3.5 对等连接
VPC 解决了租户之间网络环境严格隔离的问题,不同VPC 之间默认不能通信。但有的用户有两三个VPC,希望这些VPC 内的实例可以通过私网互通。这种少量VPC 互通的需求可以通过对等连接实现。
3.5.1 什么是对等连接
对等连接(VPC Peering)主要用于同地域2 到3 个VPC 简单互联的场景。通过对等连接可以对两个不同的VPC 在网络层面建立一个专属的数据通道。用户可以在每个VPC 中自定义到对端VPC 的明细路由,在路由层面控制两个VPC 中的资源互通范围,如图3-22 所示。
图3-22 对等连接
3.5.2 对等连接和云企业网的异同
多个VPC 的内网互通既可以使用对等连接实现,也可以使用云企业网来实现。
那么,这两个产品有什么不一样呢?
一是产品定位不一样。对等连接的定位是少量(通常2、3 个)VPC 的简单互通, 没有太多高级的网络功能。而云企业网的定位是用户的全球级的核心网络,可以为云上多VPC 和云下多IDC/ 分支机构等构建一个云上云下一体的企业级核心网络。
二是用户使用体验不一样。对等连接在使用上略显复杂,不管同账号互通还是跨账号互通都需要用户显式配置VPC 路由。自定义路由这种方式,可以更自主地管理自身的网络,有网络运维经验的工程师比较喜欢,但对于缺乏相关运维经验的工程师不是很友好。而云企业网支持路由的自动学习和配置,优化了用户的使用体验。
3.5.3 对等连接的主要应用场景
1. 同账号两个VPC 的互通
对等连接支持将同账号在同一个地域的两个VPC 打通。对于同账号两个VPC 打通的场景,可同时创建发起端和接收端,创建完成后即建立起两个VPC 的数据通道。用户在VPC 手动配置对应的路由后,就在网络层面打通这两个VPC。
2. 跨账号两个VPC 的互通
对等连接还支持将不同账号在同一个地域的两个VPC 账号。在跨用户VPC 打通的场景下,只能单独创建发起端或接收端,比如账号A 创建发起端并指定要互联的UID 和VPC ID,账号B 创建接收端并指定要互联UID 和 VPC ID。相对于同账号两个VPC 的互通,跨账号的互通方式略显复杂,主要原因还是出于安全方面的考虑,必须验证连接的合法性。
在建立好对等连接后,要实现两个VPC 中的计算资源的互通,不仅要在VPC 中配置对应的路由,还要注意网络ACL 的安全组是否设置了对应的放行规则。需要注意,对等连接在网络层面打通两个VPC 时,要避免两个VPC 的地址重叠。
