VPC对等连接(VPC Peering)全流程精讲
这是阿里云同地域两个VPC互通的基础方案 ,和你之前学的CEN云企业网是两种不同的互通方式,核心特点:点对点直连、必须手动配置双向路由、仅支持同地域。
我结合你给的实验步骤,逐行讲透做什么、为什么这么做、底层逻辑,保证你彻底懂。
一、先搞懂核心前提
- 适用场景 :仅同地域(比如都在杭州)的两个VPC互通,跨地域用不了
- 默认状态:两个VPC完全隔离,ECS互ping不通
- 核心逻辑 :对等连接只搭「物理通道」,不自动配路由,必须手动加路由+安全组放行,才能通
- 和CEN的区别:CEN是一个枢纽带多个VPC、自动配路由;对等连接是两个VPC直连、手动配路由
二、逐步骤详细讲解(对应你的2.2~2.7)
2.2 查看ECS地域
操作:ECS控制台→概览,看ECS所属地域
目的 :VPC对等连接强制要求同地域(都杭州/都上海),不同地域直接无法创建,这是硬性规则。
2.3 查看VPC绑定关系
操作:切换到ECS同地域的VPC控制台,看到两个VPC各绑1台ECS
现状:
- VPC1(发起端)→ ECS1
- VPC2(接收端)→ ECS2
两个VPC网段不冲突,默认网络隔离,完全不通。
2.4 查看VPC对等连接
操作:VPC控制台→对等连接,查看已创建的对等连接
作用 :确认两个VPC之间已经建立了对等连接通道(相当于拉了一根直连网线),这是互通的基础。
2.5 配置双向路由(最核心步骤!)
对等连接只通了「物理层」,路由层必须手动配置 ,路由表决定流量往哪走,只配一端只能单通,两端都配才双向通。
① 配置发起端(VPC1)路由
- 操作:进入VPC1路由表→添加自定义路由
- 目标网段:填VPC2的CIDR(对方VPC的网段)
- 下一跳:选择VPC对等连接
含义:告诉VPC1:「要发往VPC2网段的流量,走对等连接这条通道」
② 配置接收端(VPC2)路由
- 操作:进入VPC2路由表→添加自定义路由
- 目标网段:填VPC1的CIDR(对方VPC的网段)
- 下一跳:选择VPC对等连接
含义:告诉VPC2:「要发往VPC1网段的流量,走对等连接这条通道」
✅ 关键:路由是单向的,必须双向配置,少一个都不通。
2.6 测试连通性(安全组+ping测试)
路由通了只是「路修好了」,安全组是防火墙,必须开门放行,不然流量直接被拦。
① 双向配置安全组规则
- ECS1安全组(入方向):允许 → 协议全部/ICMP → 授权对象
ECS2私网IP + 100.104.0.0/16 - ECS2安全组(入方向):允许 → 协议全部/ICMP → 授权对象
ECS1私网IP + 100.104.0.0/16
两个授权对象的作用:
- 对方ECS私网IP:允许两个ECS互访、ping通
100.104.0.0/16:阿里云内网管控网段,放行了才能用Workbench远程连接ECS
② 互ping测试
- 登录ECS1 →
ping ECS2私网IP - 登录ECS2 →
ping ECS1私网IP
能收到回复=VPC对等连接互通成功
2.7 删除路由条目(清理资源)
操作:分别进入VPC1、VPC2的路由表,删除自定义的对等连接路由
原因:路由是手动添加的,先删路由才能删除对等连接本身,避免资源占用报错。
三、极简核心口诀(记这个就不会懵)
- 对等连接=同地域两个VPC直连,跨地域不行
- 只建对等连接没用,必须手动配双向路由
- 路由管「流量怎么走」,安全组管「让不让进」
- 双向安全组放行+双向路由=完全互通
- 清理时先删路由,再删对等连接
四、和你之前学的CEN对比(公司选型关键)
| 维度 | VPC对等连接 | CEN云企业网 |
|---|---|---|
| 适用规模 | 2个VPC互通 | 3个及以上VPC/跨地域互通 |
| 路由配置 | 手动双向配置 | 自动同步路由,无需手动加 |
| 地域限制 | 仅同地域 | 同/跨地域都支持 |
| 企业常用度 | 小公司/简单场景 | 中大厂/多VPC复杂架构 |
五、一句话总结
你这个实验就是同地域两个VPC,用对等连接拉直连通道,手动配双向路由,再开安全组防火墙,实现ECS互访,是阿里云最基础的VPC互通方式,小公司简单场景会直接用这个。