某企业的云上业务主要分为两类,一类业务需要连接公网,一类业务不需要连接公网。为了规范管理各类资源,该企业使用账号A作为IT管理账号,用来管理基础公共资源,主要包括VPC、子网、路由表等。同时,账号A需要将子网共享给其他账号共同使用(账号B,账号C以及账号D),其他账号可以在子网内创建各自的资源,例如ECS、RDS以及ELB等。共享VPC的业务规划示意图如图1所示,详细账号和资源规划请参见表1。
图1 共享VPC业务规划示意图
表1 共享VPC业务规划说明
账号 |
账号角色 |
资源说明 |
账号A |
共享VPC和子网的所有者 |
- 账号A创建VPC和子网,并将子网共享给其他账号。
- 账号A创建NAT网关以及EIP资源,通过配置SNAT使子网Subnet-01连通公网。
|
账号B |
共享子网的使用者 |
账号B在子网Subnet-01创建ECS和RDS资源,用来部署面向公网的应用程序。 |
账号C和账号D |
共享子网的使用者 |
账号C和账号D共同使用子网Subnet-02,在子网内创建各自业务所需的ECS、RDS以及ELB等资源,不需要连通公网。 |
同一个VPC内的不同子网网络默认互通,但是由于不同账号下的资源需要关联各自的安全组,不同安全组之间网络隔离,因此如果有网络互通需求,需要放通资源对应安全组之间的网络。
- 账号A内的资源属于安全组Sg-A。
- 账号B内的资源属于安全组Sg-B。
- 账号C内的资源属于安全组Sg-C。
- 账号D内的资源属于安全组Sg-D。
如果需要账号C和账号D内的资源网络互通,则需要在Sg-C和Sg-D的入方向分别添加以下规则:
表2 放通Sg-C和Sg-D的网络
安全组 |
方向 |
优先级 |
策略 |
类型 |
协议端口 |
源地址 |
Sg-C |
入方向 |
1 |
允许 |
IPv4 |
根据业务需求选择该项。 示例:全部协议 |
安全组:Sg-D |
Sg-D |
入方向 |
1 |
允许 |
IPv4 |
根据业务需求选择该项。 示例:全部协议 |
安全组:Sg-C |
