火山引擎私有网络使用指南-共享VPC快速入门

axin 2025-05-04 8人围观 ,发现0个评论 火山引擎云服务云服务器云服务器教程

国内、香港、海外云服务器4核/4G/10M 仅31元每月,点击抢购>>>

👉点击这里申请火山引擎VIP帐号,立即体验火山引擎产品>>>

本文为您介绍如何快速配置和使用共享VPC。

背景介绍

某企业有多个业务部门,不同的部门有不同的账号,不同的部门对网络的需求不同,业务部门A需要访问公网、业务部门B仅需要私网访问内部资源、业务部门C需要向公网提供服务。现通过共享VPC进行管理,如下图:

  • 网络管理员账号M:创建一个VPC,并规划多个子网。

    • 在子网Network里创建公网NAT网关,为子网A中的云资源提供公网访问能力。

    • 将子网A共享给业务账号A(即业务部门A)。

    • 将子网B共享给业务账号B(即业务部门B)。

    • 将子网C共享给业务账号C(即业务部门C)。

  • 业务账号A:使用子网A创建多台云服务器ECS,使其通过公网NAT网关访问公网。

  • 业务账号B:使用子网B创建多台云服务器ECS,使其能私网访问子网A的ECS。

  • 业务账号C:使用子网C创建多台云服务器ECS和一台CLB实例,使云服务器通过CLB实例向公网提供服务。

准备工作

  • 将网络管理账号M和业务账号A、B、C加入同一个企业组织。

  • 使用网络管理账号M创建了一个VPC(名称为VPC-1)及4个子网(名称分别为子网A、子网B、子网C、子网Network)。

  • 申请一个公网IP,名称EIP-1。

操作步骤

网络管理员配置

登录网络管理员账号M,配置公网NAT网关,并开启共享VPC功能,将子网A共享给账号A、子网B共享给账号B、子网C共享给账号C。

配置公网NAT网关

  1. 创建公网NAT网关:VPC选择VPC-1,子网选择子网Network。

  1. 绑定公网IP:公网NAT网关绑定公网IP。

  1. 创建SNAT规则:创建子网粒度的SNAT规则,子网选择子网-A。

说明
本文仅使用默认的系统路由表,若不同的子网关联不同的路由表时,需要在路由表中添加目标网段为0.0.0.0/0、下一跳为该公网NAT网关实例的自定义路由条目。操作请参考 添加路由条目 。

开通共享VPC

参考以下步骤,依次将子网A共享给账号A、子网B共享给账号B、子网C共享给账号C。

  1. 登录资源共享控制台。

  1. 在左侧导航树,选择“资源共享 > 由我共享”。

  1. 在顶部导航栏,选择地域。

  1. 在共享单元页签,单击“创建共享单元”按钮。

  1. 参考下表,配置相关参数。

参数
说明
示例A
示例B
示例C
共享单元名称
输入共享单元的名称。
共享子网A
共享子网B
共享子网C
地域
选择共享VPC所在的地域。
华北2(北京)
华北2(北京)
华北2(北京)
产品
选择私有网络-子网。
私有网络-子网
私有网络-子网
私有网络-子网
资源ID
勾选需要共享的子网的ID。
勾选子网A的ID
勾选子网B的ID
勾选子网C的ID
共享策略名称
默认且仅支持RSDefaultPermissionForSubnet。
RSDefaultPermissionForSubnet
RSDefaultPermissionForSubnet
RSDefaultPermissionForSubnet
资源使用者
选择仅允许与企业同组织共享。
仅允许与企业同组织共享
仅允许与企业同组织共享
仅允许与企业同组织共享
通过企业组织添加
开启通过企业组织添加,勾选账号。
账号A的ID
账号B的ID
账号C的ID

  1. 单击“下一步”按钮,确认无误后,单击“确认”按钮,完成操作。

配置业务账号A

登录业务账号A,在VPC-1的子网A中创建多台未绑定公网IP的云服务器,使云服务器通过公网NAT网关访问公网。

  1. 配置安全组:

    1. 创建安全组:账号A在VPC-1的子网A中创建云服务器时,无法关联VPC-1的默认安全组Default,故需要在VPC-1内创建安全组。

    1. 添加安全组规则:除默认的安全组规则外,还需要放通如下流量:

方向
策略
协议类型
端口范围
源地址IP
描述
入方向
允许
TCP
22
0.0.0.0/0
用于远程登录云服务器
入方向
允许
ALL
ALL
192.168.2.0/24
用于与业务账号B的云服务器私网互通。

  1. 创建云服务器:在VPC-1的子网A中创建多台未绑定公网IP的云服务器,安全组选择新创建的安全组。

  1. 验证:登录云服务器,在命令行执行ping 8.8.8.8命令,验证云服务器能否访问公网。回显如下图:

说明
若访问失败,请登录网络管理员账号M,检查SNAT规则是否配置正确,检查子网A关联的路由表是否配置了公网NAT网关路由。

配置业务账号B

登录业务账号B,创建多台未绑定公网IP的云服务器,使云服务器通过私网访问子网A内的云服务器。

  1. 配置安全组:

    1. 创建安全组:账号B在VPC-1的子网B中创建云服务器时,无法关联VPC-1的默认安全组Default,故需要在VPC-1内创建安全组。

    1. 添加安全组规则:除默认的安全组规则外,还需要放通如下流量:

方向
策略
协议类型
端口范围
源地址IP
描述
入方向
允许
TCP
22
0.0.0.0/0
用于远程登录云服务器
入方向
允许
ALL
ALL
192.168.1.0/24
用于与业务账号A的云服务器私网互通。

  1. 创建云服务器:在VPC-1的子网B中创建多台未绑定公网IP的云服务器,安全组选择新创建的安全组。

  1. 验证:登录云服务器,在命令行执行ping <子网A内的云服务器>命令,验证云服务器能否私网互通。回显如下图:

配置业务账号C

登录业务账号C,执行如下操作:

  1. 配置安全组:

    1. 创建安全组:账号C在VPC-1的子网C中创建云服务器时,无法关联VPC-1的默认安全组Default,故需要在VPC-1内创建安全组。

    1. 添加安全组规则:除默认的安全组规则外,还需要放通如下流量:

方向
策略
协议类型
端口范围
源地址IP
描述
入方向
允许
TCP
22
0.0.0.0/0
用于远程登录云服务器
入方向
允许
TCP
80
0.0.0.0/0
接收CLB转发的IPv4客户端请求
入方向
允许
TCP
80
100.64.0.0/10
接收健康检查请求

  1. 创建云服务器:在VPC-1的子网C中创建多台未绑定公网IP的云服务器,安全组选择新创建的安全组。

  1. 为新创建的云服务器 搭建后端服务。

  1. 配置负载均衡CLB:创建公网CLB时,子网选择共享子网C,操作步骤请参考四层负载均衡快速入门。



本文为您介绍如何快速配置和使用共享VPC。

背景介绍

某企业有多个业务部门,不同的部门有不同的账号,不同的部门对网络的需求不同,业务部门A需要访问公网、业务部门B仅需要私网访问内部资源、业务部门C需要向公网提供服务。现通过共享VPC进行管理,如下图:

  • 网络管理员账号M:创建一个VPC,并规划多个子网。

    • 在子网Network里创建公网NAT网关,为子网A中的云资源提供公网访问能力。

    • 将子网A共享给业务账号A(即业务部门A)。

    • 将子网B共享给业务账号B(即业务部门B)。

    • 将子网C共享给业务账号C(即业务部门C)。

  • 业务账号A:使用子网A创建多台云服务器ECS,使其通过公网NAT网关访问公网。

  • 业务账号B:使用子网B创建多台云服务器ECS,使其能私网访问子网A的ECS。

  • 业务账号C:使用子网C创建多台云服务器ECS和一台CLB实例,使云服务器通过CLB实例向公网提供服务。

准备工作

  • 将网络管理账号M和业务账号A、B、C加入同一个企业组织。

  • 使用网络管理账号M创建了一个VPC(名称为VPC-1)及4个子网(名称分别为子网A、子网B、子网C、子网Network)。

  • 申请一个公网IP,名称EIP-1。

操作步骤

网络管理员配置

登录网络管理员账号M,配置公网NAT网关,并开启共享VPC功能,将子网A共享给账号A、子网B共享给账号B、子网C共享给账号C。

配置公网NAT网关

  1. 创建公网NAT网关:VPC选择VPC-1,子网选择子网Network。

  1. 绑定公网IP:公网NAT网关绑定公网IP。

  1. 创建SNAT规则:创建子网粒度的SNAT规则,子网选择子网-A。

说明
本文仅使用默认的系统路由表,若不同的子网关联不同的路由表时,需要在路由表中添加目标网段为0.0.0.0/0、下一跳为该公网NAT网关实例的自定义路由条目。操作请参考 添加路由条目 。

开通共享VPC

参考以下步骤,依次将子网A共享给账号A、子网B共享给账号B、子网C共享给账号C。

  1. 登录资源共享控制台。

  1. 在左侧导航树,选择“资源共享 > 由我共享”。

  1. 在顶部导航栏,选择地域。

  1. 在共享单元页签,单击“创建共享单元”按钮。

  1. 参考下表,配置相关参数。

参数
说明
示例A
示例B
示例C
共享单元名称
输入共享单元的名称。
共享子网A
共享子网B
共享子网C
地域
选择共享VPC所在的地域。
华北2(北京)
华北2(北京)
华北2(北京)
产品
选择私有网络-子网。
私有网络-子网
私有网络-子网
私有网络-子网
资源ID
勾选需要共享的子网的ID。
勾选子网A的ID
勾选子网B的ID
勾选子网C的ID
共享策略名称
默认且仅支持RSDefaultPermissionForSubnet。
RSDefaultPermissionForSubnet
RSDefaultPermissionForSubnet
RSDefaultPermissionForSubnet
资源使用者
选择仅允许与企业同组织共享。
仅允许与企业同组织共享
仅允许与企业同组织共享
仅允许与企业同组织共享
通过企业组织添加
开启通过企业组织添加,勾选账号。
账号A的ID
账号B的ID
账号C的ID

  1. 单击“下一步”按钮,确认无误后,单击“确认”按钮,完成操作。

配置业务账号A

登录业务账号A,在VPC-1的子网A中创建多台未绑定公网IP的云服务器,使云服务器通过公网NAT网关访问公网。

  1. 配置安全组:

    1. 创建安全组:账号A在VPC-1的子网A中创建云服务器时,无法关联VPC-1的默认安全组Default,故需要在VPC-1内创建安全组。

    1. 添加安全组规则:除默认的安全组规则外,还需要放通如下流量:

方向
策略
协议类型
端口范围
源地址IP
描述
入方向
允许
TCP
22
0.0.0.0/0
用于远程登录云服务器
入方向
允许
ALL
ALL
192.168.2.0/24
用于与业务账号B的云服务器私网互通。

  1. 创建云服务器:在VPC-1的子网A中创建多台未绑定公网IP的云服务器,安全组选择新创建的安全组。

  1. 验证:登录云服务器,在命令行执行ping 8.8.8.8命令,验证云服务器能否访问公网。回显如下图:

说明
若访问失败,请登录网络管理员账号M,检查SNAT规则是否配置正确,检查子网A关联的路由表是否配置了公网NAT网关路由。

配置业务账号B

登录业务账号B,创建多台未绑定公网IP的云服务器,使云服务器通过私网访问子网A内的云服务器。

  1. 配置安全组:

    1. 创建安全组:账号B在VPC-1的子网B中创建云服务器时,无法关联VPC-1的默认安全组Default,故需要在VPC-1内创建安全组。

    1. 添加安全组规则:除默认的安全组规则外,还需要放通如下流量:

方向
策略
协议类型
端口范围
源地址IP
描述
入方向
允许
TCP
22
0.0.0.0/0
用于远程登录云服务器
入方向
允许
ALL
ALL
192.168.1.0/24
用于与业务账号A的云服务器私网互通。

  1. 创建云服务器:在VPC-1的子网B中创建多台未绑定公网IP的云服务器,安全组选择新创建的安全组。

  1. 验证:登录云服务器,在命令行执行ping <子网A内的云服务器>命令,验证云服务器能否私网互通。回显如下图:

配置业务账号C

登录业务账号C,执行如下操作:

  1. 配置安全组:

    1. 创建安全组:账号C在VPC-1的子网C中创建云服务器时,无法关联VPC-1的默认安全组Default,故需要在VPC-1内创建安全组。

    1. 添加安全组规则:除默认的安全组规则外,还需要放通如下流量:

方向
策略
协议类型
端口范围
源地址IP
描述
入方向
允许
TCP
22
0.0.0.0/0
用于远程登录云服务器
入方向
允许
TCP
80
0.0.0.0/0
接收CLB转发的IPv4客户端请求
入方向
允许
TCP
80
100.64.0.0/10
接收健康检查请求

  1. 创建云服务器:在VPC-1的子网C中创建多台未绑定公网IP的云服务器,安全组选择新创建的安全组。

  1. 为新创建的云服务器 搭建后端服务。

  1. 配置负载均衡CLB:创建公网CLB时,子网选择共享子网C,操作步骤请参考四层负载均衡快速入门。


上一篇:火山引擎私有网络使用指南-共享VPC概述 下一篇:火山引擎私有网络使用指南-管理共享VPC
相关阅读
axin

axin

957文章数 0评论数
最近文章
浏览更多
热门文章
最近发表
火山引擎私有网络使用指南-绑定/解绑云资源

火山引擎私有网络使用指南-绑定/解绑云资源
标签列表
不容错过
关于我们
免责声明 关于我们 加入我们
广告服务
寻求报道 广告合作 联系我们 友情链接
关注我们
官方微信 新浪微博 腾讯微博 Twitter
赞助商
Copyright © 2025 版权所有:TOP云
Powered By TOPYUN 云产品资讯