共享VPC
共享VPC功能支持多个账号在一个集中管理、共享的VPC内创建云资源,比如ECS、ELB、RDS等。共享VPC基于资源访问管理(Resource Access Manager,简称RAM)服务的机制,VPC的所有者可以将VPC内的子网共享给一个或者多个账号使用。通过共享VPC功能,可以简化网络配置,帮助您统一配置和运维多个账号下的资源,有助于提升资源的管控效率,降低运维成本。
以下为您详细介绍共享VPC的使用场景,如
图1所示。
图1 共享VPC场景
所有者和使用者的子网在同一个VPC内,子网默认网络互通。但是由于使用者和所有者位于共享子网内的资源关联不同的安全组内,因此资源之间网络隔离,如果需要资源之间互通,需要添加安全组规则放通不同安全组之间的网络,具体方法请参见添加安全组规则。
比如,放通账号A和账号B内两个ECS的安全组,则需要分别在两个安全组内添加入方向规则,源地址选择对方安全组。
共享VPC的优势
对于金融企业以及其他大企业的基础IT系统,资源在多个账号下分权管理,通常面临以下问题:
- 同时存在网络账号、安全账号、业务账号等多个账号,跨账号的资源管理,提升运维难度。
- 现有的跨账号网络配置导致组网结构复杂,用户操作体验下降并且效率较低。
为了更好的解决以上问题,我们推荐您使用共享VPC功能。企业可以按照组织结构或业务形态,将不同账号有序组织,并集中进行管理。
共享VPC子网创建流程
使用共享VPC功能之前,您需要启用账号内的资源访问管理RAM服务,详情请参见 资源访问管理 RAM 帮助文档。
作为虚拟私有云子网的所有者,您可以将VPC内的子网共享给其他账号的使用者,使用者接受该共享请求后,子网共享才会成功。共享子网创建流程如图2所示。
图2 共享子网创建流程
您可以使用RAM管理控制台或者VPC管理控制台,创建子网共享,表1中详细为您介绍两种方法。
表1 共享子网创建流程说明
|
方法 |
说明 |
操作指导 |
|
方法一 |
所有者创建新的共享:
- 所有者选择待共享的子网,可在子网详情页的“共享管理”页签下,跳转到RAM管理控制台创建新的共享,将子网共享给使用者。创建共享的具体配置如下:
- 选择共享子网。
- 为共享子网选择权限,即指定使用者对该共享子网具备的权限。
- 指定共享子网的使用者,可以指定多个使用者。
- 共享创建完成后,通过RAM管理控制台,使用者可以选择接受或者拒绝共享申请。
|
- 所有者:创建共享
- 使用者:接受/拒绝共享邀请
退出共享
|
|
方法B |
将子网添加到已有的共享中:
- 所有者选择待共享的子网,可在子网详情页的“共享管理”页签下,选择已创建的共享,将子网加入到该共享内。
- 共享创建完成后,通过RAM管理控制台,使用者可以选择接受或者拒绝共享申请。
|
- 所有者:将VPC子网共享给其他账号
- 使用者:接受/拒绝共享邀请
退出共享
|
共享VPC内所有者和使用者的权限
所有者将VPC子网共享给使用者后,所有者和使用者对共享子网、以及子网内关联云资源的操作权限如表2所示。
表2 共享VPC内所有者和使用者的权限
|
角色 |
所有者将子网共享给使用者时 |
所有者停止子网共享后 |
使用者退出子网共享后 |
|
所有者 |
- 所有者可以对VPC内的资源执行的操作详细如表3所示。
- 所有者不可以修改、删除使用者创建的资源,比如ECS、ELB、RDS实例等。
- 在子网的“IP地址管理”页面中,所有者可以查看使用者创建资源的IP地址和资源ID等信息。
|
- 所有者可以正常使用、删除、管理VPC下的所有资源。
- 如果使用者在已停止共享的子网中仍拥有资源,则所有者无法删除共享子网或共享子网所在的VPC。
|
- 所有者可以正常使用、删除、管理VPC下的所有资源。
- 如果使用者退出子网共享后,在共享的子网中仍拥有资源,则所有者无法删除共享子网或共享子网所在的VPC。
|
|
使用者 |
- 使用者可以对VPC内的资源执行的操作详细如表3所示。
- 使用者可以在共享VPC子网内新建资源,比如ECS、ELB、RDS实例等。
- 在子网的“IP地址管理”页面中,使用者可以查看自己创建资源的IP地址和资源ID等信息,无法查看所有者和其他使用者创建的资源信息。
|
使用者可以继续使用自己创建的资源,无法在该共享子网内新创建资源。 |
使用者可以继续使用自己创建的资源,无法在该共享子网内新创建资源。 |
所有者和使用者对共享子网及其关联资源的使用操作权限不同,具体如
表3所示。
表3 共享VPC内所有者和使用者的权限(共享时)
|
资源 |
资源所有者的操作权限 |
资源使用者的操作权限 |
|
虚拟私有云 |
所有者拥有虚拟私有云的全部操作权限。 |
使用者可以查看共享子网所在的虚拟私有云,无法对虚拟私有云执行任何操作。 |
|
子网 |
所有者拥有子网的全部操作权限。同时,所有者可以查看共享者位于共享子网内的虚拟IP和弹性网卡。 |
使用者可以查看共享子网,无法对共享子网执行以下操作:
- 修改子网信息
- 删除子网
- 添加、修改以及删除子网标签
使用者可以在共享子网内,创建虚拟IP和弹性网卡。 |
|
路由表 |
所有者拥有路由表的全部操作权限。 |
- 使用者无法在共享子网所在虚拟私有云内新建路由表。
- 使用者可以在查看共享子网关联的路由表及路由表内路由,无法对该路由表及表内路由执行任何操作。
|
|
网络ACL |
所有者拥有网络ACL的全部操作权限。 |
- 使用者可以在查看共享子网关联的网络ACL,无法对该网络ACL执行任何操作。
- 使用者无法将所有者的网络ACL关联至自己名下的子网。
|
|
安全组 |
|
|
|
IP地址组 |
IP地址组资源是独立的,所有者可以创建IP地址组,并将IP地址组关联至自己的安全组。 |
IP地址组资源是独立的,使用者可以创建IP地址组,并将IP地址组关联至自己的安全组。 |
|
流日志 |
- 所有者可以创建“资源类型”为“虚拟私有云”或者“子网”的流日志,该流日志可以对使用者位于该共享子网下的弹性网卡生效。
- 所有者可以创建“资源类型”为“网卡”的流日志,该流日志仅对所有者自己的弹性网卡生效。
|
使用者只可以创建“资源类型”为“网卡”的流日志,该流日志对使用者自己的弹性网卡生效。 |
|
对等连接 |
所有者创建VPC之间的对等连接时,可以选择共享VPC。 |
使用者创建VPC之间的对等连接时,无法选择共享VPC。 |
|
NAT网关 |
所有者可以在共享子网内创建并管理NAT网关。 |
使用者无法在共享子网中创建NAT网关。 |
|
虚拟专用网络 VPN |
所有者可以在共享子网内创建并管理VPN网关。 |
使用者无法在共享子网内创建VPN网关。 |
|
企业路由器 ER |
在企业路由器中添加“虚拟私有云”连接时,所有者可以选择共享子网所在的VPC,将VPC接入企业路由器中。 |
在企业路由器中添加“虚拟私有云”连接时,使用者无法选择共享子网所在的VPC。 |
|
企业交换机 ESW |
所有者可以在共享子网内创建并管理企业交换机。 |
使用者无法在共享子网内创建企业交换机。 |
|
云专线 DC |
所有者可以在共享子网内创建并管理云专线。 |
使用者无法在共享子网内创建云专线。 |
|
云连接 CC |
在云连接中添加VPC时,所有者可以选择共享子网。 |
在云连接中添加VPC时,使用者无法选择共享子网。 |
|
终端节点服务 VPCEP |
所有者可以在共享子网内创建并管理终端节点。 |
使用者无法在共享子网内创建终端节点。 |
|
标签 |
所有者可以在共享子网内创建并管理标签。 |
使用者无法在共享子网内创建标签。 |
共享VPC计费说明
在共享VPC中,使用者只需要为自己所创建的资源付费,比如ECS、ELB以及RDS实例等。各种资源的计费详情,请参见对应云资源的计费说明。
共享VPC的配额限制
共享VPC的各项配额说明如
表4所示,当前配额项均不支持提升,请合理规划您的资源。
表4 共享VPC的配额说明
|
配额项目 |
默认配额 |
|
单个资源使用者支持接收的共享子网数量 |
100个 |
|
单个子网支持共享至资源使用者的最大数量 |
100个 |
共享VPC的使用限制
- 单个使用者最多可同时接收100个共享子网,当共享子网数量超过100个时,使用者将无法接收到超出数量的共享子网。
- 单个子网最多可同时共享给100个使用者,当使用者数量超过100个时,超出数量的使用者将无法接收到共享子网。
- 支持在共享VPC子网内创建以下云服务资源:
