peering-AC

自定义

在VPC-A的路由表rtb-VPC-A02中,添加目的地址为VPC-C网段,下一跳指向Peering-AC的路由。

rtb-VPC-B

10.0.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

172.16.0.0/24 (Subnet-A01)

Peering-AB

自定义

在VPC-B的路由表中,添加目的地址为Subnet-A01的网段,下一跳指向Peering-AB的路由。

rtb-VPC-C

10.0.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

172.16.1.0/24 (Subnet-A02)

Peering-AC

自定义

在VPC-C的路由表中,添加目的地址为Subnet-A02的网段,下一跳指向Peering-AC的路由。

配置两个VPC与一个中心VPC的两个子网对等 (IPv6/IPv4)

本示例中,中心VPC-A拥有两个子网,并分别关联至不同的路由表。在子网Subnet-A01和VPC-B之间创建对等连接Peering-AB,用于IPv6通信。在子网Subnet-A02和VPC-C之间创建对等连接Peering-AC,用于IPv4通信。此处VPC-B和VPC-C网段重叠,由于VPC-A的两个子网关联至不同的路由表,因此对等连接路由不会冲突。
  • 资源规划详情,请参见表5
  • 对等连接关系,请参见表6
图2 两个VPC与一个中心VPC的两个子网对等(IPv6/IPv4)
表5 资源规划详情-两个VPC与一个中心VPC的两个子网对等(IPv6/IPv4)

VPC名称

VPC网段

子网名称

子网网段

关联VPC路由表

ECS名称

安全组

私有IP地址

VPC-A

172.16.0.0/16

Subnet-A01

  • IPv4: 172.16.0.0/24
  • IPv6: 2407:c080:802:c34::/64

rtb-VPC-A01

ECS-A01

sg-web:通用Web服务器

  • IPv4: 172.16.0.111
  • IPv6: 2407:c080:802:c34:a925:f12e:cfa0:8edb

Subnet-A02

172.16.1.0/24

rtb-VPC-A02

ECS-A02

172.16.1.91

VPC-B

10.0.0.0/16

Subnet-B01

  • IPv4: 10.0.0.0/24
  • IPv6: 2407:c080:802:c35::/64

rtb-VPC-B

ECS-B01

  • IPv4: 10.0.0.139
  • IPv6: 2407:c080:802:c35:493:33f4:4531:5162

VPC-C

10.0.0.0/16

Subnet-C01

10.0.0.0/24

rtb-VPC-C

ECS-C01

10.0.0.71

VPC-A有两张路由表,分别关联不同的子网,路由表rtb-VPC-A01关联子网Subnet-A01,路由表子网rtb-VPC-A02关联子网Subnet-A02,两个子网间可正常通信。

表6 对等连接关系说明-两个VPC与一个中心VPC的两个子网对等(IPv6/IPv4)

VPC对等关系

对等连接名称

本端VPC

对端VPC

VPC-A的子网Subnet-A01和VPC-B对等(IPv6)

Peering-AB

VPC-A

VPC-B

VPC-A的子网Subnet-A02和VPC-C对等(IPv4)

Peering-AC

VPC-A

VPC-C

对等连接创建完成后,您需要在本端和对端VPC路由表中,添加以下路由:
表7 VPC路由表配置说明-两个VPC与一个中心VPC的两个子网对等(IPv6/IPv4)

路由表

目的地址

下一跳

路由类型

路由说明

rtb-VPC-A01

172.16.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

2407:c080:802:c34::/64

Local

系统路由

172.16.1.0/24

Local

系统路由

10.0.0.0/16 (VPC-B)

Peering-AB

自定义

在VPC-A的路由表rtb-VPC-A01中,添加目的地址为VPC-B网段,下一跳指向Peering-AB的路由,用于IPv4通信。

2407:c080:802:c35::/64 (Subnet-B01)

Peering-AB

自定义

在VPC-A的路由表rtb-VPC-A01中,添加目的地址为子网Subnet-B01的IPv6网段,下一跳指向Peering-AB的路由,用于IPv6通信。

rtb-VPC-A02

172.16.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

2407:c080:802:c34::/64

Local

系统路由

172.16.1.0/24

Local

系统路由

10.0.0.0/16 (VPC-C)

Peering-AC

自定义

在VPC-A的路由表rtb-VPC-A02中,添加目的地址为VPC-C网段,下一跳指向Peering-AC的路由,用于IPv4通信。

rtb-VPC-B

10.0.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

2407:c080:802:c35::/64

Local

系统路由

172.16.0.0/24 (Subnet-A01)

Peering-AB

自定义

在VPC-B的路由表中,添加目的地址为Subnet-A01的网段,下一跳指向Peering-AB的路由,用于IPv4通信。

2407:c080:802:c34::/64 (Subnet-A01)

Peering-AB

自定义

在VPC-B的路由表中,添加目的地址为子网Subnet-A01的IPv6网段,下一跳指向Peering-AB的路由,用于IPv6通信。

rtb-VPC-C

10.0.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

172.16.1.0/24 (Subnet-A02)

Peering-AC

自定义

在VPC-C的路由表中,添加目的地址为子网Subnet-A02的网段,下一跳指向Peering-AC的路由,用于IPv4通信。

配置一个中心VPC与两个VPC的特定子网对等 (IPv4)

本示例中,在中心VPC-A和Subnet-B01之间创建对等连接Peering-AB,在中心VPC-A和Subnet-C02之间创建对等连接Peering-AC。此处VPC-B和VPC-C的VPC网段重叠,但是Subnet-B01和Subnet-C02子网网段不重叠,不会造成路由冲突。
  • 资源规划详情,请参见表8
  • 对等连接关系,请参见表9
图3 一个中心VPC与两个VPC的特定子网对等(IPv4)
表8 资源规划详情-一个中心VPC与两个VPC的特定子网对等(IPv4)

VPC名称

VPC网段

子网名称

子网网段

关联VPC路由表

ECS名称

安全组

私有IP地址

VPC-A

172.16.0.0/16

Subnet-A01

172.16.0.0/24

rtb-VPC-A

ECS-A01

sg-web:通用Web服务器

172.16.0.111

VPC-B

10.0.0.0/16

Subnet-B01

10.0.0.0/24

rtb-VPC-B

ECS-B01

10.0.0.139

Subnet-B02

10.0.1.0/24

rtb-VPC-B

ECS-B02

10.0.1.167

VPC-C

10.0.0.0/16

Subnet-C01

10.0.0.0/24

rtb-VPC-C

ECS-C01

10.0.0.71

Subnet-C02

10.0.1.0/24

rtb-VPC-C

ECS-C02

10.0.1.116

表9 对等连接关系说明-一个中心VPC与两个VPC的特定子网对等(IPv4)

VPC对等关系

对等连接名称

本端VPC

对端VPC

VPC-A和VPC-B的子网Subnet-B01对等

Peering-AB

VPC-A

VPC-B

VPC-A和VPC-C的子网Subnet-C02对等

Peering-AC

VPC-A

VPC-C

对等连接创建完成后,您需要在本端和对端VPC路由表中,添加以下路由:
表10 VPC路由表配置说明-一个中心VPC与两个VPC的特定子网对等(IPv4)

路由表

目的地址

下一跳

路由类型

路由说明

rtb-VPC-A

172.16.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

10.0.0.0/24 (Subnet-B01)

Peering-AB

自定义

在VPC-A的路由表中,添加目的地址为Subnet-B01的网段,下一跳指向Peering-AB的路由。

10.0.1.0/24 (Subnet-C02)

Peering-AC

自定义

在VPC-A的路由表中,添加目的地址为Subnet-C02的网段,下一跳指向Peering-AC的路由。

rtb-VPC-B

10.0.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

10.0.1.0/24

Local

系统路由

172.16.0.0/16 (VPC-A)

Peering-AB

自定义

在VPC-B的路由表中,添加目的地址为VPC-A的网段,下一跳指向Peering-AB的路由。

rtb-VPC-C

10.0.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

10.0.1.0/24

Local

系统路由

172.16.0.0/16 (VPC-A)

Peering-AC

自定义

在VPC-C的路由表中,添加目的地址为VPC-A的网段,下一跳指向Peering-AC的路由。

配置一个中心VPC与两个VPC的重叠子网对等 (IPv4)

如果同一个VPC要与多个网段重叠的VPC子网创建对等连接,那么配置路由的时候,请确保路由的目的地址不会出现冲突,并且流量可以正确的转发。

在本示例中,在中心VPC-A和Subnet-B02之间创建对等连接Peering-AB,在中心VPC-A和Subnet-C02之间创建对等连接Peering-AC。此处Subnet-B02和Subnet-C02子网网段重叠,并且云服务器ECS-B02私有IP地址和ECS-C02的私有IP地址一样,均为10.0.1.167/32。
  • 资源规划详情,请参见表11
  • 对等连接关系,请参见表12
图4 一个中心VPC与两个VPC的重叠子网对等(IPv4)
表11 资源规划详情-一个中心VPC与两个VPC的重叠子网对等(IPv4)

VPC名称

VPC网段

子网名称

子网网段

关联VPC路由表

ECS名称

安全组

私有IP地址

VPC-A

172.16.0.0/16

Subnet-A01

172.16.0.0/24

rtb-VPC-A

ECS-A01

sg-web:通用Web服务器

172.16.0.111

VPC-B

10.0.0.0/16

Subnet-B01

10.0.0.0/24

rtb-VPC-B

ECS-B01

10.0.0.139

Subnet-B02

10.0.1.0/24

rtb-VPC-B

ECS-B02

10.0.1.167

VPC-C

10.0.0.0/16

Subnet-C01

10.0.0.0/24

rtb-VPC-C

ECS-C01

10.0.0.71

Subnet-C02

10.0.1.0/24

rtb-VPC-C

ECS-C02

10.0.1.167

表12 对等连接关系说明-一个中心VPC与两个VPC的重叠子网对等(IPv4)

VPC对等关系

对等连接名称

本端VPC

对端VPC

VPC-A和VPC-B的子网Subnet-B02对等

Peering-AB

VPC-A

VPC-B

VPC-A和VPC-C的子网Subnet-C02对等

Peering-AC

VPC-A

VPC-C

对等连接创建完成后,您在本端和对端VPC路由表中,如果按照表13添加路由,那么会导致响应流量无法正确返回,具体说明如下:
  1. VPC-B子网Subnet-B02中的云服务器ECS-B02向VPC-A发送请求流量,通过rtb-VPC-B路由表中Peering-AB对应的路由将流量转发到VPC-A。
  2. VPC-A收到来自云服务器ECS-B02的请求流量,期望的结果是将响应流量返回到ECS-B02。但是在rtb-VPC-A路由表中,目的地址为10.0.1.167/32时,只能匹配到Peering-AC的路由,因此响应流量被错误的返回到VPC-C。
  3. 此时VPC-C的子网Subnet-C02中存在云服务器ECS-C02,与ECS-B02私有IP地址相同,均为10.0.1.167/32,则响应流量最终错误的返回到ECS-C02,ECS-B02无法收到响应流量。
表13 VPC路由表配置说明-一个中心VPC与两个VPC的重叠子网对等(IPv4)

路由表

目的地址

下一跳

路由类型

路由说明

rtb-VPC-A

172.16.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

10.0.1.0/24 (Subnet-C02)

Peering-AC

自定义

在VPC-A的路由表中,添加目的地址为Subnet-C02的网段,下一跳指向Peering-AC的路由。

rtb-VPC-B

10.0.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

10.0.1.0/24

Local

系统路由

172.16.0.0/16 (VPC-A)

Peering-AB

自定义

在VPC-B的路由表中,添加目的地址为VPC-A的网段,下一跳指向Peering-AB的路由。

rtb-VPC-C

10.0.0.0/24

Local

系统路由

Local路由是系统自动添加的,用于VPC内部通信。

10.0.1.0/24

Local

系统路由

172.16.0.0/16 (VPC-A)

Peering-AC

自定义

在VPC-C的路由表中,添加目的地址为VPC-A的网段,下一跳指向Peering-AC的路由。

对于存在重叠子网的情况,为了避免流量被错误转发,我们给您的路由配置建议如下:
  • 建议1:在rtb-VPC-A路由表中,添加下一跳为Peering-AB的路由,目的地址为ECS-B02的私有IP地址。这样遵循路由的最长匹配原则,会优先匹配10.0.1.167/32这条路由,确保VPC-A会将响应流量送达ECS-B02。关于更多指向ECS的对等连接配置,请参见指向VPC内ECS的对等连接配置
    表14 VPC路由表配置-建议1

    路由表

    目的地址

    下一跳

    路由类型

    路由说明

    rtb-VPC-A

    172.16.0.0/24

    Local

    系统路由

    Local路由是系统自动添加的,用于VPC内部通信。

    10.0.1.167/32 (ECS-B02)

    Peering-AB

    自定义

    在VPC-A的路由表中,添加目的地址为ECS-B02的私有IP地址,下一跳指向Peering-AB的路由。

    10.0.1.0/24 (Subnet-C02)

    Peering-AC

    自定义

    在VPC-A的路由表中,添加目的地址为Subnet-C02的网段,下一跳指向Peering-AC的路由。

  • 建议2:在rtb-VPC-A路由表中,需要将Peering-AC的路由目的地址由Subnet-C02的网段改为Subnet-C01网段。然后添加下一跳为Peering-AB的路由,目的地址为Subnet-B02,确保VPC-A可以将响应流量返回到VPC-B的子网Subnet-B02。
    表15 VPC路由表配置-建议2

    路由表

    目的地址

    下一跳

    路由类型

    路由说明

    rtb-VPC-A

    172.16.0.0/24

    Local

    系统路由

    Local路由是系统自动添加的,用于VPC内部通信。

    10.0.1.0/24 (Subnet-B02)

    Peering-AB

    自定义

    在VPC-A的路由表中,添加目的地址为Subnet-B02的网段,下一跳指向Peering-AB的路由。

    10.0.0.0/24 (Subnet-C01)

    Peering-AC

    自定义

    在VPC-A的路由表中,添加目的地址为Subnet-C01的网段,下一跳指向Peering-AC的路由。

分享:

    相关文档

    相关产品