阿里云 跨账号实现内网互传 VPC互连（踩坑总结）

Posted 2023-04-30

参考技术A

前情提要： 通过VPC（专有网络）互联，可实现 内网高速访问 ，解决带宽限制。但在实际操作过程中，阿里云帮助文档繁琐且过时，网上大多数文章也已过时，不符合操作事实，经过总结摸索后，故写此文。

本文的目的： 假设有两用户A和B，分别有专有网络vpc-a和vpc-b（简称），要实现内网互连。

步骤简述： 创建一个 云企业网 ，然后把vpc-a和vpc-b 加入云企业网 ，最后配置安全组规则。
PS:本文假设vpc-a和vpc-b在同一地域下（不在同一地域须额外购买流量包）

用户A 登录 高速通道管理控制台 -->左侧导航栏点击 VPC互连 -->点击 创建云企业网 （ 关键！ 官方文档的“对等连接”不存在了但没改）

用户B 进入自己的 专有网络详情 -->点击 云企业网跨账号授权 -->填写 用户A 的账户ID和云企业网ID。

用户A 进入 第一步自己创建的云企业网 -->点击 加载网络实例 -->选择 跨账号 -->填写 用户B 的账号ID；实例类型VPC；地域按需填写；网络实例填写vpc-b

这一步用户A，B 都要操作
各自登陆 ECS的控制台 -->点击 安全组 -->点击一个安全组 进入安全组 -->点击右上角 添加安全组规则 ，参考下图填写信息

阿里云不同账号之间相同地域的VPC网络互访

今天实际操作了一下，在这篇随笔中记录一下以备忘，主要参考阿里云帮助文档-不同账号下专有网络内网互通。

实现场景：账号A的VPC网络中的ECS访问账号B的VPC网络中的ECS与RDS（地域都在华东1），账号A的VPC网段是192.168.0.0/16，账号B的VPC网段是10.0.0.0/8（2个账号需要使用不同的VPC网段）。

首先在VPC高速通道控制台创建路由器接口（注：相同地域的高速通道是免费的）：账号A创建发起端路由接口，账号B创建接受端路由接口（注：需要选择按量付费才可以创建接受端路由接口），创建成功后会在列表中显示路由器接口ID与路由器ID。

然后添加“对端路由器接口”：账号A与账号B分别添加刚创建的对方的高速通道路由器接口，需要添加以下3个信息：

1）对端账号ID（阿里云登录账号的ID，在控制台“账号管理”->“安全设置”中可以查到）

2）对端路由器ID（“高速通道”->“路由器接口”列表中的“ID/名称”列）

3）对端路由器接口ID（“高速通道”->“路由器接口”列表中的“路由器ID/类型”列）

接着发起连接，在账号A与账号B都添加好“对端路由器接口”之后，在发起端（账号A）就可以“发起连接”，连接成功就会显示“已激活”状态。

接下来需要进行“路由配置”（就是VPC的路由器配置控制台）。账户A添加到账户B的路由，“目标网段”填所访问的账户B的资源所在的网段（不允许填账户B的整个VPC的网段，比如10.0.0.0/8，建议填目标资源所在的VPC交换机的网段），“下一条类型”选填“路由器接口”，并选择“普通路由”以及之前创建的路由器接口。账户B也同样要添加路由，“目标网段”填允许账户A访问的源VPC网段。

经过上述的配置后，账号A到账号B的授权VPC网段之间的链路已经通了。但还需要注意的是，账号B允许被账号A访问的ECS需要设置相应的安全组，RDS需要在白名单中添加账号A的授权IP地址或网段。