更新时间:2024-04-11 GMT+08:00

VPC的子网间是否可以通信?

  • 不同VPC之间的网络默认不通,因此不同VPC的子网网络也不互通。
  • 同一个VPC内的子网网络默认互通。当您的组网中使用网络ACL和安全组防护网络安全时,也会影响子网之间的网络通信。
    • 网络ACL:您可以根据实际情况选择是否为子网关联网络ACL,当子网关联了网络ACL,不同网络ACL的网络默认隔离。那么如果同一个VPC的子网关联不同的网络ACL,并且未添加放通规则时,网络默认不通。
    • 安全组:VPC子网内部署的实例(如ECS)必须关联安全组,不同安全组的网络默认隔离。那么如果同一个VPC内的实例关联不同安全组,并且未添加放通规则时,网络默认不通。
    当网络ACL和安全组同时存在时,流量优先匹配网络ACL规则,详细说明如表1
    图1 一个VPC内不同子网通信组网图
    表1 一个VPC内不同子网通信场景说明

    网络通信场景

    网络安全配置

    网络通信情况说明

    不同子网之间通信

    子网未关联网络ACL

    实例关联相同安全组

    • 子网网络默认互通:子网3和子网4未关联网络ACL,那么子网3和子网4网络互通。
    • 子网内实例网络默认互通:ECS07、ECS08、ECS09和ECS10均关联安全组A,那么这些ECS网络互通。

    子网关联相同网络ACL

    实例关联不同安全组

    • 子网网络默认互通:子网1和子网2均关联网络ACL A,那么子网1和子网2网络互通。
    • 子网内实例网络默认不通:子网1内的ECS01和ECS02关联安全组A,子网2内的ECS05和ECS06关联安全组B,那么安全组A和安全组B未添加放通规则时,不同安全组内的ECS网络不通,比如ECS01和ECS05网络不通。

    子网关联不同网络ACL

    子网网络默认不通:子网1关联网络ACL A,子网5关联网络ACL B,那么网络ACL A和网络ACL B未添加放通规则时,子网1和子网5的网络不通。

    此时子网网络不通,因此不论子网内ECS是否属于同一个安全组,网络均不通。

    一个子网内通信

    实例关联不同安全组

    子网内实例网络默认不通:子网1内的ECS01和ECS02关联安全组A,ECS03和ECS04关联安全组B,那么安全组A和安全组B未添加放通规则时,即使在同一个子网内,不同安全组内的ECS网络不通,比如ECS01和ECS03网络不通。