创建相同账户下的对等连接-九游平台
操作场景
不同vpc之间网络不通,您可以通过对等连接连通同一个区域下的vpc。本章节指导用户创建相同账户下的vpc对等连接,即需要连通的两个vpc位于同一个账户下。
本文档以在账户a下,创建vpc-a和vpc-b之间的对等连接为例,实现业务服务器ecs-a01和数据库服务器rds-b01之间的通信。
创建步骤如下:
当前vpc对等连接暂不收取您的任何费用。
约束与限制
- 对等连接是建立在两个vpc之间的网络连接,两个vpc之间只能建立一个对等连接。
- 对等连接仅可以连通同区域的vpc,不同区域的vpc之间不能创建对等连接。
- 您可以通过对等连接连通位于华为云中国站和国际站相同区域的vpc,比如vpc-a位于中国站的“中国-香港”区域,vpc-b位于国际站的“中国-香港”区域,可以通过对等连接连通vpc-a和vpc-b。
- 若要实现不同区域vpc之间互通,您可以使用云连接,详细内容请参见跨区域vpc互通。
- 若您仅需要不同区域的几台ecs之间互通,您可以,通过eip实现ecs外网互通。此场景适用于ecs数量较少的情况。
- 配置对等连接时,当您的本端vpc和对端vpc存在网段重叠的情况时,那么您的对等连接可能会不生效。
针对该情况,您可以参考对等连接使用示例进行相关组网配置。
前提条件
已在同一个账号下创建两个vpc,并且vpc位于同一个区域,具体方法请参见创建虚拟私有云和子网。
步骤一:创建vpc对等连接
- 进入。
- 在页面右上角区域,单击“创建对等连接”。
进入“创建对等连接”页面。
- 根据界面提示设置对等连接参数。
参数详细说明请参见表1。
图2 创建对等连接
表1 创建对等连接-参数说明 参数
说明
取值样例
区域
必选参数。
不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。
华东-上海一
对等连接名称
必选参数。
此处填写对等连接的名称。
由中文字符、英文字母、数字、中划线、下划线等构成,一般不超过64个字符。
peering-ab
描述
可选参数。
您可以根据需要在文本框中输入对等连接的描述信息。
peering-ab连通vpc-a和vpc-b
本端vpc
必选参数。
此处为对等连接一端的vpc,可以在下拉框中选择已有vpc作为本端vpc。
vpc-a
本端vpc网段
此处显示已选择的本端vpc的网段。
172.16.0.0/16
账户
必选参数。
- 当前账户:当对等连接中的对端vpc和本端vpc位于同一个账户下时,选择该项。
- 其他账户:当对等连接中的对端vpc和本端vpc位于不同账户下时,选择该项。
当前账户
对端项目
当账户选择“当前账户”时,系统默认填充对应的项目,无需您额外操作。
比如vpc-a和vpc-b均为账户a下的资源,并且位于区域a,那么此处系统默认显示账户a下,区域a对应的项目。
ab-cdef-1
对端vpc
当账户选择“当前账户”时,该项为必选参数。
此处为对等连接另外一端的vpc,可以在下拉框中选择已有vpc作为对端vpc。
vpc-b
对端vpc网段
此处显示已选择的对端vpc的网段。
当您的本端vpc和对端vpc存在网段重叠的情况时,那么您的对等连接可能会不生效,具体请参见对等连接配置示例概述。
172.17.0.0/16
- 参数填写完成后,单击“立即创建”。
弹出路由添加提示对话框。
- 在路由添加提示对话框中,单击“立即添加”,跳转到对等连接详情页面,继续执行步骤二:添加vpc对等连接路由,添加路由。
步骤二:添加vpc对等连接路由
- 在对等连接详情页面下方区域,单击“添加路由”。
弹出对等连接的“添加路由”对话框。
图3 添加对等连接路由
- 根据界面提示,在vpc路由表中添加路由。
参数说明如表2所示。
表2 参数说明 参数
说明
取值样例
虚拟私有云
选择对等连接两端中的任意一个vpc。
vpc-a
路由表
选择vpc的路由表,路由信息将会添加在该路由表中。
vpc创建完成后自带一个默认路由表,用来控制vpc内子网出方向的流量走向。除了默认路由表,您还可以创建自定义路由表,并关联至子网,则该子网的出方向流量由自定义路由表控制。- 如果路由表的下拉列表中只有默认路由表,则选择默认路由表即可。
- 如果路由表的下拉列表中同时存在默认路由表和其他自定义路由表,则选择对等连接连通的子网所关联的路由表。
rtb-vpc-a(默认路由表)
目的地址
对等连接另一端vpc内的地址,可以为vpc网段、子网网段、ecs ip地址等,具体路由配置示例请参见对等连接配置示例概述。
本示例为vpc-b的网段:172.17.0.0/16
下一跳地址
系统默认填写当前对等连接,您无需选择。
peering-ab
描述
路由的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
本端vpc-a到对端vpc-b的去程路由。
添加另一端vpc的路由
勾选该参数,可同时添加对等连接另一端vpc内的回程路由。
通常情况下,您需要在对等连接两端vpc的路由表中分别添加去程和回程路由,才可以实现通信,单击了解对等连接配置示例概述。
勾选
虚拟私有云
系统默认填写对等连接两端的另一个vpc,您无需选择。
vpc-b
路由表
选择vpc的路由表,路由信息将会添加在该路由表中。
vpc创建完成后自带一个默认路由表,用来控制vpc内子网出方向的流量走向。除了默认路由表,您还可以创建自定义路由表,并关联至子网,则该子网的出方向流量由自定义路由表控制。- 如果路由表的下拉列表中只有默认路由表,则选择默认路由表即可。
- 如果路由表的下拉列表中同时存在默认路由表和其他自定义路由表,则选择对等连接连通的子网所关联的路由表。
rtb-vpc-b(默认路由表)
目的地址
对等连接另一端vpc内的地址,可以为vpc网段、子网网段、ecs ip地址等,具体路由配置示例请参见对等连接配置示例概述。
本示例为vpc-a的网段:172.16.0.0/16
下一跳地址
系统默认选择当前对等连接,无需选择。
peering-ab
描述
路由的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
对端vpc-b到本端vpc-a的回程路由。
- 路由信息设置完成后,单击“确定”。
返回路由列表,可以看到已添加的路由。
步骤三:配置对等连接两端vpc内实例的安全组规则
|
方向 |
策略 |
类型 |
协议端口 |
源地址/目的地址 |
描述 |
|---|---|---|---|---|---|
|
入方向 |
允许 |
ipv4 |
全部 |
源地址:当前安全组 |
针对全部ipv4协议,允许安全组内实例通过内网网络相互通信。 |
|
入方向 |
允许 |
ipv6 |
全部 |
源地址:当前安全组 |
针对全部ipv6协议,允许安全组内实例通过内网网络相互通信。 |
|
出方向 |
允许 |
ipv4 |
全部 |
目的地址:0.0.0.0/0 |
针对全部ipv4协议,允许所有流量从安全组内实例流出,用于访问外部。 |
|
出方向 |
允许 |
ipv6 |
全部 |
目的地址:::/0 |
针对全部ipv6协议,允许所有流量从安全组内实例流出,用于访问外部。 |
- 当对等连接两端vpc内实例位于同一个安全组时,只要vpc-a和vpc-b之间的对等连接创建成功后,就可以实现内网网络互通。
比如,ecs-a01和rds-b01均属于安全组sg-ab,您只需要执行1.放通远程登录实例的流量。
- 当对等连接两端vpc内的实例位于不同的安全组时,如果未在安全组中分别放通实例互访的流量,则对等连接创建成功后,安全组会拦截实例互访的流量。
比如,ecs-a01属于安全组sg-a,rds-b01属于安全组sg-b,您需要执行1.放通远程登录实例的流量和2.放通对等连接两端实例内网互通的流量。
- 在安全组中添加表4中的规则,放通远程登录安全组内实例的流量。
表4 安全组规则(远程登录) 方向
策略
类型
协议端口
源地址
描述
入方向
允许
ipv4
tcp: 22
ip地址:0.0.0.0/0
针对ipv4协议,放通安全组内实例的ssh(22)端口,用于远程登录linux 实例。
入方向
允许
ipv4
tcp: 3389
ip地址:0.0.0.0/0
针对ipv4协议,放通安全组内实例的rdp(3389)端口,用于远程登录windows 实例。
本示例中,入方向源地址设置为0.0.0.0/0表示允许所有外部ip远程登录云服务器,如果将22或3389端口暴露到公网,可能存在网络安全风险,建议您将源ip设置为已知的ip地址,比如设置为您的本地pc地址。
- (可选)当对等连接两端的实例位于不同安全组内时,您需要分别在两端的安全组中添加以下规则,放通对等连接两端实例内网互通的流量。
以下为您提供两种方案,请您根据业务实际需要选择一个即可。
- 表5中提供方案一:源地址填写对端vpc网段或者子网网段,放通对等连接两端vpc或者子网之间的内网网络流量。
表5 安全组规则(网段) 安全组
方向
策略
类型
协议端口
源地址
描述
sg-a
入方向
允许
ipv4
全部
ip地址:172.17.0.0/16(vpc-b的网段)
针对全部ipv4协议,允许来自172.17.0.0/16网段范围的流量访问sg-a内的实例。
sg-b
入方向
允许
ipv4
全部
ip地址:172.16.0.0/16(vpc-a网段)
针对全部ipv4协议,允许来自172.16.0.0/16网段范围的流量访问sg-b内的实例。
- 表6中提供方案二:源地址选择对端实例的安全组,放通两个安全组之间的内网网络流量。
表6 安全组规则(安全组) 安全组
方向
策略
类型
协议端口
源地址
描述
sg-a
入方向
允许
ipv4
全部
sg-b
针对全部ipv4协议,允许来自sg-b内实例的流量访问sg-a内的实例。
sg-b
入方向
允许
ipv4
全部
sg-a
针对全部ipv4协议,允许来自sg-a内实例的流量访问sg-b内的实例。
- 表5中提供方案一:源地址填写对端vpc网段或者子网网段,放通对等连接两端vpc或者子网之间的内网网络流量。
步骤四:验证网络互通情况
- 登录本端vpc内的弹性云服务器,本示例中为ecs-a01。
弹性云服务器有多种登录方法,具体请参见。
- 执行以下命令,验证ecs-a01和rds-b01是否可以通信。
ping 对端服务器的ip地址
命令示例:
ping 172.17.0.21
回显类似如下信息,表示ecs-a01与rds-b01可以通过通信,vpc-a和vpc-b之间的对等连接创建成功。
[root@ecs-a01 ~]# ping 172.17.0.21 ping 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.0.21: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.0.21: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.0.21: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.0.21 ping statistics ---
本示例中ecs-a01和rds-b01位于同一个安全组内,因此只要vpc-a和vpc-b之间的对等连接创建成功后,就可以实现网络互通。如果您需要连通的实例位于不同的安全组内,那么您需要在安全组的入方向规则中,添加放通对端安全组的规则,具体方法请参见。
对于更多对等连接网络不通的问题,处理方法请参见。
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
