如何实现同一账号跨VPC的网络互通?
对用通过AOM 2.0方式更新一键式重置密码插件的场景,如果待安装机与安装机属于不同VPC,且未绑定弹性公网IP,则需要参考本节内容进行配置,实现同一个区域内跨VPC的网络互通。
假设,VPC1为安装机所属VPC,VPC2为待安装机所属VPC,需要配置VPC1和VPC2的网络互通,可以采用如表1所示的三种方案,请您根据实际组网场景选择合适的方案。
多VPC打通后,如果您已确认重置密码插件更新成功,请及时删除创建的VPC终端节点/VPC对等连接/中转VPC。
|
方案 |
适用场景 |
实现方式 |
相关链接 |
|---|---|---|---|
|
|
||
|
VPC网段没有重叠,例如:
|
在VPC1(安装机所属VPC)和VPC2(待安装机所属VPC)之间配置对等连接,实现跨VPC的网络互通。 |
||
|
VPC网段有重叠,例如:
|
|
暂无 |
创建VPC终端节点
创建终端节点服务
- 登录管理控制台。
- 在服务列表中,单击“网络 > VPC终端节点”,进入“终端节点”页面。
- 在左侧导航栏,选择“VPC终端节点 > 终端节点服务”。
- 单击“创建终端节点服务”,进入“创建终端节点服务”页面。
- 根据界面提示配置参数。
若待安装机有多个,则需要为每个待安装机创建对应的终端节点服务。
图1 创建终端节点服务
关键参数说明如下,更多参数说明请参见创建终端节点服务。
- 区域:终端节点服务所在区域。
- 虚拟机私有云:终端节点服务所属VPC,此处为待安装机所属VPC。
- 服务类型:终端节点服务的类型,此处仅支持设置为“接口”类型。
- 连接审批:连接审批控制的是终端节点与终端节点服务的连接是否需要审批,审批权由终端节点服务控制。可选择开启或关闭连接审批。
- 端口映射:终端节点服务与终端节点建立连接关系,进行通信,支持TCP协议。
服务端口和终端端口取值范围1~65535,单次操作最多添加50条端口映射。请记录此处填写的终端端口和服务端口,安装UniAgent添加主机时需要使用。
- 后端资源类型:选择云服务器
- 选择云服务器:选择待安装机。
- 单击“立即创建”,完成终端节点服务的创建。
购买终端节点
- 在左侧导航栏,单击“VPC终端节点 > 终端节点”。
- 单击“购买终端节点”。
- 根据界面提示配置参数。
图2 购买终端节点
关键参数说明如下,更多参数说明请参见购买终端节点。
- 区域:终端节点所在区域,与终端节点服务所在区域保持一致。
- 服务类别:建议选择“按名称查找服务”。
- 服务名称:选择“按名称查找服务”之后,会出现该参数。请输入步骤5中创建的终端节点服务的“名称”,可从终端节点服务列表中获取。
- 虚拟私有云:请填写安装机所在的虚拟私有云。
- 终端节点购买完成后,会生成一个“节点IP”,用于访问终端节点服务,进行跨VPC通信。请记录该节点IP。
图3 终端节点详情
验证VPC网络互通
- 在弹性云服务器详情页面,查看安全组配置。
入方向是否已放通198.19.128.0/17网段的IP地址,如果没有放行,请添加198.19.128.0/17网段的入方向规则。
- 远程登录安装机,检查是否能ping通终端节点的“节点IP”,以及是否能通过SSH远程登录。
待一键式重置密码插件更新完成后,请及时删除创建的终端节点以及终端节点服务。
创建VPC对等连接
创建对等连接
- 登录管理控制台。
- 在服务列表中,单击“网络 > 虚拟私有云 > 对等连接”,进入“对等连接”页面。
- 在“对等连接”页面,单击“创建对等连接”。
- 根据界面提示配置参数。
图4 创建对等连接
关键参数说明如下,更多参数说明请参见创建同一账户下的对等连接。
- 名称:对等连接名称。
- 本端VPC:选择安装机所在的VPC。
- 账户:选择“当前账户”。
- 对端项目:选择待安装机所属VPC的Region。
- 对端VPC:请选择待安装机所属的VPC。
添加VPC对等连接路由
- 在对等连接列表中,单击待添加VPC路由的对等连接名称。
- 分别在VPC1(安装机所属VPC)和VPC2(待安装机所属VPC)的路由表中添加路由。
例如,在VPC1的路由表中添加到VPC2的路由,“目的地址”设置为VPC2的网段,“下一条类型”设置为“对等连接”。
图5 添加路由
验证VPC网络互通
- 远程登录安装机,检查是否能ping通待安装机的IP地址,以及是否能通过SSH远程登录。
待一键式重置密码插件更新完成后,请及时删除创建的对等连接。
创建VPC对等连接+中转VPC
创建中转VPC
创建2个不同网段的中转VPC,并配置对等连接。
- 登录管理控制台。
- 在“服务列表”中,单击“网络 > 虚拟私有云”。
- 在“虚拟私有云”页面,单击“创建虚拟私有云”,创建2个不同网段的VPC作为中转VPC。
如果安装机所在的VPC1(192.168.0.0/16)和待安装机所在的VPC2(192.168.0.0/16)存在重叠网段,则需要创建两个中转VPC,与VPC1及VPC2网段互不相同。例如,中转VPC1(10.168.0.0/16)、中转VPC2(10.160.0.0/16)。
- 为中转VPC1和中转VPC2创建对等连接,并添加路由,详细内容请参见创建同一账户下的对等连接。
创建私网NAT网关
分别为VPC1(安装机所属VPC)和VPC2(待安装机所属VPC)创建私网NAT网关。
- 在服务列表中,单击“NAT网关 > 私网NAT网关”。
- 单击“购买私网NAT网关”。
- 根据界面提示配置参数。
图6 购买私网NAT网关
关键参数说明如下,更多参数说明请参见购买私网NAT网关。
- 区域:私网NAT网关所在的区域。
- 名称:私网NAT网关名称。
- 虚拟私有云:请选择私网NAT所属的VPC。
- 子网:请选择弹性云服务器所在的子网。
- 规格:私网NAT网关的规格。 请根据您的网络规划,合理选择私网NAT网关的规格。
- 企业项目:配置私网NAT网关归属的企业项目。当私网网关配置企业项目时,该私网网关将归属于该企业项目。
创建中转IP
分别为中转VPC1和中转VPC2的私网NAT网关创建中转IP,实现VPC内多个云资源可以共享中转IP访问其他VPC。
添加SNAT、DNAT规则
为步骤3中创建的私网NAT网关添加对应的SNAT和DNAT规则。
- 在私网NAT网关列表中,单击“操作”列的“设置规则”,为中转VPC1对应的私网NAT网关添加SNAT规则,为中转VPC2对应的私网NAT网关添加DNAT规则。
图8 添加SNAT规则
图9 添加DNAT规则
关键参数说明如下,更多参数说明请参见添加SNAT规则和添加DNAT规则。
- 端口类型:分为具体端口和所有端口两种类型。可选具体端口和所有端口。
- 具体端口:属于端口映射方式。私网NAT网关会将以指定协议和端口访问该中转IP的请求转发到目标云主机实例的指定端口上。
- 所有端口:属于IP映射方式。此方式相当于为云主机配置了一个私网IP(中转IP),任何访问该中转IP的请求都将转发到目标云服务器实例上。
- 支持协议:协议类型分为TCP和UDP两种类型。端口类型为所有端口时,此参数默认设置为ALL。端口类型为具体端口时,可配置此参数。
- 实例类型:选择服务器(对应待安装机)。
- 网卡:服务器网卡。实例类型为服务器时,需要配置此参数。
- 业务端口:实例对外提供服务的协议端口号。端口范围是1~65535。端口类型为具体端口时,需要配置此参数。
- 中转IP:请选择步骤3中创建好的中转IP。通过该中转IP访问其他VPC。这里只能选择没有被绑定的中转IP,或者被绑定在当前私网NAT网关中非“所有端口”类型DNAT规则上的中转IP。
- 中转IP端口:中转IP对外提供服务的端口号。端口范围是1~65535。
- 端口类型:分为具体端口和所有端口两种类型。可选具体端口和所有端口。
添加私有NAT网关路由
分别为VPC1(安装机所属VPC)和VPC2(待安装机所属VPC)添加到对应中转VPC的私网NAT网关的路由
- 单击“虚拟私有云 > 路由表”。
- 单击“添加路由”。
图10 添加到NAT网关的路由
关键参数说明如下,更多参数说明请参见添加自定义路由。
- 目的地址:填写对端中转网络的网段。如VPC1的路由表应该添加中转子网2的网段。
- 下一跳类型:选择NAT网关。
- 下一跳:选择步骤3创建好的私网NAT网关。
验证VPC网络互通
- 远程登录安装机,检查是否能ping通待安装机的IP地址,以及是否能通过SSH远程登录。
待一键式重置密码插件更新完成后,请及时删除创建的中转VPC、对等连接以及私网NAT网关。
