更新时间:2024-07-01 GMT+08:00
分享

共享VPC配置示例

某企业的云上业务主要分为两类,一类业务需要连接公网,一类业务不需要连接公网。为了规范管理各类资源,该企业使用账号A作为IT管理账号,用来管理基础公共资源,主要包括VPC、子网、路由表等。同时,账号A需要将子网共享给其他账号共同使用(账号B,账号C以及账号D),其他账号可以在子网内创建各自的资源,例如ECS、RDS以及ELB等。共享VPC的业务规划示意图如图1所示,详细账号和资源规划请参见表1

图1 共享VPC业务规划示意图
表1 共享VPC业务规划说明

账号

账号角色

资源说明

账号A

共享VPC和子网的所有者

  • 账号A创建VPC和子网,并将子网共享给其他账号。
  • 账号A创建NAT网关以及EIP资源,通过配置SNAT使子网Subnet-01连通公网。

账号B

共享子网的使用者

账号B在子网Subnet-01创建ECS和RDS资源,用来部署面向公网的应用程序。

账号C和账号D

共享子网的使用者

账号C和账号D共同使用子网Subnet-02,在子网内创建各自业务所需的ECS、RDS以及ELB等资源,不需要连通公网。

同一个VPC内的不同子网网络默认互通,但是由于不同账号下的资源需要关联各自的安全组,不同安全组之间网络隔离,因此如果有网络互通需求,需要放通资源对应安全组之间的网络。
  • 账号A内的资源属于安全组Sg-A。
  • 账号B内的资源属于安全组Sg-B。
  • 账号C内的资源属于安全组Sg-C。
  • 账号D内的资源属于安全组Sg-D。

如果需要账号C和账号D内的资源网络互通,则需要在Sg-C和Sg-D的入方向分别添加以下规则:

表2 放通Sg-C和Sg-D的网络

安全组

方向

优先级

策略

类型

协议端口

源地址

Sg-C

入方向

1

允许

IPv4

根据业务需求选择该项。

示例:全部协议

安全组:Sg-D

Sg-D

入方向

1

允许

IPv4

根据业务需求选择该项。

示例:全部协议

安全组:Sg-C

相关文档