对等连接最佳实践 -奇异果体育app竞彩官网下载
概览
对等连接为用户提供了 vpc 级别的网络互联服务,帮助用户在不同虚拟网络之间的流量互通,实现同区域/跨区域,同用户/不同用户之间稳定高速的虚拟网络互联。建立对等连接后,通过配置路由,实现对全局和子网级别的流量控制。另外,通过配置安全组和acl的安全策略,保证服务安全访问。
使用限制:
- 单个 vpc 内最多创建 10 个对等连接实例,单个用户最多创建 10 个对等连接实例。
- 每对 vpc 之间只能同时存在一条对等连接。
详细的使用步骤请参考对等连接操作指南。
需求场景
两个vpc对等连接
两个 vpc 之间需要访问对方的资源时,可以使用此类配置。
示例场景
在vpc a和vpc b之间建立对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a | 172.17.0.0/16 | 对等连接 | int-atob |
| vpc b | 192.168.0.0/16 | 对等连接 | int-btoa |
一个vpc与多个vpc对等连接
其他 vpc 需要访问中心 vpc 上的资源,不需要访问对方的资源,可以使用此类配置。
示例场景
vpc a为中心vpc,分别与vpc b、vpc c和vpc d对等连接。
- vpc a与vpc b对等连接;
- vpc a与vpc c对等连接;
- vpc a与vpc d对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a | 172.16.0.0/16 | 对等连接 | int-atob |
| vpc a | 172.17.0.0/16 | 对等连接 | int-atoc |
| vpc a | 10.0.0.0/16 | 对等连接 | int-atod |
| vpc b | 192.168.0.0/16 | 对等连接 | int-btoa |
| vpc c | 192.168.0.0/16 | 对等连接 | int-ctoa |
| vpc d | 192.168.0.0/16 | 对等连接 | int-dtoa |
多个vpc相互对等连接
多个 vpc 需要无限制地访问彼此的资源时,例如文件共享网络,可以使用此类配置。
示例场景
四个 vpc 以全网状配置对等连接在一起。 vpc 都位于同一个百度智能云账户中,没有重叠的 cidr 块:
- vpc a与vpc b对等连接;
- vpc a与vpc c对等连接;
- vpc a与vpc d对等连接;
- vpc b与vpc c对等连接;
- vpc b与vpc d对等连接;
- vpc c与vpc d对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a | 172.16.0.0/16 | 对等连接 | int-atob |
| vpc a | 172.17.0.0/16 | 对等连接 | int-atoc |
| vpc a | 10.0.0.0/16 | 对等连接 | int-atod |
| vpc b | 192.168.0.0/16 | 对等连接 | int-btoa |
| vpc b | 172.17.0.0/16 | 对等连接 | int-btoc |
| vpc b | 10.0.0.0/16 | 对等连接 | int-btod |
| vpc c | 192.168.0.0/16 | 对等连接 | int-ctoa |
| vpc c | 172.16.0.0/16 | 对等连接 | int-ctob |
| vpc c | 10.0.0.0/16 | 对等连接 | int-ctod |
| vpc d | 192.168.0.0/16 | 对等连接 | int-dtoa |
| vpc d | 172.16.0.0/16 | 对等连接 | int-dtob |
| vpc d | 172.17.0.0/16 | 对等连接 | int-dtoc |
进阶场景
一个vpc内的两个子网分别与两个vpc对等连接
属于中心 vpc 的不同子网中有单独的资源集合时,其他 vpc 需要访问一些资源,但不是全部,可以使用此类配置。
示例场景
vpc a 为中心 vpc,内有两个子网subnet x和subnet y,分别与vpc b和vpc c对等连接。
- vpc a与vpc b对等连接;
- vpc a与vpc c对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a中子网x | 10.0.0.0/16 | 对等连接 | int-atob |
| vpc a中子网y | 10.0.0.0/16 | 对等连接 | int-atoc |
| vpc b | 172.16.0.0/24 | 对等连接 | int-btoa |
| vpc c | 172.16.1.0/24 | 对等连接 | int-ctoa |
两个vpc中的特定子网与同一个vpc对等连接
有一组资源在中心vpc上,不需要完全访问与之对等连接的vpc,比如active directory服务,可以使用此类配置。
示例场景
vpc a为具有一个子网的中心vpc,vpc b和vpc c都有两个子网,每个子网中只有一个用于与vpc a的对等连接。
- vpc a与vpc b对等连接;
- vpc a与vpc c对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a | 10.0.0.0/24 | 对等连接 | int-atob |
| vpc a | 10.0.1.0/24 | 对等连接 | int-atoc |
| vpc b中子网x | 172.16.0.0/24 | 对等连接 | int-btoa |
| vpc c中子网y | 172.16.0.0/24 | 对等连接 | int-btoc |
一个vpc中的多个实例分别与两个vpc的实例对等连接
如果需要限制对等连接流量到特定的实例,可以使用此类配置。
示例场景
vpc a是只有一个子网的中心vpc,vpc a的子网内有两个实例分别与vpc b和vpc c中的实例对等连接,实例以bcc为例。
- vpc a与vpc b对等连接;
- vpc a与vpc c对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a中实例172.16.0.88/32 | 10.0.0.44/32 | 对等连接 | int-atob |
| vpc a中实例172.16.0.99/32 | 10.0.0.55/32 | 对等连接 | int-atoc |
| vpc b中实例10.0.0.44/32 | 172.16.0.88/32 | 对等连接 | int-btoa |
| vpc c中实例10.0.0.55/32 | 172.16.0.99/32 | 对等连接 | int-ctoa |
使用最长前缀匹配实现一个vpc与两个vpc对等连接
一个 vpc 与两个相同网段的 vpc 对等连接,可以使用最长前缀匹配。
示例场景
vpc a为只有一个子网的中心vpc,分别与vpc b和vpc c对等连接,vpc b与vpc c具有重叠的cidr块,vpc a与vpc b中的特定实例对等连接,其他发往10.0.0.0/16 ip地址的流量将路由到vpc c。实例以bcc为例。
- vpc a与vpc b对等连接;
- vpc a与vpc c对等连接。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a | 10.0.0.77/32 | 对等连接 | int-atob |
| vpc a | 10.0.0.0/16 | 对等连接 | int-atoc |
| vpc b | 172.16.0.0/16 | 对等连接 | int-btoa |
| vpc c | 172.16.0.0/16 | 对等连接 | int-ctoa |
注意:如果vpc a 向 vpc b 中 10.0.0.77/32 之外的一个实例发送流量,则相应流量将被路由到vpc c而不是vpc b。
复杂拓扑场景
多个vpc对等连接,cidr块部分重叠的复杂拓扑场景,可以使用此类配置。
示例场景
在这个场景中,中心vpc a与多个vpc对等。vpc e与vpc f对等连接。vpc a和vpc f具有重叠的cidr块。 这意味着vpc a和vpc e之间的对等流量限制在vpc e中的特定子网(子网x)上。这是为了确保如果vpc e收到来自vpc a或vpc f的请求,则会将响应流量发送到正确的vpc。百度智能云目前不支持在vpc对等连接中进行单播反向路径转发,检查数据包的源ip并将回复数据包路由到源。
类似地,vpc e和vpc h具有重叠的cidr块。 vpc f和vpc e之间的对等流量限于vpc e中的子网y,vpc f和vpc h之间的对等流量限制在vpc h中的子网x。这是为了确保如果vpc f从vpc e或vpc h接收到对等流量,它将响应流量发送回正确的vpc。
vpc b,d,e,f和g的路由表指向相关对等连接以访问vpc a的完整cidr块,vpc a路由表指向vpc b,c,d的相关对等连接访问其完整的cidr块。 对于对等连接int-aaaaeeee,vpc a路由表将流量仅将路由到vpc e(192.168.0.0/24)中的子网x,vpc e中的子网x路由表指向vpc a的完整cidr块。
vpc g路由表指向相关对等连接以访问vpc f和vpc h的完整cidr块,并且vpc h路由表指向相关对等连接以访问vpc g的完整cidr块。vpc h中的子网x路由表指向相关对等连接以访问vpc f的完整cidr块。vpc f路由表指向相关对等连接以访问vpc e中的子网y和vpc h中的子网x。
- vpc a与vpc b对等连接;
- vpc a与vpc c对等连接;
- vpc a与vpc d对等连接;
- vpc a与vpc e对等连接;
- vpc e与vpc f对等连接;
- vpc f与vpc g对等连接;
- vpc f与vpc h对等连接;
- vpc g与vpc h对等连接。
对等连接传递性
一个 vpc 与多个 vpc 对等连接,通过路由的配置可以实现跨 vpc 的互联,可以使用此类配置。该配置需要启用中继vpc
示例场景
vpc 均在同一个百度智能云账号下,vpc b为中继vpc,vpc b分别与vpc a和vpc c对等连接,呈星形拓扑结构。通过配置路由,实现vpc a与vpc c的对等连接。
- vpc a与vpc b对等连接;
- vpc b与vpc c对等连接。
说明: 此场景下,需要开启vpc b的路由中继,请参考中继vpc操作指南。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a | 172.16.0.0/16 | 对等连接 | int-atob |
| vpc a | 10.0.0.0/16 | 对等连接 | int-atob |
| vpc b | 192.168.0.0/16 | 对等连接 | int-btoa |
| vpc b | 10.0.0.0/16 | 对等连接 | int-btoc |
| vpc c | 192.168.0.0/16 | 对等连接 | int-ctob |
| vpc c | 172.16.0.0/16 | 对等连接 | int-ctob |
另外,百度智能云还支持用户通过配置路由表实现对等连接与专线或 vpn 连接的连接传递。
cidr块重叠
对等连接支持将两个cidr重叠的vpc互联。
示例场景
vpc a与vpc b的cidr块相同,并都有两个子网。vpc a与vpc b对等连接,通过路由的配置实现vpc a与vpc b中的两个子网分别互联。
路由配置
| 源网段 | 目标网段 | 路由类型 | 下一跳实例 |
|---|---|---|---|
| vpc a中子网x | 192.168.2.0/24 | 对等连接 | int-atob |
| vpc a中子网y | 192.168.4.0/24 | 对等连接 | int-atob |
| vpc b中子网x | 192.168.1.0/24 | 对等连接 | int-btoa |
| vpc b中子网y | 192.168.3.0/24 | 对等连接 | int-btoa |
注意: 此场景下,配置路由时两端子网cidr不能重叠。
不支持的场景
多跳场景
对等连接传递性仅支持跨一个vpc。
示例场景
vpc a与vpc b对等连接,vpc b与vpc c对等连接,vpc c与vpc d对等连接,不支持vpc a与vpc d传递连接,建议从直线形拓扑结构改为星形拓扑结构。