开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程:跨账号 VPC 间互访】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/573/detail/7917
跨账号 VPC 间互访
内容介绍
一、跨账号同地域访问
二、跨账号跨地域访问
三、总结
一、跨账号同地域访问
第三个诉求:跨账号同地域访问
公司有了分公司之后分公司就是新的账户。如果分公司的账户要访问总公司的 VPC 中的一些资源,打通它们的访问。就需要登录第二账号,两个账号同时完成相关的操作。
具体操作:
登录第二账号,查看 ECS 。因为第二账号只有一个地域,就是在北京创建的,查看北京的 ECS 。选择北京,点击远程连接,远程连接的密码必须记住,如果忘记密码后续就会非常麻烦。登陆第二账号后查看到它所对应的 IP 地址是172.17.1.146。而之前做创建的账号 IP 地址是172.16.1.32。它们之间是不可能通信的,因为如果要直接实现两个账号之间的 VPC 互通是几乎不可能的。
通过创建云企业网来实现互通,在任何一个账户创建云企业网都可以。因为一个浏览器只能登陆一个账户,必须要注销后换成第二账户才能使用。为了保证实验的完整性,在第一个账户中创建 CEN。第一个账户是北京创建了2台 ECS 的账户。因为这个账户表示总公司的账户,所以把本账户作为主账户创建云企业网。
选择云企业网,创建云企业网实例。名称为 CEN-ABC,描述是 ABC 公司云企业网,实例类型选择专有网络( VPC ),地域是华北2(北京),网络实例为 VPC-北京-1/vpc-2ze84e5467bynxk2vbdsc。
这个作为总公司的 VPC ,作为主账号加载。
点击管理,选择加载网络实例,加载第二个账号应该注意在跨账号里加载。填写对方账号,对方 ID 不是登录使用的用户名。查看方法:在账户中选择账号管理,在账号管理中可以查看账号 ID。除了账号 ID 还需要查看 CEN 的ID 信息。第一个账户需要查看 CEN 信息和账号 ID 信息。获取信息之后,切换到第二个账户,打开专有网络 VPC ,添加授权,允许对方加载自己的 VPC。复制 VPC 的 ID 信息以备后续使用。在云企业网管理界面中点击管理,选择云企业网跨账号授权,输入对方的 UID 和 CEN 的账号。
获取完以上信息之后,切换到 A 账户,返回云企业网的管理界面,在云企业网中添加跨账号的网络实例。点击管理,加载网络实例,选择跨账号,输入之前查询到的对方账号 ID 和实例类型:专有网络(VPC),地域:华北2(北京),网络实例即为对方的 VPC 信息,点击确定加载完成。
加载完成后返回云服务器 ECS,在 ECS 中用 A 账户访问对方。选择北京 vpc-1,因为 vpc-1 是主端,而且加载的也是 vpc-1。选择 172.16.1.32 端,点击远程连接,输入远程连接的密码,登录成功之后测试和对方的访问是否成功,查看网络连通性。Ctrl+l 清屏。输入代码 Ping172.17.1.146 发现可以进行访问了。
跨地域需要购买带宽包,同地域不用购买带宽包。目前是同地域的跨账号,所以不用购买带宽包也可以进行连接。输入代码 ssh 172.17.1.146。
实验成功之后需要删除之前创建的内容,在云企业网中卸载 VPC,在对端的第二账号中解除 VPC 的授权。卸载两个 vpc,删除 CEN。此时两个账号之间就无法连接进行通信了。
二、跨账号跨地域访问
实现北京账号 B 和上海账号 A 访问做法:登陆上海账号,需要再授权,如果之前有授权过建议解除之前的的授权重新授权。用上海 ECS 作为测试机访问北京的第二账号,查看通信状况。首先需要登录上海的 ECS,ping 北京的第二账户:ping 172.17.1.146。查看通信情况,默认情况下是不能通信的。
通过创建云企业网来实现它们的相互通信。选择云企业网,创建云企业网实例。名称为 CEN-ABC,描述是 ABC 公司云企业网,实例类型选择专用网络(VPC),地域是华东(上海),如果北京需要通信,则也需要加载入北京,网络实例选择上海的 VPC。
创建完 CEN 之后,CEN 的 id 发生了变化,所以对方账号需要重新CEN进行授权。授权完成之后,加载网络实例,选择跨账号输入对方账号 id 和实例类型:专有网络(VPC),地域:华北2(北京),网络实例即为对方的 VPC 信息,点击确定加载完成。
加载完成后进行访问测试。输入 ping 172.17.1.146,可以实现通信。
而 ssh 172.17.1.146 不能进行访问,因为这属于跨地域访问,跨地域访问需要绑定带宽包,如果没有带宽包需要购买带宽包,绑定完成以后选择跨地域互通带宽管理,设置跨地域带宽。带宽包互通地域选择华北2(北京)到华东2(上海),因为是双向通信,所以哪个地址在前在后没有影响。带宽设置完成后再次测试 ssh 172.17.1.146 就可以实现连接了。
三、总结
1、本次实验主要完成了四种场景,分别是同账号同地域的不同 VPC 的互通,同账号跨地域的 VPC 互通,跨账号同地域的 VPC 互通,跨账号跨地域的 VPC 互通。需要注意的是,一旦发生跨地域通信就必须购买带宽包,如果没有带宽包就不能通信,而且需要做帐号授权才能连接。
2、在实验中要注意的步骤:AB 账号的切换,切换账号不能搞混。
3、使用 B 账号的场景:第二账号创建 VPC 和 ECS 需要用到 B 账号。比如在北京创建一个 VPC和 ECS。做授权时需要用到第二账号比如北京的 VPC 授权给 A 账户的 CEN,而且需要获取北京第二账号 VPC 的 id 和账户 ID,双方间再做授权就可以了。总结需要要用到第二账号的情况即创建和授权两种情况。