某企业的云上业务主要分为两类,一类业务需要连接公网,一类业务不需要连接公网。为了规范管理各类资源,该企业使用账号A作为IT管理账号,用来管理基础公共资源,主要包括VPC、子网、路由表等。同时,账号A需要将子网共享给其他账号共同使用(账号B,账号C以及账号D),其他账号可以在子网内创建各自的资源,例如ECS、RDS以及ELB等。共享VPC的业务规划示意图如图1所示,详细账号和资源规划请参见表1。
图1 共享VPC业务规划示意图
表1 共享VPC业务规划说明 账号 | 账号角色 | 资源说明 |
|---|
账号A | 共享VPC和子网的所有者 | - 账号A创建VPC和子网,并将子网共享给其他账号。
- 账号A创建NAT网关以及EIP资源,通过配置SNAT使子网Subnet-01连通公网。
|
账号B | 共享子网的使用者 | 账号B在子网Subnet-01创建ECS和RDS资源,用来部署面向公网的应用程序。 |
账号C和账号D | 共享子网的使用者 | 账号C和账号D共同使用子网Subnet-02,在子网内创建各自业务所需的ECS、RDS以及ELB等资源,不需要连通公网。 |
同一个VPC内的不同子网网络默认互通,但是由于不同账号下的资源需要关联各自的安全组,不同安全组之间网络隔离,因此如果有网络互通需求,需要放通资源对应安全组之间的网络。
- 账号A内的资源属于安全组Sg-A。
- 账号B内的资源属于安全组Sg-B。
- 账号C内的资源属于安全组Sg-C。
- 账号D内的资源属于安全组Sg-D。
如果需要账号C和账号D内的资源网络互通,则需要在Sg-C和Sg-D的入方向分别添加以下规则:
表2 放通Sg-C和Sg-D的网络 安全组 | 方向 | 优先级 | 策略 | 类型 | 协议端口 | 源地址 |
|---|
Sg-C | 入方向 | 1 | 允许 | IPv4 | 根据业务需求选择该项。 示例:全部协议 | 安全组:Sg-D |
Sg-D | 入方向 | 1 | 允许 | IPv4 | 根据业务需求选择该项。 示例:全部协议 | 安全组:Sg-C |
