本章节向您介绍VPC对等连接组网迁移方案概述。 应用场景 天翼云未上线企业路由器ER之前，客户通常使用VPC对等连接连通同一个区域内的不同虚拟私有云VPC。对等连接适用于简单的组网，因为每连通两个VPC，就需要创建一个对等连接。那么对于复杂的组网，大量的对等连接将会导致组网结构非常繁复冗余，不利于网络扩容，同时增加运维成本。 而企业路由器作为一个云上高性能集中路由器，可以同时接入多个VPC，实现同区域VPC互通。企业路由器连接VPC构成中心辐射性组网，网络结构简单明了，方便扩容和运维。 如果您的组网当前使用VPC对等连接构建，并且需要连通的VPC数量较多，那么推荐您将网络迁移到企业路由器上。 方案架构 VPCA、VPCB、VPCC位于区域A，通过对等连接连通三个VPC的网络，为了提升网络可扩展性、降低运维成本，现在需要将这三个VPC的网络迁移至企业路由器上。 迁移共分为迁移前、迁移中、迁移完成三个阶段，具体如下图所示。 1. 迁移前，VPCA、VPCB、VPCC，通过VPC对等连接连通网络。 2. 迁移中，VPCA、VPCB、VPCC将会同时接入对等连接和企业路由器中，通过大小网段确保对等连接和企业路由器的路由不冲突。 3. 迁移完成后，VPCA、VPCB、VPCC可以通过企业路由器实现网络互通，此时可以删除原有VPC对等连接资源。 方案优势 简化组网结构和扩展能力，降低运维成本。 如下图所示，通过VPC对等连接构建的组网复杂程度高于企业路由器，当您有6个VPC的时候，您需要创建15个对等连接，组网结构已经非常复杂。而使用企业路由器时，只需要将VPC分别接入ER即可，网络架构简洁明了，方便运维，同时具备较高的可扩展性。 约束与限制 如果您对等连接下的VPC属于不同的账号，那么迁移的时候，您可以使用企业路由器的共享功能，将不同账号下的VPC迁移至同一个企业路由器中构建组网。 由于网络组网的复杂程度不同，将VPC对等连接迁移至企业路由器时，可能会造成业务中断。 当业务VPC下存在共享型弹性负载均衡、VPC终端节点、私网NAT网关、分布式缓存服务、混合云DNS解析时，不建议直接将业务VPC接入ER。

本文帮助您更快了解如何通过对等连接部署第三方公共防火墙。 注意事项 仅适用于可用区资源池，实际情况以控制台展现为准，部署之前请检查资源池类型。 整体场景说明 前提条件 业务VPC1下的业务子网1、业务VPC2下的业务子网2、防火墙VPC下的防火墙子网三个网段不能重叠，否则建立对等连接后无法互通。 业务拓扑 业务VPC1为客户的业务主机所在的VPC，业务主机的流量需要转发到防火墙VPC进行清洗。 客户的防火墙以云主机+防火墙镜像的方式部署在公共的防火墙VPC。 业务VPC1和防火墙VPC建立对等连接1；业务VPC2和防火墙VPC建立对等连接2。 业务VPC1或者业务VPC2通过对等连接进入防火墙VPC进行流量清洗，然后防火墙VPC将流量转发至公网、线下IDC；业务VPC1和业务VPC2互访的流量进入防火墙VPC进行清洗。 场景1：访问公网的流量通过公共VPC防火墙进行清洗 基本场景介绍 对外访问的EIP绑定在防火墙的WAN口 IP上。 防火墙做针对去Internet的做SNAT，从而使得内部多个VPC共同使用防火墙上的EIP出公网。 业务VPC的IP地址不能重叠。

步骤二：创建对等连接 1. 登录天翼云官网进入控制中心。单击控制台左上角的，选择地域。 2. 单击“网络虚拟私有云”，进入虚拟私有云控制台，单击左侧导航栏对等连接，进入对等连接控制台，单击右上角“创建对等连接”，配置如下参数： 名称：填写对等连接名称。 本端VPC：VPC1。 对端VPC：VPC2。 其他参数根据需要设置即可。 3. 单击“确定”，完成对等连接创建。 4. 单击对等连接名称，选择本端路由页签，单击“路由表”到本端VPC路由表下添加路由，单击“创建”，在弹出页面配置如下参数： IP类型：IPv4。 目的地址：172.16.0.0/12。 下一条类型：对等连接网关。 对等连接网关：选择创建的对等连接名称。 单击“确定”，完成本端路由的添加。 5. 回到对等连接详情页，选择对端路由页签，单击“路由表”到对端VPC路由表下添加路由，单击“创建”，在弹出页面配置如下参数： IP类型：IPv4。 目的地址：192.168.0.0/16。 下一条类型：对等连接网关。 对等连接网关：选择创建的对等连接名称。 单击“确定”，完成对端路由的添加。 步骤三：创建弹性云主机 1. 登录天翼云官网进入控制中心。单击控制台左上角的，选择地域。 2. 单击“计算弹性云主机”，进入弹性云主机控制台，单击左上角“创建云主机”配置如下参数： 实例名称：ECS01。 镜像：CentOS 7.6 64位。 VPC：VPC1。 安全组：打开22、8888、8889等端口。 弹性IP：自动分配，5M。 其他参数根据需要设置即可。 确认配置后，单击“立即购买”，完成ECS01的创建。 3. 重复上述步骤，在VPC2中创建ECS02。 4. 使用root用户登录ECS01，ping ECS02的内网ip，验证对等连接配置是否连通，显示如下表示连通： 5. 执行如下命令，在云主机部署Apache1。 yum y install httpd cd /var/www/html echo "Hello World ! This is ECS01." > index.html cd /root vim /etc/httpd/conf/httpd.conf

本文为您提供指向VPC子网的对等连接的配置指导。 当您需要配置指向VPC子网的对等连接时，可以在VPC的路由表中添加特定的路由规则。这些路由规则将目的地址设置为对等连接另一端VPC子网的网段。通过这样的配置，对等连接两端的VPC子网资源将可以相互连通，实现资源的互访。此时，对等连接仅连接了特定子网之间的资源，而不是整个VPC内的所有资源。 约束与限制 系统路由为系统默认创建，用于VPC内部通信，您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 配置两个VPC与一个中心VPC的两个子网对等 如果您希望在一个中心VPC和其他多个VPC之间实现资源的互访，并确保其他VPC只能访问中心VPC特定子网的资源并保持彼此隔离，可以考虑以下规划方案。本方案中，中心VPC含有多个不同用途的子网。其他VPC的子网只能通过对等连接访问中心VPC特定子网的资源。 资源规划 VPC名称 VPC网段 子网名称 子网网段 子网关联VPC路由表 弹性云主机名称 私有IP地址 VPCA 10.0.0.0/16 SubnetA01 10.0.0.0/24 RouterA01 A01 10.0.0.2 VPCA 10.0.0.0/16 SubnetA02 10.0.1.0/24 RouterA02 A02 10.0.1.2 VPCB 192.168.0.0/16 SubnetB01 192.168.0.0/24 RouterB B01 192.168.0.2 VPCC 172.31.0.0/16 SubnetC01 172.31.0.0/24 RouterC C01 172.31.0.3

为什么对等连接创建完成后不能互通？ 问题描述 对等连接创建完成后，两个VPC还是不能互通。 排查思路： 对等连接配置错误 同一个区域的不同VPC之间内网不同，您可以通过配置对等连接实现内网互通，配置说明如下： 在VPC1和VPC2之间创建对等连接，需要连通VPC1的子网A和VPC2的子网X。 对等连接的路由配置，在VPC1路由表中配置到子网X的路由，在VPC2的路由表中配置到子网A的路由，打通两个子网。 如果您的对等连接配置完成后，VPC的子网网络仍然无法通信，请排查是否存在如下问题： 检查对等连接中VPC的子网是否存在重叠，VPC内的子网网段如果存在重叠，可能会造成路由冲突，对等连接无效。 如果不存在VPC子网重叠的情况，请检查是否在VPC的路由表中配置了正确的路由，包括本端路由和对端路由。 配置建议：路由的目的地址为对端VPC子网的网段，比如10.0.0.0/24，下一跳为“对等连接”。 网络配置错误 1. 确认弹性云主机使用的网卡安全组配置正确。在弹性云主机详情页面中可以查看网卡使用的安全组。需要放通期望进行通信的对端VPC的子网网段。例如：对于VPC内的所有弹性云主机，网卡使用的安全组必须至少配置如下图的规则。 2. 确认对等连接涉及的子网流量未被网络ACL拦截，否则需要放通对等连接涉及的网络ACL规则。 3. 多网卡场景下，请务必确认弹性云主机内部已经配置正确的策略路由，确保源IP不同的报文匹配各自的规则，从各自所在的网卡发出。 4. 操作步骤：例如，eth0的IP地址为192.168.1.10/24，eth1的IP地址为192.168.2.10/24，分别执行 ping I 192.168.1.10 192.168.1.1 ping I 192.168.2.10 192.168.2.1 若都可以ping通，则双网卡策略路由配置无问题。 弹性云主机基本网络功能异常 1. 确认弹性云主机网卡已经正确分配到IP地址。 登录弹性云主机内部，使用命令ifconfig或ip address查看网卡的IP信息。 Windows弹性云主机可以在命令行中执行ipconfig查看。 2. 从弹性云主机内部ping所在子网的网关，确认基本通信功能是否正常。 操作步骤：通常网关地址结尾为1，可以在VPC详情页面中确认。 执行ping命令观察能否ping通即可。若无法ping通网关则需首先排查二三层网络问题。 对等连接的路由与专线、VPN路由的目的地址有重叠 查看对等连接两端的VPC下是否有VPN/云专线资源，排查路由规则的下一跳目的地址是否有重叠。 当对等连接的路由与云专线、VPN路由的目的地址有重叠时，此时路由有可能失效。 路由已存在 如果添加对等连接路由时，报错“路由已存在”，请检查：VPN、云专线、对等连接等路由的目的地址是否已存在。若已存在则对等连接无法生效。 提交工单 如果上述方法均不能解决您的疑问，请提交工单寻求更多帮助。 您需从对等连接一端的弹性云主机使用ping命令向对端VPC下的弹性云主机发送ICMP报文，并向技术支持人员提供如下表格中的信息： Item 说明 您的值 VPC1 ID VPC1的ID VPC2 ID VPC2的ID VM1 ID VPC1下的弹性云主机ID VM2 ID VPC2下的弹性云主机ID Subnet1 ID VM1 所在子网ID Subnet2 ID VM2 所在子网ID IP1 VM1 IP地址 IP2 VM2 IP地址

类别 VPC对等连接 VPC终端节点 功能 对等连接主要是打通两个VPC之间的流量，使两个VPC的子网中的实例可以彼此通信，如同在同一个网络中。 VPC终端节点是将某个VPC中的实例暴露出来，通过专门的网关将此实例的端口映射在其他VPC中。 访问场景 对等连接主要应用在网络规划中,多是同一个租户用来规划自己的网络,将两个VPC的子网联通。 VPC终端节点主要是将服务在云平台中开放,可以提供给同一个租户使用,也可以提供给其他租户使用。 安全性 VPC内所有ECS、ELB等均可以被访问。 仅创建了终端节点服务的ECS、ELB等可以被访问。 CIDR重叠 不支持CIDR重叠，两个VPC的CIDR范围不能有重叠部分。 支持CIDR重叠，允许不同VPC中使用相同的CIDR范围。 通信方向 建立对等连接的两个VPC之间支持双向通信。 仅支持终端节点所在VPC访问终端节点服务所在后端资源的指定端口。 路由配置 需要手动配置对等连接路由信息，才能使两个VPC互通。 自动在VPC路由表中添加路由规则，无需手动配置。 计费 免费 按需计费

配置两个VPC与一个中心VPC的两个子网对等 (IPv4) 本示例中，中心VPCA拥有两个子网，并分别关联至不同的路由表。在子网SubnetA01和VPCB之间创建对等连接PeeringAB，在子网SubnetA02和VPCC之间创建对等连接PeeringAC。此处VPCB和VPCC网段重叠，由于VPCA的两个子网关联至不同的路由表，因此对等连接路由不会冲突。 图两个VPC与一个中心VPC的两个子网对等(IPv4) 资源规划详情和对等连接关系，请参见下表。 表资源规划详情两个VPC与一个中心VPC的两个子网对等(IPv4) VPC名称 VPC网段 子网名称 子网网段 关联VPC路由表 ECS名称 安全组 私有IP地址 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA01 ECSA01 sgweb：通用Web服务器 172.16.0.111 VPCA 172.16.0.0/16 SubnetA02 172.16.1.0/24 rtbVPCA02 ECSA02 sgweb：通用Web服务器 172.16.1.91 VPCB 10.0.0.0/16 SubnetB01 10.0.0.0/24 rtbVPCB ECSB01 sgweb：通用Web服务器 10.0.0.139 VPCC 10.0.0.0/16 SubnetC01 10.0.0.0/24 rtbVPCC ECSC01 sgweb：通用Web服务器 10.0.0.71 说明 VPCA有两张路由表，分别关联不同的子网，路由表rtbVPCA01关联子网SubnetA01，路由表子网rtbVPCA02关联子网SubnetA02，两个子网间可正常通信。

表对端网关参数说明 参数 说明 取值参数 名称 对端网关的名称。 cgwfw 路由模式 选择“静态路由”。 静态路由 网关IP 对端网关和VPN网关通信的IP地址。 请确认数据中心的对端网关已经放通UDP端口4500。 1.1.1.1 4. 配置VPN连接： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 2. 在“VPN”连接界面，单击“创建VPN连接”。 3. 配置第一条VPN连接参数，然后单击“提交”。 表第一条VPN连接参数说明 参数 说明 取值参数 名称 VPN连接的名称。 vpn001 VPN网关 选择VPN网关。 vpngw001 网关IP 选择VPN网关已绑定的主EIP。 1.1.1.2 对端网关 选择对端网关。 cgwfw 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 用户数据中心中需要和VPC通信的子网。 对端子网与本端子网可以重叠，不能重合；对端子网不能被本网关关联的VPC内已有子网所包含。 部分网段是VPC预留网段，不能作为对端子网，例如：100.64.0.0/10，214.0.0.0/8。 172.16.0.0/16 接口分配方式 手动分配 本示例以“手动分配”为例。 自动分配 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 169.254.70.1 对端隧道接口地址 配置在对端网关上的tunnel接口地址，该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 169.254.70.2 检测机制 用于多链路场景下路由可靠性检测，通过ICMP报文检测实现；使能NQA，您的对端设备需要允许ICMP响应请求。 勾选“使能NQA” 预共享密钥、确认密钥 和对端网关的预共享密钥需要保持一致。 Test@123 策略配置 和对端网关的策略配置需要保持一致。 保持默认 4. 配置第二条VPN连接参数，然后单击“提交”。 说明 此处仅对和第一条VPN连接配置不同的参数，未提及参数建议和第一条VPN连接配置保持一致。

接口功能介绍 查询对等连接详情v3 接口约束 无 URI GET /v3/peering/detail 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx peeringOid 是 String 对等连接id 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 peeringOid String 对等连接id peeringName String 对等连接名称 status Integer 状态，0已删除，1待接受，2已接受，3已拒绝，4待处理，5创建中，6删除中，7激活，8错误，9隐藏 vpcOid String 本端vpc id vpcName String 本端vpc名称 vpcCidr String 本端vpc网段 acceptVpcOid String 对端vpc id acceptVpcName String 对端vpc名称 acceptVpcCidr String 对端vpc网段 acceptAccountType Integer 对端用户类型，[0：未知，1：当前账户，2：其他账户] regionOid String 资源池oid acceptRegionUuid String 对端资源池uuid

表对端网关参数说明 参数 说明 取值参数 名称 对端网关的名称。 cgwfw 路由模式 选择“静态路由”。 静态路由 网关IP 对端网关和VPN网关通信的IP地址。 请确认数据中心的对端网关已经放通UDP端口4500。 1.1.1.1 4. 配置VPN连接。 1. 选择“虚拟专用网络 > 企业版VPN连接”，单击“创建VPN连接”。 2. 配置第一条VPN连接参数，然后单击“提交”。 表第一条VPN连接参数说明 参数 说明 取值参数 名称 VPN连接的名称。 vpn001 VPN网关 选择VPN网关。 vpngw001 网关IP 选择VPN网关已绑定的主EIP。 1.1.1.2 对端网关 选择对端网关。 cgwfw 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 用户数据中心中需要和VPC通信的子网。 对端子网与本端子网可以重叠，不能重合；对端子网不能被本网关关联的VPC内已有子网所包含。 部分网段是VPC预留网段，不能作为对端子网，例如：100.64.0.0/10，214.0.0.0/8。 172.16.0.0/16 接口分配方式 手动分配 本示例以“手动分配”为例。 自动分配 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 169.254.70.1 对端隧道接口地址 配置在对端网关上的tunnel接口地址，该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 169.254.70.2 检测机制 用于多链路场景下路由可靠性检测，通过ICMP报文检测实现；使能NQA，您的对端设备需要允许ICMP响应请求。 勾选“使能NQA” 预共享密钥、确认密钥 和对端网关的预共享密钥需要保持一致。 Test@123 策略配置 和对端网关的策略配置需要保持一致。 保持默认 3. 配置第二条VPN连接参数。 说明 此处仅对和第一条VPN连接配置不同的参数，未提及参数建议和第一条VPN连接配置保持一致。

接口功能介绍 查询对等连接路由列表v3 接口约束 无 URI GET /v3/peeringRoute/describe 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx peeringOid 是 String 对等连接id vpcOid 是 String vpc id pageNum 否 Integer 页码，至少1，默认1 pageSize 否 Integer 每页数量，最大100，默认10 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 total Long 总记录数 list Array of Objects 数据列表 list 表 list 参数 参数类型 说明 示例 下级对象 peeringRouteOid String 对等连接路由id peeringOid String 对等连接id status Integer 状态，0已删除，1待接受，2已接受，3已拒绝，4待处理，5创建中，6删除中，7激活，8错误，9隐藏 vpcOid String vpc id destination String 目的地址 nextHop String 下一跳地址

本章节向您介绍VPC对等连接组网迁移实施步骤。 步骤一：创建云服务资源 1. 创建迁移过程中验证ER和VPC通信情况的子网。在每个待迁移的VPC内，各创建一个新的子网。 2. 在迁移验证子网内，创建ECS。在每个待迁移的子网内，各创建一个ECS。 3. 创建1个企业路由器。本示例中，对等连接两端的VPC网段不重叠，因此创建企业路由器时，同时开启“默认路由表关联”和“默认路由表传播”。 注意 如果VPC对等连接两端的VPC网段存在重叠，则不能开启企业路由器的“默认路由表传播”功能。由于该功能是将整个VPC网段学习到ER路由表中用作目的地址，那么VPC网段重叠时，会导致ER路由表内路由冲突。此时，您需要手动在ER路由表中添加指向VPC连接的路由。 步骤二：在企业路由器中添加VPC连接及路由 1. 将3个待迁移的VPC分别接入企业路由器中。添加连接时，不开启“配置连接侧路由”功能，添加“虚拟私有云（VPC）”连接。 2. 检查ER路由表中指向VPC的路由。本示例中，ER开启了“默认路由表关联”和“默认路由表传播功能”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 说明 开启“配置连接侧路由”功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。迁移时，需要手动在VPC路由表中添加规划的大网段路由，不能使用自动添加的路由。 如果您未开启“默认路由表传播”功能，则需要手动在ER路由表中添加指向VPC的路由。 步骤三：验证VPC和ER之间的网络通信情况 1. 在接入ER的VPC的路由表中，添加指向ER的迁移验证路由。 2. 在弹性云主机的远程登录窗口，执行以下步骤，验证VPC和ER的网络通信情况。 登录ecsA02，验证vpcA与vpcB是否可以通过ER通信。 登录ecsA02，验证vpcA与vpcC是否可以通过ER通信。 登录ecsB02，验证vpcB与vpcC是否可以通过ER通信。 3. 验证完成后，删除迁移验证相关的路由、ECS和子网。 步骤四：在VPC路由表中添加路由 在VPCA、VPCB和VPCC的路由表中，依次添加路由。 1. 添加指向任意VPC对等连接的临时通信路由。此路由确保迁移过程中，删除原有VPC对等连接路由时流量不中断。 在vpcA的路由表中，添加1.1.1.1/32路由。 在vpcB的路由表中，添加1.1.1.2/32路由。 在vpcC的路由表中，添加1.1.1.3/32路由。 2. 添加指向ER的大网段路由。该路由的目的地址即需要覆盖待迁移的所有VPC网段，又不能被其他业务占用。 在vpcA的路由表中，添加172.16.0.0/14路由。 在vpcB的路由表中，添加172.16.0.0/14路由。 在vpcC的路由表中，添加172.16.0.0/14路由。

接口功能介绍 修改对等连接v3 接口约束 无 URI POST /v3/peering/update 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 peeringOid 是 String 对等连接id peeringName 是 String 对等连接名称 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。 xxx 枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "peeringOid":"peer8x46rpnaa0lfqlnji8aac", "peeringName":"peeringxxx" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":"xxx" } 状态码 请参考 状态码 错误码 请参考 错误码

参数 参数类型 说明 示例 下级对象 peeringOid String 对等连接id peeringName String 对等连接名称 status Integer 状态，0已删除，1待接受，2已接受，3已拒绝，4待处理，5创建中，6删除中，7激活，8错误，9隐藏 vpcOid String 本端vpc id vpcName String 本端vpc名称 vpcCidr String 本端vpc网段 acceptVpcOid String 对端vpc id acceptVpcName String 对端vpc名称 acceptVpcCidr String 对端vpc网段 acceptAccountType Integer 对端用户类型，[0：未知，1：当前账户，2：其他账户] regionOid String 资源池oid acceptRegionUuid String 对端资源池uuid

创建ELB 1. 登录网络控制台。 2. 在左侧导航栏选择“弹性负载均衡 > 负载均衡器”。 3. 单击“购买弹性负载均衡”。 4. 配置负载均衡信息。 5. 单击“立即购买”。 6. 确认信息无误后，单击“提交”。 7. 添加监听器。 a. 单击已创建弹性负载均衡的名称，在“监听器”页签中单击“添加监听器”。 b. 配置监听器名称、前端协议及端口，单击“下一步”。 c. 配置后端服务器组名称、后端协议和分配策略类型，单击“下一步”。 d. 添加后端服务器，单击“下一步”。 e. 单击“提交”。下图所示为配置后的信息。 图 进入监听器详情，查看监听器基本信息和后端服务器组信息 创建对等连接 1. 在网络控制台的左侧导航栏选择“虚拟私有云 > 对等连接”。 2. 单击“创建对等连接”，配置对等连接。 表 对等连接配置 参数 配置说明 :: 区域 选择区域，且与VPC1同区域。 对等连接名称 填写对等连接的名称，根据规划自定义。建议您按照一定的命名规则填写实例名称，方便您快速识别和查找。 本端VPC 已创建的虚拟私有云“VPC1”。 账户 此处默认“当前账户”。 对端项目 选择已有项目。 对端VPC 已创建的虚拟私有云“VPC2”。 3. 单击“确定”。 4. 在弹框中单击“立即添加”，进入对等对接详情页面。 5. 在“关联路由”页签中单击“添加路由”。 a. 在弹窗中填写路由信息。 表6 本端和对端的路由信息 参数 说明 :: 本端路由 虚拟私有云 已创建的虚拟私有云“VPC1”。 路由表 VPC1的路由表。 目的地址 为ELB详情页面，“基本信息”页签中的“服务地址”。 对端路由 虚拟私有云 已创建的虚拟私有云“VPC2”。 路由表 VPC2的路由表。 目的地址 为API网关专享版实例概览页面，“基本信息”页签中的“出私网IP”地址。 b. 单击“确定”。

接口功能介绍 创建对等连接v3 接口约束 无 URI POST /v3/peering/create 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vpcOid 是 String 本端vpc id acceptVpcOid 是 String 对端vpc id peeringName 是 String 对等连接名称 regionOid 是 String 资源池oid 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。 xxx 枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "vpcOid":"vpcks38av7mklcehgu674ead", "acceptVpcOid":"vpc556a8qkcihe5qci4e79lq", "peeringName":"peeringxxx", "regionOid":"rgn11opw6q2113m1htjlr22p" }

接口功能介绍 创建对等连接路由v3 接口约束 无 URI POST /v3/peeringRoute/create 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 peeringOid 是 String 对等连接id vpcOid 是 String vpc id destinationList 是 Array of Strings 目的地址集合 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。 xxx 枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "vpcOid":"vpcks38av7mklcehgu674ead", "peeringOid":"peer556a8qkcihe5qci4e79lq", "destinationList":["192.168.1.0/24","192.168.2.0/24"] } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":"xxx" }

本文介绍基于私网NAT网关和对等连接，实现存在地址冲突的云上VPC之间的互通操作实践。 使用背景 某企业因收购重组，需要将同一资源池的两个VPC打通，由于前期为不同帐号，网络规划存在网段重叠，正常通过对等连接，无法实现两个VPC的互通；您可以分别在两个VPC中规划不重叠的中转网段，为每个VPC创建一个私网NAT网关，通过私网NAT网关的SNAT功能和DNAT功能来实现VPC间的互通。 方案优势 因企业业务发展需要，可以避免重新规划搭建新网络，来实现地址冲突的网段互通，极大的减少了用户网络改造的难度。 方案涉及产品 VPC，私网NAT网关，对等连接 方案架构 本方案网络拓扑架构如图所示 实现方式如下： 1. 通过对等连接将用户IDC与VPC连通。 2. 在VPC中搭建私网NAT网关。 3. 配置SNAT规则，将ECS的私网地址转换成中转IP地址。 资源规划 资源 资源名称 资源说明 VPC1 VPCtest1 VPC1 VPCtest1业务子网 192.168.1.0/24 VPC1 VPCtest1中转子网 192.168.3.0/24 VPC2 VPCtest2 VPC2 VPCtest2业务子网 192.168.1.0/24 VPC2 VPCtest2中转子网 192.168.4.0/24 私网NAT网关 nattest1 所属于VPCtest1 私网NAT网关 nattest2 所属于VPCtest2 私网NAT网关 nattest1中转IP地址 192.168.3.5 私网NAT网关 nattest2中转IP地址 192.168.4.5 私网NAT网关 nattest2中转端口 80 云主机 ECStest1 所属网段VPCtest1业务子网 云主机 ECStest2 所属网段VPCtest2业务子网 服务端口80 对等连接 peeringtest 操作步骤

安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。 对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 在区域A内，您的两个VPC分别为VPCA和VPCB，VPCA和VPCB之间网络不通。 您的业务服务器ECSA01和ECSA02位于VPCA内，数据库服务器RDSB01和RDSB02位于VPCB内，此时业务服务器和数据库服务器网络不通。 您需要在VPCA和VPCB之间建立对等连接PeeringAB，连通VPCA和VPCB之间的网络，业务服务器就可以访问数据库服务器。

接口功能介绍 删除对等连接v3 接口约束 无 URI POST /v3/peering/delete 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 peeringOid 是 String 对等连接id 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。 xxx 枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "peeringOid":"peer8x46rpnaa0lfqlnji8aac" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":"xxx" } 状态码 请参考 状态码 错误码 请参考 错误码

Calico IPIP隧道网络 不同VPC使用Calico网络插件的两个集群，在创建对等连接后，需要进一步配置VPC路由表才能使两个VPC互通。跨VPC互联如下图所示： 需要注意如下几点： 两端集群节点子网网段需避免重叠；为简化配置避免潜在的地址冲突，建议VPC地址段不重叠； 两端集群的容器网段可以重叠，服务网段也可以重叠； 一个集群的节点可以访问另一个集群的节点，但需注意两端安全组是否放通； 不同集群的Pod之间不能通过容器IP直接访问，跨集群Pod访问需通过LoadBlance类型Service等方式访问； 对等连接本端和对端VPC均需配置路由表，以确保网络流量能够正确地传输； 在对等连接的本端路由添加对端集群节点子网网段，在对端路由添加本端集群节点子网网段，以实现两端集群节点互访： Cubecni VPC网络 不同VPC使用Cubecni网络插件的两个集群，在创建对等连接后，需要进一步配置VPC路由表才能使两个VPC互通。跨VPC互联如下图所示： 需要注意如下几点： 两端集群节点子网网段需避免重叠，容器子网网段需避免重叠；为简化配置避免潜在的地址冲突，建议VPC地址段不重叠； 两端集群的节点及Pod均可直接互访，但需注意两端安全组是否放通； 对等连接的路由表需添加对端集群节点子网网段和容器子网网段或者整个VPC网段，该操作在两侧的VPC路由表中均要执行。

参数 参数类型 说明 示例 下级对象 id Long id vpcPeerId String 对等连接id name String 对等连接名称 vpcId String 本端vpc id requestVpcName String 本端vpc名称 requestVpcCidr String 本端vpc的网段 acceptVpcId String 对端vpc的id acceptVpcName String 对端vpc的名称 acceptVpcCidr String 对端vpc的网段 acceptEmail String 对端vpc账户的邮箱 userType String 类型: current(同租户);other(不同租户) status String 状态: agree(同意建立)/pending(待同意建立) protectStatus Boolean 防护状态false;true syncStatus String 同步状态 add, delete, unchanged firewallId String 防火墙id firewallEdition String 防火墙版本号 endpoint Object 终端节点 GwlbeInfoVo

参数 参数类型 说明 示例 下级对象 vpcPeerId String 对等连接id name String 对等连接名称 requestVpcId String 本端vpc id requestVpcName String 本端vpc名称 requestVpcCidr String 本端vpc的网段 acceptVpcId String 对端vpc的id acceptVpcName String 对端vpc的名称 acceptVpcCidr String 对端vpc的网段 userType String 类型: current(同租户);other(不同租户) protectStatus Boolean 防护状态false;true regionName String 资源池名称

接口功能介绍 删除对等连接路由v3 接口约束 无 URI POST /v3/peeringRoute/delete 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 peeringRouteOid 是 String 对等连接路由id 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。 xxx 枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "peeringRouteOid":"pr8x46rpnaa0lfqlnji8aac" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":"xxx" } 状态码 请参考 状态码 错误码 请参考 错误码

资源 资源名称 资源说明 VPC VPCTest01 创建独享型负载均衡（ELBTest）所在VPC：172.18.0.0/24 VPC VPCTest02 服务器（ECSTest）所在的VPC：172.17.0.0/24 对等连接 PeeringTest 在ELB所在的VPC和云上其他VPC之间建立对等连接 本端VPC网段：172.18.0.0/24 对端VPC网段：172.17.0.0/24 路由表 RouteVPCTest01 创建对等连接路由，所属VPC：VPCTest01 目的地址：172.17.0.0/24 路由表 RouteVPCTest02 创建对等连接路由，所属VPC：VPCTest02 目的地址：172.18.0.0/24 ELB ELBTest 独享型负载均衡 EIP EIPTest 用于给ELBTest绑定的弹性公网IP 119.3.233.52 ECS ECSTest ECS所属VPC：VPCTest02 私网IP：172.17.0.145

以及客户端、控制台等多种连接方式。

天翼AI云电脑的对等连接建立成功，并添加了本端和对端的路由，但两端VPC仍然不能正常通信？ 1. 检查本端与对端路由是否正确，确保两端路由与所要互访的VPC子网地址匹配； 2. 检查两端需要互访的天翼AI云电脑（政企版）所设置的安全组策略是否放行了这两端VPC的子网地址。 天翼AI云电脑使用对等连接进行通信，数据会经过公网吗？ 不会。对等连接上的数据流只会在数据中心内进行传输，数据不会通过互联网进行传输，从而避免您的数据在传输过程中被窃听，并且能够提供比公网通信更好的网络质量。 在天翼AI云电脑里如何使用本地的USB打印机？ 方法一：使用天翼AI云电脑（政企版）的终端本身可以正常使用USB打印机的（终端和天翼AI云电脑（政企版）的系统都为Windows），可开启打印机设备重定向策略，在天翼AI云电脑（政企版）里即可直接使用终端已配置好的USB打印机（开启策略操作：天翼AI云电脑（政企版）管理控制台策略管理基础策略管理新建/编辑策略外设，选择开启打印机设备重定向）； 方法二：打印机驱动程序支持天翼AI云电脑（政企版）系统类型的，可开启USB重定向策略，在天翼AI云电脑（政企版）里按常规打印机方法使用即可（开启策略操作：天翼AI云电脑（政企版）管理控制台策略管理基础策略管理新建/编辑策略外设USB重定向，勾选打印设备）。

资源规划 VPC1 VPC2 业务子网 192.168.1.0/24 192.168.1.0/24 中转子网 192.168.3.0/24 192.168.4.0/24 中转IP地址 192.168.3.5 192.168.4.5 ECS 192.168.1.x 192.168.1.x 对等连接 Peeringtest Peeringtest

本端子网 本端子网通过VPN与用户侧网络进行互通，有两种输入方式。 子网方式 : 使用下拉列表选择要进行VPN通信的子网。如果要进行VPN通信的子网都在该VPC中，建议采用这种方式。 网段方式 : 用户在输入框中手工输入网段信息，格式为点分十进制加掩码长度，如 192.168.0.0/16；如果有多个网段，则使用逗号分隔。使用这种方式可以添加不属于该VPC的网段，如通过VPC peering特性连接进来的非该VPN网关关联的VPC内的网段（如0.0.0.0/0等）。 对端网关 对端网关是用户数据中心的VPN设备或软件应用程序。控制台上创建的对端网关是云上虚拟对象，用于记录用户数据中心实体设备的配置信息。 对端子网 对端子网即用户侧数据中心的网段，该网段需要通过VPN与云上VPC网络进行互通。用户需手工输入网段信息，格式为点分十进制加掩码长度，如 192.168.0.0/16；如果有多个网段，则使用逗号分隔。 用户在设置完对端子网后，无需在VPC中增加路由信息，VPN服务会自动在VPC中下发到达对端子网的路由。 说明 子网不支持D类组播地址，E类保留地址和127开头的环回地址。 预共享密钥 预共享密钥（Pre Shared Key），指配置在云上VPN连接的密钥，用于双方VPN设备的IKE协商，需要确保双方配置一致，否则会导致IKE协商失败。

本节主要介绍GetConcurrentConnection。 此操作用来查询用户的并发连接数。 请求参数 名称 描述 是否必须 Action GetConcurrentConnection。 是 BeginDate 指定查询并发连接数的起始时间，统计数据的起始时间为开始日期（时区为：UTC+8）的00:00。 类型：Time 取值：格式为yyyyMMdd。 是 EndDate 指定查询并发连接数的结束时间，返回数据的时间为当天日期（时区为：UTC+8）的最后一个数据。 类型：Time 取值：格式为yyyyMMdd。EndDate不能早于BeginDate。 说明 EndDate与BeginDate的间隔小于1天。 是 Bucket 指定查询并发连接数Bucket的名称。如果不指定Bucket名称，则表示查询账户下所有Bucket的并发连接数之和。 类型：字符串 取值：3~63个字符，只能由小写字母、数字、短横线（）和点（.）组成。 否 Region 指定查询并发连接数的数据位置。如果不指定数据位置名称，则查询账户名下所有数据位置的并发连接数之和。 类型：字符串 取值： 对象存储网络：ZhengZhou、ShenYang、ChengDu、WuLuMuQi、LanZhou、QingDao、GuiYang、WuHu、WuHan、ShenZhen、SH2、SuZhou。 对象存储网络2：NeiMeng1、HangZhou1。 香港节点：HongKong。 否 InternetType 指定返回并发连接数的网络类型互联网/非互联网。 类型：字符串 取值： all：指定返回互联网并发连接数和非互联网并发连接数。 internet：指定返回互联网的并发连接数。 noninternet：指定返回非互联网的并发连接数。 默认值为all。 否 Freq 指定返回统计数据的采样粒度。 类型：Enum 取值：by5min：统计数据的采样粒度为5分钟。 默认值为by5min。 否

管理连接 CDM支持对已创建的连接进行以下操作： 删除：支持删除未被任何作业使用的连接，也支持批量删除连接。 编辑：支持修改已创建好的连接参数，但不支持重新选择连接器。修改连接时，需要重新输入数据源的登录密码。 测试连通性：支持直接测试已保存连接的连通性。 查看连接JSON：以JSON文件格式查看连接参数的配置。 编辑连接JSON：以直接修改JSON文件的方式，修改连接参数。 查看后端连接：查看该连接对应的后端连接。例如已开启后端连接的MYCAT连接，就可以查询到对应的后端连接详情。 在管理连接前，您需要确保该连接未被任何作业使用，避免影响现有作业业务。管理连接的操作流程如下： 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择CDM集群后的“作业管理 >连接管理”。 2.在连接管理界面找到需要修改的连接： 删除连接：单击操作列的“删除”删除该连接，或者勾选连接后单击列表上方的“删除连接”来批量删除未被任何作业使用的连接。 编辑连接：单击该连接名称，或者单击操作列的“编辑”进入修改连接的界面，修改连接时需要重新输入数据源的登录密码。 测试连通性：单击操作列的“测试连通性”，直接测试已保存连接的连通性。 查看连接JSON：选择操作列的“更多>查看连接JSON”，以JSON文件格式查看连接参数的配置。 编辑连接JSON：选择操作列的“更多>编辑连接JSON”，以直接修改JSON文件的方式，修改连接参数。查看后端连接：选择操作列的“更多 > 查看后端连接”，查看该连接对应的后端连接。

本章节向您介绍企业路由器所有者如何接受或拒绝连接创建申请。 接受连接创建申请 注意 当企业路由器的“自动接受共享连接”功能关闭时，接受者创建的连接需要所有者审批。 当企业路由器的“自动接受共享连接”功能开启时，接受者创建的连接无需所有者审批。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到目标企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“连接”页签。 在企业路由器右上角区域，单击“管理连接”。 单击企业路由器名称，并选择“连接”页签。 步骤4：在连接列表中，单击目标连接所在行的操作下的“接受”，接受连接创建申请。所有者接受连接创建申请后，连接状态由“待接受”变为“创建中”： 当连接最终状态为“正常”时，表示连接创建成功。 当连接最终状态为“失败”时，表示连接创建失败，请联系客服处理。 拒绝连接创建申请 注意 当企业路由器的“自动接受共享连接”功能关闭时，接受者创建的连接需要所有者审批。 当企业路由器的“自动接受共享连接”功能开启时，接受者创建的连接无需所有者审批。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到目标企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“连接”页签。 在企业路由器右上角区域，单击“管理连接”。 单击企业路由器名称，并选择“连接”页签。 步骤4：在连接列表中，单击目标连接所在行的操作下的“拒绝”，拒绝连接创建申请。所有者拒绝连接创建申请后，连接状态由“待接受”变为“已拒绝”，表示连接创建失败，请联系所有者咨询拒绝原因。