创建不同账户下的对等连接
操作场景
不同VPC之间网络不通,您可以通过对等连接连通同一个区域下的VPC。本章节指导用户创建不同账户下的VPC对等连接,即需要连通的两个VPC位于不同账户下。
本文档以在账户A下的VPC-A和账户B的VPC-B之间创建对等连接为例,实现业务服务器ECS-A01和数据库服务器RDS-B01之间的通信。
创建步骤如下:
当前VPC对等连接暂不收取您的任何费用。
约束与限制
- 对等连接是建立在两个VPC之间的网络连接,两个VPC之间只能建立一个对等连接。
- 对等连接仅可以连通同区域的VPC,不同区域的VPC之间不能创建对等连接。
- 您可以通过对等连接连通位于华为云中国站和国际站相同区域的VPC,比如VPC-A位于中国站的“中国-香港”区域,VPC-B位于国际站的“中国-香港”区域,可以通过对等连接连通VPC-A和VPC-B。
- 若要实现不同区域VPC之间互通,您可以使用云连接,详细内容请参见跨区域VPC互通。
- 若您仅需要不同区域的几台ECS之间互通,您可以为ECS申请和绑定弹性公网IP,通过EIP实现ECS外网互通。此场景适用于ECS数量较少的情况。
- 配置对等连接时,当您的本端VPC和对端VPC存在网段重叠的情况时,那么您的对等连接可能会不生效。
针对该情况,您可以参考对等连接使用示例进行相关组网配置。
- 创建不同账户下的对等连接时:
- 创建不同账户下的VPC对等连接时,如果在账号A下发起创建对等连接请求,需要账号B接受该请求才可以,如果账号B拒绝,则该对等连接创建失败。
- 为了确保网络安全,请您不要接受来自未知账号的对等连接申请。
前提条件
已在不同账号下,分别创建两个VPC,并且VPC位于同一个区域,具体方法请参见创建虚拟私有云和子网。
步骤一:创建VPC对等连接
- 进入对等连接列表页面。
- 在页面右上角区域,单击“创建对等连接”。
- 根据界面提示设置对等连接参数。
参数详细说明请参见表1。
图2 创建对等连接
表1 创建对等连接-参数说明 参数
说明
取值样例
区域
必选参数。
不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。
华东-上海一
对等连接名称
必选参数。
此处填写对等连接的名称。
由中文字符、英文字母、数字、中划线、下划线等构成,一般不超过64个字符。
peering-AB
描述
可选参数。
您可以根据需要在文本框中输入对该连接的描述信息。描述信息内容不能超过255个字符,且不能包含“<”和“>”。
peering-AB连通VPC-A和VPC-B
本端VPC
必选参数。
此处为对等连接一端的VPC,可以在下拉框中选择已有VPC作为本端VPC。
VPC-A
本端VPC网段
此处显示已选择的本端VPC的网段。
172.16.0.0/16
账户
必选参数。
- 当前账户:当对等连接中的对端VPC和本端VPC位于同一个账户下时,选择该项。
- 其他账户:当对等连接中的对端VPC和本端VPC位于不同账户下时,选择该项。
其他账户
对端项目ID
当账户选择“其他账户”时,该项为必选参数。
对端项目ID是另一个账户下,对端VPC所在区域对应的项目ID,获取方法请参见获取对等连接的对端项目ID。
VPC-B在区域A对应的项目ID:
067cf8aecf3XXX08322f13b
对端VPC ID
当账户选择“其他账户”时,该项为必选参数
对端VPC ID是对等连接另一端的VPC ID,获取方法请参见获取虚拟私有云的ID信息。
VPC-B的ID:
17cd7278-XXX-530c952dcf35
- 参数填写完成后,单击“立即创建”。
- 如果提示“请输入正确的VPC ID以及项目ID”,请您检查项目ID和VPC ID的正确性。
- 项目ID:必须为对端VPC所在区域对应的项目ID。
- 本端VPC必须和对端VPC位于同一个区域。
- 如果返回对等连接列表,且新创建的对等连接状态为“待接受”,请继续执行步骤二:对端账户接受VPC对等连接,联系账户B处理。
图3 待接受对等连接
- 如果提示“请输入正确的VPC ID以及项目ID”,请您检查项目ID和VPC ID的正确性。
步骤二:对端账户接受VPC对等连接
不同账户创建对等连接,本端账户创建完成后,需要联系对端账户接受对等连接请求之后,该对等连接才算创建完成。本示例中,账户A通知账户B接受对等连接。
- 对端账户登录管理控制台。
- 在页面左上角单击图标,打开服务列表,选择“网络 > 虚拟私有云”。
进入虚拟私有云列表页面。
- 在左侧导航栏,选择“虚拟私有云 > 对等连接”。
- 在对等连接列表上方,找到待接受的对等连接请求。
图4 接受对等连接
- 确认无误后,单击目标对等连接所在行的操作列下的“接受请求”。
- 执行步骤三:添加VPC对等连接路由,为对等连接添加路由。
步骤三:添加VPC对等连接路由
通常情况下,您需要在对等连接两端VPC的路由表中分别添加去程和回程路由,才可以实现通信,单击了解对等连接配置示例概述。
本端账户在本端VPC的路由表中添加路由,对端账户在对端VPC的路由表中添加路由。本示例中,账户A在VPC-A的路由表中添加路由,账户B在VPC-B的路由表中添加路由。
- 执行以下操作,在本端VPC路由表中添加对等连接路由。
- 在本端账户的对等连接列表中,单击目标对等连接的名称。
- 在对等连接详情页面下方区域,单击“添加路由”。
图5 添加对等连接路由
- 根据界面提示,在VPC路由表中添加路由。
参数说明如表2所示。
表2 参数说明 参数
说明
取值样例
虚拟私有云
系统默认填写对等连接中当前账户内的VPC,您无需选择。
VPC-A
路由表
选择VPC的路由表,路由信息将会添加在该路由表中。
VPC创建完成后自带一个默认路由表,用来控制VPC内子网出方向的流量走向。除了默认路由表,您还可以创建自定义路由表,并关联至子网,则该子网的出方向流量由自定义路由表控制。- 如果路由表的下拉列表中只有默认路由表,则选择默认路由表即可。
- 如果路由表的下拉列表中同时存在默认路由表和其他自定义路由表,则选择对等连接连通的子网所关联的路由表。
rtb-VPC-A(默认路由表)
目的地址
对等连接另一端VPC内的地址,可以为VPC网段、子网网段、ECS IP地址等,具体路由配置示例请参见对等连接配置示例概述。
本示例为VPC-B的网段:172.17.0.0/16
下一跳地址
系统默认填写当前对等连接,您无需选择。
peering-AB
描述
路由的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
本端VPC-A到对端VPC-B的去程路由。
- 路由信息设置完成后,单击“确定”。
- 执行以下操作,在对端VPC路由表中添加对等连接路由。
- 在对端账户的对等连接列表中,单击目标对等连接的名称。
- 在对等连接详情页面下方区域,单击“添加路由”。
图6 添加对等连接路由
- 根据界面提示,在VPC路由表中添加路由。
参数说明如表3所示。
表3 参数说明 参数
说明
取值样例
虚拟私有云
系统默认填写对等连接中当前账户内的VPC,您无需选择。
VPC-B
路由表
选择VPC的路由表,路由信息将会添加在该路由表中。
VPC创建完成后自带一个默认路由表,用来控制VPC内子网出方向的流量走向。除了默认路由表,您还可以创建自定义路由表,并关联至子网,则该子网的出方向流量由自定义路由表控制。- 如果路由表的下拉列表中只有默认路由表,则选择默认路由表即可。
- 如果路由表的下拉列表中同时存在默认路由表和其他自定义路由表,则选择对等连接连通的子网所关联的路由表。
rtb-VPC-B(默认路由表)
目的地址
对等连接另一端VPC内的地址,可以为VPC网段、子网网段、ECS IP地址等,具体路由配置示例请参见对等连接配置示例概述。
本示例为VPC-A的网段:172.16.0.0/16
下一跳地址
系统默认填写当前对等连接,您无需选择。
peering-AB
描述
路由的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
对端VPC-B到本端VPC-A的回程路由。
- 路由信息设置完成后,单击“确定”。
步骤四:配置对等连接两端VPC内实例的安全组规则
基于预设规则,可以看到该规则的初始配置只可以确保当前安全组内实例内网互通,拒绝任何访问当前安全组内实例的外部流量,因此,您需要根据实际业务情况,添加放通外部流量的安全组规则。具体操作请参见添加安全组规则。
当您创建不同账户下的对等连接时,则对等连接两端VPC内的实例位于不同的安全组,如果未在安全组中分别放通实例互访的流量,则对等连接创建成功后,安全组会拦截实例互访的流量。比如,ECS-A01属于安全组Sg-A,RDS-B01属于安全组Sg-B,您需要执行以下操作,同时放通远程登录实例的流量和对等连接两端实例内网互通的流量。
- 在安全组中添加表5中的规则,放通远程登录安全组内实例的流量。
表5 安全组规则(远程登录) 方向
策略
类型
协议端口
源地址
描述
入方向
允许
IPv4
TCP: 22
IP地址:0.0.0.0/0
针对IPv4协议,放通安全组内实例的SSH(22)端口,用于远程登录Linux 实例。
入方向
允许
IPv4
TCP: 3389
IP地址:0.0.0.0/0
针对IPv4协议,放通安全组内实例的RDP(3389)端口,用于远程登录Windows 实例。
本示例中,入方向源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器,如果将22或3389端口暴露到公网,可能存在网络安全风险,建议您将源IP设置为已知的IP地址,比如设置为您的本地PC地址。
- 分别在两端的安全组中添加表6中的规则,放通对等连接两端实例内网互通的流量。
步骤五:验证网络互通情况
- 登录本端VPC内的弹性云服务器,本示例中为ECS-A01。
弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。
- 执行以下命令,验证ECS-A01和的RDS-B01是否可以通信。
命令示例:
ping 172.17.0.21
回显类似如下信息,表示ECS-A01与RDS-B01可以通过通信,VPC-A和VPC-B之间的对等连接创建成功。[root@ecs-A01 ~]# ping 172.17.0.21 PING 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.0.21: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.0.21: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.0.21: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.0.21 ping statistics ---
对于更多对等连接网络不通的问题,处理方法请参见为什么对等连接创建完成后不能互通?。