阿里云国际站实现跨账号内网互通,主要依赖的核心产品是 云企业网(Cloud Enterprise Network, CEN)和私网连接(PrivateLink)。
阿里云国际站怎样跨账号内网互通
方案一:使用云企业网 (CEN) - 适用于 VPC 互通
云企业网 (CEN) 是阿里云提供的一种快速构建全球互联网络的方案,它是实现跨账号、跨地域 VPC 内网互通的最主要的工具。
核心原理
CEN 扮演了一个中央路由器的角色。您只需将不同账号下的 VPC (专有网络) 实例连接到同一个 CEN 实例中,CEN 就会自动管理并同步路由,从而实现这些 VPC 之间的内网互访。
2.配置步骤(高级概览)
(1)创建 CEN 实例 (账号 A): 在其中一个主账号(例如,账号 A,通常是中心管理账号)下创建一个云企业网实例。
(2)账号授权(关键):
① 账号 B 登录控制台,在其 VPC 详情页,向 账号 A 的 CEN 实例进行跨账号授权。
② 在授权过程中,需要填写对方账号(账号 A)的 UID 和 CEN 实例 ID。
(3)连接 VPC (账号 A):
① 账号 A 登录控制台,在 CEN 实例下创建网络实例连接。
② 在连接配置时,选择“跨账号”作为资源归属 UID,并填入 账号 B 的 UID,然后选择 账号 B 下的 VPC 实例进行连接。
(4)路由传播与验证: 连接成功后,CEN 会自动将路由同步到各个 VPC 的路由表中,实现内网互通。您可以通过 Ping 私网 IP 地址来验证连通性。
3.适用场景
(1)需要全网互通,网络拓扑复杂,需要多对多连接。
(2)需要实现跨账号 VPC 与 VPC 之间的内网连接。
(3)需要将不同账号下的 VPC 与本地 IDC 专线连接(通过 CEN 转发)。
方案二:使用私网连接 (PrivateLink) - 适用于服务共享
如果您的目标不是让整个 VPC 互通,而是让一个账号下的应用(服务提供方)能够安全地被另一个账号(服务使用方)通过内网访问,**私网连接(PrivateLink)**是更安全和细致的选择。
1.核心原理
PrivateLink 允许您在自己的 VPC 中创建终端节点 (Endpoint),通过阿里云内部网络私密地访问另一个账号中托管的服务,而流量不经过公网,且无需复杂的路由配置。
2.配置步骤(高级概览)
(1)服务提供方(账号 A)配置:
① 账号 A 将要共享的服务(例如 SLB/CLB 后端的 ECS)创建为终端节点服务(Endpoint Service)。
② 账号 A 在终端节点服务的服务白名单中,添加账号 B 的 UID,允许其访问。
(2)服务使用方(账号 B)配置:
① 账号 B 在自己的 VPC 内创建接口终端节点(Interface Endpoint),并指向账号 A 提供的终端节点服务。
(3)连接与访问: 终端节点创建成功后,账号 B 的 VPC 内的 ECS 等资源就可以通过该终端节点的私有 IP 地址或域名,以内网方式访问账号 A 的服务。
3.适用场景
(1)安全隔离优先: 只需要实现点对点、服务级别的访问,不需要整个 VPC 网段互通。
(2)共享 SaaS/内部服务: 账号 A 提供 API、数据库或微服务,需要被账号 B 安全地访问。
(3)简化网络管理: 避免了 CEN 复杂的路由管理和网段冲突问题。
重要注意事项
(1)VPC 网段不能重叠: 无论是使用 CEN 还是 PrivateLink,要实现内网互通,不同账号下的 VPC 的 CIDR 网段(例如 192.168.0.0/16)绝对不能有重叠。否则,网络路由将无法正确工作。
(2)计费: 这两个产品都是收费服务。CEN 主要根据连接费和跨地域流量处理费计费;PrivateLink 主要根据终端节点服务时长费和终端节点服务流量费计费。请务必提前了解计费模式。
