对等连接典型实践
概览
对等连接为用户提供了 VPC 级别的网络互联服务,帮助用户在不同虚拟网络之间的流量互通,实现同区域/跨区域,同用户/不同用户之间稳定高速的虚拟网络互联。建立对等连接后,通过配置路由,实现对全局和子网级别的流量控制。另外,通过配置安全组和ACL的安全策略,保证服务安全访问。
使用限制:
- 单个 VPC 内最多创建 10 个对等连接实例,单个用户最多创建 10 个对等连接实例。
- 每对 VPC 之间只能同时存在一条对等连接。
详细的使用步骤请参考对等连接操作指南。
需求场景
两个VPC对等连接
两个 VPC 之间需要访问对方的资源时,可以使用此类配置。
示例场景
在VPC A和VPC B之间建立对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 172.17.0.0/16 | 对等连接 | int-atob |
| VPC B | 192.168.0.0/16 | 对等连接 | int-btoa |
一个VPC与多个VPC对等连接
其他 VPC 需要访问中心 VPC 上的资源,不需要访问对方的资源,可以使用此类配置。
示例场景
VPC A为中心VPC,分别与VPC B、VPC C和VPC D对等连接。
- VPC A与VPC B对等连接;
- VPC A与VPC C对等连接;
- VPC A与VPC D对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 172.16.0.0/16 | 对等连接 | int-atob |
| VPC A | 172.17.0.0/16 | 对等连接 | int-atoc |
| VPC A | 10.0.0.0/16 | 对等连接 | int-atod |
| VPC B | 192.168.0.0/16 | 对等连接 | int-btoa |
| VPC C | 192.168.0.0/16 | 对等连接 | int-ctoa |
| VPC D | 192.168.0.0/16 | 对等连接 | int-dtoa |
多个VPC相互对等连接
多个 VPC 需要无限制地访问彼此的资源时,例如文件共享网络,可以使用此类配置。
示例场景
四个 VPC 以全网状配置对等连接在一起。 VPC 都位于同一个百度智能云账户中,没有重叠的 CIDR 块:
- VPC A与VPC B对等连接;
- VPC A与VPC C对等连接;
- VPC A与VPC D对等连接;
- VPC B与VPC C对等连接;
- VPC B与VPC D对等连接;
- VPC C与VPC D对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 172.16.0.0/16 | 对等连接 | int-atob |
| VPC A | 172.17.0.0/16 | 对等连接 | int-atoc |
| VPC A | 10.0.0.0/16 | 对等连接 | int-atod |
| VPC B | 192.168.0.0/16 | 对等连接 | int-btoa |
| VPC B | 172.17.0.0/16 | 对等连接 | int-btoc |
| VPC B | 10.0.0.0/16 | 对等连接 | int-btod |
| VPC C | 192.168.0.0/16 | 对等连接 | int-ctoa |
| VPC C | 172.16.0.0/16 | 对等连接 | int-ctob |
| VPC C | 10.0.0.0/16 | 对等连接 | int-ctod |
| VPC D | 192.168.0.0/16 | 对等连接 | int-dtoa |
| VPC D | 172.16.0.0/16 | 对等连接 | int-dtob |
| VPC D | 172.17.0.0/16 | 对等连接 | int-dtoc |
进阶场景
一个VPC内的两个子网分别与两个VPC对等连接
属于中心 VPC 的不同子网中有单独的资源集合时,其他 VPC 需要访问一些资源,但不是全部,可以使用此类配置。
示例场景
VPC A 为中心 VPC,内有两个子网Subnet X和Subnet Y,分别与VPC B和VPC C对等连接。
- VPC A与VPC B对等连接;
- VPC A与VPC C对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A中子网X | 10.0.0.0/16 | 对等连接 | int-atob |
| VPC A中子网Y | 10.0.0.0/16 | 对等连接 | int-atoc |
| VPC B | 172.16.0.0/24 | 对等连接 | int-btoa |
| VPC C | 172.16.1.0/24 | 对等连接 | int-ctoa |
两个VPC中的特定子网与同一个VPC对等连接
有一组资源在中心VPC上,不需要完全访问与之对等连接的VPC,比如Active Directory服务,可以使用此类配置。
示例场景
VPC A为具有一个子网的中心VPC,VPC B和VPC C都有两个子网,每个子网中只有一个用于与VPC A的对等连接。
- VPC A与VPC B对等连接;
- VPC A与VPC C对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 10.0.0.0/24 | 对等连接 | int-atob |
| VPC A | 10.0.1.0/24 | 对等连接 | int-atoc |
| VPC B中子网X | 172.16.0.0/24 | 对等连接 | int-btoa |
| VPC C中子网Y | 172.16.0.0/24 | 对等连接 | int-btoc |
一个VPC中的多个实例分别与两个VPC的实例对等连接
如果需要限制对等连接流量到特定的实例,可以使用此类配置。
示例场景
VPC A是只有一个子网的中心VPC,VPC A的子网内有两个实例分别与VPC B和VPC C中的实例对等连接,实例以BCC为例。
- VPC A与VPC B对等连接;
- VPC A与VPC C对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A中实例172.16.0.88/32 | 10.0.0.44/32 | 对等连接 | int-atob |
| VPC A中实例172.16.0.99/32 | 10.0.0.55/32 | 对等连接 | int-atoc |
| VPC B中实例10.0.0.44/32 | 172.16.0.88/32 | 对等连接 | int-btoa |
| VPC C中实例10.0.0.55/32 | 172.16.0.99/32 | 对等连接 | int-ctoa |
使用最长前缀匹配实现一个VPC与两个VPC对等连接
一个 VPC 与两个相同网段的 VPC 对等连接,可以使用最长前缀匹配。
示例场景
VPC A为只有一个子网的中心VPC,分别与VPC B和VPC C对等连接,VPC B与VPC C具有重叠的CIDR块,VPC A与VPC B中的特定实例对等连接,其他发往10.0.0.0/16 IP地址的流量将路由到VPC C。实例以BCC为例。
- VPC A与VPC B对等连接;
- VPC A与VPC C对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 10.0.0.77/32 | 对等连接 | int-atob |
| VPC A | 10.0.0.0/16 | 对等连接 | int-atoc |
| VPC B | 172.16.0.0/16 | 对等连接 | int-btoa |
| VPC C | 172.16.0.0/16 | 对等连接 | int-ctoa |
注意:如果VPC A 向 VPC B 中 10.0.0.77/32 之外的一个实例发送流量,则相应流量将被路由到VPC C而不是VPC B。
复杂拓扑场景
多个VPC对等连接,CIDR块部分重叠的复杂拓扑场景,可以使用此类配置。
示例场景
在这个场景中,中心VPC A与多个VPC对等。VPC E与VPC F对等连接。VPC A和VPC F具有重叠的CIDR块。 这意味着VPC A和VPC E之间的对等流量限制在VPC E中的特定子网(子网X)上。这是为了确保如果VPC E收到来自VPC A或VPC F的请求,则会将响应流量发送到正确的VPC。百度智能云目前不支持在VPC对等连接中进行单播反向路径转发,检查数据包的源IP并将回复数据包路由到源。
类似地,VPC E和VPC H具有重叠的CIDR块。 VPC F和VPC E之间的对等流量限于VPC E中的子网Y,VPC F和VPC H之间的对等流量限制在VPC H中的子网X。这是为了确保如果VPC F从VPC E或VPC H接收到对等流量,它将响应流量发送回正确的VPC。
VPC B,D,E,F和G的路由表指向相关对等连接以访问VPC A的完整CIDR块,VPC A路由表指向VPC B,C,D的相关对等连接访问其完整的CIDR块。 对于对等连接int-aaaaeeee,VPC A路由表将流量仅将路由到VPC E(192.168.0.0/24)中的子网X,VPC E中的子网X路由表指向VPC A的完整CIDR块。
VPC G路由表指向相关对等连接以访问VPC F和VPC H的完整CIDR块,并且VPC H路由表指向相关对等连接以访问VPC G的完整CIDR块。VPC H中的子网X路由表指向相关对等连接以访问VPC F的完整CIDR块。VPC F路由表指向相关对等连接以访问VPC E中的子网Y和VPC H中的子网X。
- VPC A与VPC B对等连接;
- VPC A与VPC C对等连接;
- VPC A与VPC D对等连接;
- VPC A与VPC E对等连接;
- VPC E与VPC F对等连接;
- VPC F与VPC G对等连接;
- VPC F与VPC H对等连接;
- VPC G与VPC H对等连接。
对等连接传递性
一个 VPC 与多个 VPC 对等连接,通过路由的配置可以实现跨 VPC 的互联,可以使用此类配置。该配置需要启用中继VPC
示例场景
VPC 均在同一个百度智能云账号下,VPC B为中继VPC,VPC B分别与VPC A和VPC C对等连接,呈星形拓扑结构。通过配置路由,实现VPC A与VPC C的对等连接。
- VPC A与VPC B对等连接;
-
VPC B与VPC C对等连接。
说明: 此场景下,需要开启VPC B的路由中继,请参考中继VPC操作指南。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A | 172.16.0.0/16 | 对等连接 | int-atob |
| VPC A | 10.0.0.0/16 | 对等连接 | int-atob |
| VPC B | 192.168.0.0/16 | 对等连接 | int-btoa |
| VPC B | 10.0.0.0/16 | 对等连接 | int-btoc |
| VPC A | 10.0.0.0/16 | 对等连接 | int-btoc |
| VPC C | 192.168.0.0/16 | 对等连接 | int-btoa |
| VPC C | 192.168.0.0/16 | 对等连接 | int-ctob |
| VPC C | 172.16.0.0/16 | 对等连接 | int-ctob |
另外,百度智能云还支持用户通过配置路由表实现对等连接与专线或 VPN 连接的连接传递。
CIDR块重叠
对等连接支持将两个CIDR重叠的VPC互联。
示例场景
VPC A与VPC B的CIDR块相同,并都有两个子网。VPC A与VPC B对等连接,通过路由的配置实现VPC A与VPC B中的两个子网分别互联。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| VPC A中子网X | 192.168.2.0/24 | 对等连接 | int-atob |
| VPC A中子网Y | 192.168.4.0/24 | 对等连接 | int-atob |
| VPC B中子网X | 192.168.1.0/24 | 对等连接 | int-btoa |
| VPC B中子网Y | 192.168.3.0/24 | 对等连接 | int-btoa |
注意: 此场景下,配置路由时两端子网CIDR不能重叠。
不支持的场景
多跳场景
对等连接传递性仅支持跨一个VPC。
示例场景
VPC A与VPC B对等连接,VPC B与VPC C对等连接,VPC C与VPC D对等连接,不支持VPC A与VPC D传递连接,建议从直线形拓扑结构改为星形拓扑结构。
