1.
概述与选型建议
目标:在阿里云上实现香港(ap-east-1)与新加坡(ap-southeast-1)两个地域的私有网络互通。
推荐:优先使用 Cloud Enterprise Network(CEN) 实现阿里云骨干内网互联;对成本敏感或临时需求可用 VPN Gateway(IPsec)作为替代。
2.
前置条件与规划
列出需求:确定两端VPC的用途、带宽、是否跨账号、是否需要访问控制。
地址规划:两侧VPC必须使用不重叠的CIDR(例如香港:10.10.0.0/16,新加坡:10.20.0.0/16)。
账号权限:需要有阿里云控制台管理权限(VPC、CEN、ECS、Security Group 权限)。
3.
网络设计要点
选择方案:若追求低延迟、高带宽并走阿里云骨干网,请选CEN;若不可用CEN或要跨云/本地,可用VPN。
安全策略:规划安全组规则(仅开放必要端口),建议使用内网私有IP通信,避免在安全组中放通0.0.0.0/0。
4.
在控制台创建香港VPC与子网(步骤)
操作步骤:控制台 -> 专有网络 VPC -> 创建VPC -> 地域选择 香港,填入VPC名称和CIDR(如10.10.0.0/16)。
vSwitch:在同一地域创建vSwitch(子网)并分配可用区和子网CIDR(如10.10.1.0/24)。
ECS:在该vSwitch中创建ECS实例(记录私有IP),并配置安全组允许来自新加坡VPC CIDR的ICMP/SSH/应用端口。
5.
在控制台创建新加坡VPC与子网(步骤)
同上:控制台 -> VPC -> 创建VPC(地域选择新加坡),CIDR设为 10.20.0.0/16。
vSwitch 与 ECS:创建对应vSwitch(10.20.1.0/24)并创建ECS,配置安全组允许来自香港VPC CIDR的流量。
6.
创建并配置 CEN(Cloud Enterprise Network)实例
创建:控制台 -> 云企业网 CEN -> 创建实例(选择计费方式与带宽峰值)。
建议:按需选择按量或包年,注意计费和地域绑定(CEN为全局资源,但有地域计费)。
7.
将VPC附加到CEN(Attach Network)
附加步骤:CEN实例 -> 绑定网络(Attach Network) -> 网络类型选择 VPC -> 依次选择香港VPC与新加坡VPC及对应vSwitch。
注意:跨账号时需在目标账号授予授权或使用资源共享功能;完成后CEN会在骨干层建立互通路由。
8.
路由与安全组设置(关键)
路由检查:通常CEN附件后会自动交换路由;到VPC的路由表中确认没有覆盖冲突,若使用自定义路由表需手动添加目标VPC网段指向CEN。
安全组:分别在香港与新加坡的安全组里添加入站规则,来源为对端VPC的私有CIDR,允许所需协议(ICMP、TCP 22/应用端口)。
网络ACL(若启用):确认Network ACL不会阻止跨区域流量。
9.
测试互通(验证步骤)
基本测试:在香港ECS上 ping 新加坡ECS的私有IP,反之亦然。若ICMP被阻止,可使用 telnet ip port 或 ssh -v 进行端口连通性判断。
抓包排查:在任一ECS安装tcpdump,观察目标私有IP是否有收到流量;同时在CEN控制台检查Attach状态与路由表。
性能测试:如需带宽与延迟基线,可使用 iperf3 在两台ECS间测速。
10.
替代方案:使用VPN Gateway实现跨域加密链路
场景:当不想启用CEN或需跨云/混合云互联时,创建两端 VPN Gateway 并建立 IPsec 隧道。
步骤概要:控制台->VPN网关->创建(选择地域),创建本端网关、对端网关配置并互换预共享密钥,配置路由策略与安全组,测试连通性。
注意:VPN走公网并加密,延迟/带宽受网络影响,且一般需配置公网IP作为对端。
11.
常见故障与排查流程
故障一:无法ping通——检查安全组、Network ACL、路由表是否有覆盖或缺失。
故障二:路由冲突——确认CIDR无重叠;若重叠必须重规划或使用NAT+端口转发解决。
故障三:CEN未生效——确认CEN实例处于可用状态且已成功Attach相关VPC,检查计费与跨账号授权。
12.
优化与运维建议
监控:使用阿里云云监控监测链路流量、丢包与延迟;为CEN流量设置告警。
安全:最小权限原则,ACL/安全组只放通必要流量,定期审计。
成本控制:评估CEN计费与VPN公网上行费用,选择合适计费模式。
13.
问:CEN和VPN哪个更推荐用于香港-新加坡内网互联?
答:若在阿里云内部且追求稳定低延迟、高带宽,优先使用CEN(走阿里云骨干网);若预算受限或需跨云/混合云,使用VPN Gateway作为替代,但性能和可靠性较CEN弱。
14.
问:两侧VPC发生CIDR冲突怎么办?
答:最佳做法是重新规划避免重叠。如果无法修改,可考虑通过NAT(SNAT/DNAT)或在中间ECS做端口/地址转换,但这增加复杂性和维护成本,不推荐长期方案。
15.
问:互联后如何保证安全与最小暴露?
答:只允许对端VPC私有CIDR进入所需端口,关闭公网访问(Security Group与ACL严格配置),使用VPC Flow Log或云监控审计流量,并定期更新策略与补丁。
来源:网络互通 阿里云香港服务器新加坡服务器内网互联设计与实践