对等连接为用户提供了 阿里云专有网络 级别的网络互联服务,帮助用户在不同虚拟网络之间的流量互通,实现同区域/跨区域,同用户/不同用户之间稳定高速的虚拟网络互联。建立对等连接后,通过配置路由,实现对全局和子网级别的流量控制。另外,通过配置安全组和ACL的安全策略,保证服务安全访问。
使用限制:
- 单个 阿里云专有网络 内最多创建 10 个对等连接实例,单个用户最多创建 10 个对等连接实例。
- 每对 阿里云专有网络 之间只能同时存在一条对等连接。
基础场景
两个阿里云专有网络对等连接
两个 阿里云专有网络 之间需要访问对方的资源时,可以使用此类配置。
示例场景
在阿里云专有网络 A和阿里云专有网络 B之间建立对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 172.16.0.0/16 | 对等连接 | int-atob |
| VPC B | 192.168.0.0/16 | 对等连接 | int-btoa |
一个阿里云专有网络与多个阿里云专有网络对等连接
其他 阿里云专有网络 需要访问中心 阿里云专有网络 上的资源,不需要访问对方的资源,可以使用此类配置。
示例场景
阿里云专有网络 A为中心阿里云专有网络,分别与阿里云专有网络 B、阿里云专有网络 C和阿里云专有网络 D对等连接。
- 阿里云专有网络 A与阿里云专有网络 B对等连接;
- 阿里云专有网络 A与阿里云专有网络 C对等连接;
- 阿里云专有网络 A与阿里云专有网络 D对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 172.16.0.0/16 | 对等连接 | int-atob |
| VPC A | 172.17.0.0/16 | 对等连接 | int-atoc |
| VPC A | 10.0.0.0/16 | 对等连接 | int-atod |
| VPC B | 192.168.0.0/16 | 对等连接 | int-btoa |
| VPC C | 192.168.0.0/16 | 对等连接 | int-ctoa |
| VPC D | 192.168.0.0/16 | 对等连接 | int-dtoa |
多个阿里云专有网络相互对等连接
多个 阿里云专有网络 需要无限制地访问彼此的资源时,例如文件共享网络,可以使用此类配置。
示例场景
四个 阿里云专有网络 以全网状配置对等连接在一起。 阿里云专有网络 都位于同一个阿里云帐户中,没有重叠的 CIDR 块:
- 阿里云专有网络 A与阿里云专有网络 B对等连接;
- 阿里云专有网络 A与阿里云专有网络 C对等连接;
- 阿里云专有网络 A与阿里云专有网络 D对等连接;
- 阿里云专有网络 B与阿里云专有网络 C对等连接;
- 阿里云专有网络 B与阿里云专有网络 D对等连接;
- 阿里云专有网络 C与阿里云专有网络 D对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 172.16.0.0/16 | 对等连接 | int-atob |
| VPC A | 172.17.0.0/16 | 对等连接 | int-atoc |
| VPC A | 10.0.0.0/16 | 对等连接 | int-atod |
| VPC B | 192.168.0.0/16 | 对等连接 | int-btoa |
| VPC B | 172.17.0.0/16 | 对等连接 | int-btoc |
| VPC B | 10.0.0.0/16 | 对等连接 | int-btod |
| VPC C | 192.168.0.0/16 | 对等连接 | int-ctoa |
| VPC C | 172.16.0.0/16 | 对等连接 | int-ctob |
| VPC C | 10.0.0.0/16 | 对等连接 | int-ctod |
| VPC D | 192.168.0.0/16 | 对等连接 | int-dtoa |
| VPC D | 172.16.0.0/16 | 对等连接 | int-dtob |
| VPC D | 172.17.0.0/16 | 对等连接 | int-dtoc |
进阶场景
一个阿里云专有网络内的两个子网分别与两个阿里云专有网络对等连接
属于中心 阿里云专有网络 的不同子网中有单独的资源集合时,其他 阿里云专有网络 需要访问一些资源,但不是全部,可以使用此类配置。
示例场景
阿里云专有网络 A 为中心 阿里云专有网络,内有两个子网Subnet X和Subnet Y,分别与阿里云专有网络 B和阿里云专有网络 C对等连接。
- 阿里云专有网络 A与阿里云专有网络 B对等连接;
- 阿里云专有网络 A与阿里云专有网络 C对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A中子网X | 10.0.0.0/16 | 对等连接 | int-atob |
| VPC A中子网Y | 10.0.0.0/16 | 对等连接 | int-atoc |
| VPC B | 172.16.0.0/24 | 对等连接 | int-btoa |
| VPC C | 172.16.1.0/24 | 对等连接 | int-ctoa |
两个阿里云专有网络中的特定子网与同一个阿里云专有网络对等连接
有一组资源在中心阿里云专有网络上,不需要完全访问与之对等连接的阿里云专有网络,比如Active Directory服务,可以使用此类配置。
示例场景
阿里云专有网络 A为具有一个子网的中心阿里云专有网络,阿里云专有网络 B和阿里云专有网络 C都有两个子网,每个子网中只有一个用于与阿里云专有网络 A的对等连接。
- 阿里云专有网络 A与阿里云专有网络 B对等连接;
- 阿里云专有网络 A与阿里云专有网络 C对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 10.0.0.0/24 | 对等连接 | int-atob |
| VPC A | 10.0.1.0/24 | 对等连接 | int-atoc |
| VPC B中子网X | 172.16.0.0/24 | 对等连接 | int-btoa |
| VPC C中子网Y | 172.16.0.0/24 | 对等连接 | int-btoc |
一个阿里云专有网络中的多个实例分别与两个阿里云专有网络的实例对等连接
如果需要限制对等连接流量到特定的实例,可以使用此类配置。
示例场景
阿里云专有网络 A是只有一个子网的中心阿里云专有网络,阿里云专有网络 A的子网内有两个实例分别与阿里云专有网络 B和阿里云专有网络 C中的实例对等连接,实例以阿里云服务器为例。
- 阿里云专有网络 A与阿里云专有网络 B对等连接;
- 阿里云专有网络 A与阿里云专有网络 C对等连接。
路由配置
| 网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A中实例172.16.0.88/32 | 10.0.0.44/32 | 对等连接 | int-atob |
| VPC A中实例172.16.0.99/32 | 10.0.0.55/32 | 对等连接 | int-atoc |
| VPC B中实例10.0.0.44/32 | 172.16.0.88/32 | 对等连接 | int-btoa |
| VPC C中实例10.0.0.55/32 | 172.16.0.99/32 | 对等连接 | int-ctoa |
使用最长前缀匹配实现一个阿里云专有网络与两个阿里云专有网络对等连接
一个 阿里云专有网络 与两个相同网段的 阿里云专有网络 对等连接,可以使用最长前缀匹配。
示例场景
阿里云专有网络 A为只有一个子网的中心阿里云专有网络,分别与阿里云专有网络 B和阿里云专有网络 C对等连接,阿里云专有网络 B与阿里云专有网络 C具有重叠的CIDR块,阿里云专有网络 A与阿里云专有网络 B中的特定实例对等连接,其他发往10.0.0.0/16 IP地址的流量将路由到阿里云专有网络 C。实例以阿里云服务器为例。
- 阿里云专有网络 A与阿里云专有网络 B对等连接;
- 阿里云专有网络 A与阿里云专有网络 C对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 10.0.0.77/32 | 对等连接 | int-atob |
| VPC A | 10.0.0.0/16 | 对等连接 | int-atoc |
| VPC B | 172.16.0.0/16 | 对等连接 | int-btoa |
| VPC C | 172.16.0.0/16 | 对等连接 | int-ctoa |
注意:如果阿里云专有网络 A 向 阿里云专有网络 B 中 10.0.0.77/32 之外的一个实例发送流量,则相应流量将被路由到阿里云专有网络 C而不是阿里云专有网络 B。
复杂拓扑场景
多个阿里云专有网络对等连接,CIDR块部分重叠的复杂拓扑场景,可以使用此类配置。
示例场景
在这个场景中,中心阿里云专有网络 A与多个阿里云专有网络对等。阿里云专有网络 E与阿里云专有网络 F对等连接。阿里云专有网络 A和阿里云专有网络 F具有重叠的CIDR块。 这意味着阿里云专有网络 A和阿里云专有网络 E之间的对等流量限制在阿里云专有网络 E中的特定子网上。这是为了确保如果阿里云专有网络 E收到来自阿里云专有网络 A或阿里云专有网络 F的请求,则会将响应流量发送到正确的阿里云专有网络。阿里云目前不支持在阿里云专有网络对等连接中进行单播反向路径转发,检查数据包的源IP并将回复数据包路由到源。
类似地,阿里云专有网络 E和阿里云专有网络 H具有重叠的CIDR块。 阿里云专有网络 F和阿里云专有网络 E之间的对等流量限于阿里云专有网络 E中的子网Y,阿里云专有网络 F和阿里云专有网络 H之间的对等流量限制在阿里云专有网络 H中的子网X。这是为了确保如果阿里云专有网络 F从阿里云专有网络 E或阿里云专有网络 H接收到对等流量,它将响应流量发送回正确的阿里云专有网络。
阿里云专有网络 B,D,E,F和G的路由表指向相关对等连接以访问阿里云专有网络 A的完整CIDR块,阿里云专有网络 A路由表指向阿里云专有网络 B,C,D的相关对等连接访问其完整的CIDR块。 对于对等连接int-aaaaeeee,阿里云专有网络 A路由表将流量仅将路由到阿里云专有网络 E中的子网X,阿里云专有网络 E中的子网X路由表指向阿里云专有网络 A的完整CIDR块。
阿里云专有网络 G路由表指向相关对等连接以访问阿里云专有网络 F和阿里云专有网络 H的完整CIDR块,并且阿里云专有网络 H路由表指向相关对等连接以访问阿里云专有网络 G的完整CIDR块。阿里云专有网络 H中的子网X路由表指向相关对等连接以访问阿里云专有网络 F的完整CIDR块。阿里云专有网络 F路由表指向相关对等连接以访问阿里云专有网络 E中的子网Y和阿里云专有网络 H中的子网X。
- 阿里云专有网络 A与阿里云专有网络 B对等连接;
- 阿里云专有网络 A与阿里云专有网络 C对等连接;
- 阿里云专有网络 A与阿里云专有网络 D对等连接;
- 阿里云专有网络 A与阿里云专有网络 E对等连接;
- 阿里云专有网络 E与阿里云专有网络 F对等连接;
- 阿里云专有网络 F与阿里云专有网络 G对等连接;
- 阿里云专有网络 F与阿里云专有网络 H对等连接;
- 阿里云专有网络 G与阿里云专有网络 H对等连接。
对等连接传递性
一个 阿里云专有网络 与多个 阿里云专有网络 对等连接,通过路由的配置可以实现跨 阿里云专有网络 的互联,可以使用此类配置。该配置需要启用中继阿里云专有网络
示例场景
阿里云专有网络 均在同一个阿里云账号下,阿里云专有网络 B为中继阿里云专有网络,阿里云专有网络 B分别与阿里云专有网络 A和阿里云专有网络 C对等连接,呈星形拓扑结构。通过配置路由,实现阿里云专有网络 A与阿里云专有网络 C的对等连接。
- 阿里云专有网络 A与阿里云专有网络 B对等连接;
- 阿里云专有网络 B与阿里云专有网络 C对等连接。
说明:此场景下,需要开启阿里云专有网络 B的路由中继,请参考中继阿里云专有网络操作指南。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 172.16.0.0/16 | 对等连接 | int-atob |
| VPC A | 10.0.0.0/16 | 对等连接 | int-atob |
| VPC B | 192.168.0.0/16 | 对等连接 | int-btoa |
| VPC B | 10.0.0.0/16 | 对等连接 | int-btoc |
| VPC C | 192.169.0.0/16 | 对等连接 | int-ctob |
| VPC C | 172.16.0.0/16 | 对等连接 | int-ctob |
另外,阿里云还支持用户通过配置路由表实现对等连接与专线或 VPN 连接的连接传递。
CIDR块重叠
对等连接支持将两个CIDR重叠的阿里云专有网络互联。
示例场景
阿里云专有网络 A与阿里云专有网络 B的CIDR块相同,并都有两个子网。阿里云专有网络 A与阿里云专有网络 B对等连接,通过路由的配置实现阿里云专有网络 A与阿里云专有网络 B中的两个子网分别互联。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A中子网X | 192.168.2.0/24 | 对等连接 | int-atob |
| VPC A中子网Y | 192.168.4.0/24 | 对等连接 | int-atob |
| VPC B中子网X | 192.168.1.0/24 | 对等连接 | int-btoa |
| VPC B中子网Y | 192.168.3.0/24 | 对等连接 | int-btoa |
注意:此场景下,配置路由时两端子网CIDR不能重叠。
不支持的场景
多跳场景
对等连接传递性仅支持跨一个阿里云专有网络。
示例场景
阿里云专有网络 A与阿里云专有网络 B对等连接,阿里云专有网络 B与阿里云专有网络 C对等连接,阿里云专有网络 C与阿里云专有网络 D对等连接,不支持阿里云专有网络 A与阿里云专有网络 D传递连接,建议从直线形拓扑结构改为星形拓扑结构。
