阿里云多账号网络互通最佳实践

小提示：您能找到这篇{阿里云多账号网络互通最佳实践}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的阿里云多账号网络互通最佳实践内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">在企业起步阶段，规模较小，一般采用单账号模式。随着企业的发展，单账号的缺陷越来越明显，多账号相对于单账号有众多优点：

< font-size: 16px;">多账号间的资源默认隔离，减少了单账号因为一个资抖音如何上热门源或服务问题导致其它资源和服务也出现问题的可能性；

< font-size: 16px;">多账号减少了单帐户过于宽泛的RAM权限带来的风险；

< font-size: 16px;">多账号便于成本结算、独立管理、环境隔离等。

< font-size: 16px;">因此中大型企业上云时通常选择多账号，但是多账号间往往存在着大量的网络互通场景，如何解决多账号的网络互通问题呢？

< font-size: 16px;">VPC作为云上最常用的网络环境，不同账号的VPC之间默认是无法互通的，多账号网络互通常用的解决方案是CEN（云企业网）和VPN网关。

< font-size: 16px;">基于VPN的网络架构

< font-size: 16px;">VPN网关是一款基于Internet的网络连接服务，通过加密通道的方式实现企业数据中心、企业办公网络或Internet终端与VPC安全可靠的连接。VPN网关可以实现跨地域、跨账号的VPC互通，在需要连接的VPC上创建VPN网关，网关之间通过基于Internet的IPSec加密隧道来传输私网数据，以实现安全可靠的多账号VPC间通信。

< font-size: 16px;">

< font-size: 16px;">图1

< font-size: 16px;">如上图所示：服务分别部署在账号1、2、3的VPC网络环境中，每个服务基于多可用区和SLB实现同城双活，前端VPC部署前端服务，后端VPC部署后端应用，前端服务处理Web请求时需调用部署在账号2、账号3的后端应用，分别为每个VPC创建VPN网关，VPN之间配置IPSEC、路由，以此来实现多账号网络互通。

< font-size: 16px;">基于CEN的网络架构

< font-size: 16px;">云企业网（Cloud Enterprise Network）是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络，可以在跨地域、跨账号的VPC间搭建私网通道，通过自动路由分发及学习，提高网络的快速收敛和跨网络通信的质量和安全sd wan 解决方案性，实现全网资源的互通，打造一张具有企业级规模和通信能力的互阿里云SSL证书服务联网络。

< font-size: 16px;">

< font-size: 16px;">图2

< font-size: 16px;">如上图所示：首先创建CEN实例，将要互通的网络实例（专有网络和边界路由器）加载到CEN中，再购买一个带宽包（同Region无需购买带宽包），配置路由、跨账号授权等，即可实现服务在不同账号的VPC间互通。

< font-size: 16px;">VPN和CEN网络架构比较

< font-size: 16px;">VPN和CEN都可实现多账号网络互通，两者有何区别呢？

< font-size: 16px;">VPN需要为每个VPC配置VPN网关，创建IPsec连接、配置VPN网关路由等，随着VPC数量的增加，人工配置成本成倍增加；同时VPN连接使用共享的公网资源进行通信，网络延时和丢包率等都无法保证，其网络带宽受限于公网IP的带宽。在实际使用中VPN网关很少用于多账号网络互通，多用于本地数据中心与VPC互通以构建混合云。

< font-size: 16px;">CEN专线连接在网络质量、安全性和传输速度等方面都优于VPN，但是CEN在跨账号连接时需要配置跨账号授权、路由等，存在一定的配置成本；跨Region通信时需要购买带宽，存在一定的费用成本；每个CEN实例在每个Region可加载的网络实例数量有限。

< font-size: 16px;">由此可见，VPN和CEN都能解决多账号网络互通问题，但是不一定适合所有的场景，还有其他的方案吗？

< font-size: 16px;">ResourceSharing介绍

< font-size: 16px;">不同于VPN和CEN，资源共享服务（ResourceSharing）通过在账号间共享VSwitch来实现多账号网络互通。

< font-size: 16px;">如下图所示：企业账号A、B、C、D加入ResourceDirectory（资源目录）后，资源所有者账号A把虚拟交换机共享给账号B、C、D，这样账号A、B、C、D都能使用该虚拟交换机，并在该交换机上挂载ECS/RDS/SLB等资源，以此来实现不同账号的资源共享同一个子网。

< font-size: 16px;">

< font-size: 16px;">图3

< font-size: 16px;">相对于CEN和VPN，ResourceSharing极大地简化了配置，在网络规模较复杂的场景下尤为明显。

< font-size: 16px;">基于ResourceSharing的网络架构

< font-size: 16px;">如下图所示为基于ResourceSharing的网络架构：账号1所在的VPC使用两个VSwitch作为多可用区以实现同城双活，用于部署前端服务；再共享三个VSwitch给账号2和账号3用于部署后端服务：“Shared VSwitch For AZ1 ECS”用于挂截账号2和账号3在AZ1的ECS资源，“Shared VSwitch For AZ2 ECS”用于挂截账号2和账号3在AZ2的ECS资源，“Shared VSwitch For SLB”用于挂截账号2和账号3的SLB资源；这样基于资源共享的方式，前端服务与后端服务均在同一个VPC下，所有服务天然支持网络互通。

< font-size: 16px;">

< font-size: 16px;">图4

< font-size: 16px;">由于每个账号仍然独立管控自己的资源，所以服务之间既实现了多账号间网络互通，又保证了相关资源在账号间的隔离，此外，相对于CEN和VPN，ResourceSharing有一定的优势：

< font-size: 16px;">整个体系在一个VPC中，因此不需要网关、路由、IPSEC、跨账号授权等相关配置，极大地简化了工作量。

< font-size: 16px;">服务在VPC内部通信，不依赖公网带宽，减少了网络延时和丢包率带来的风险。

< font-size: 16px;">ResourceSharing是完全免费的，能为用户节省不少成本。

< font-size: 16px;">总结

< font-size: 16px;">ResourceSharing有众多优势，是否能取代VPN和CEN满足所有的应用场景呢？

< font-size: 16px;">由于VPC是地域级别的资源，因此ResourceSharing是不能跨Region共享VSwitch的，而CEN则没有这个限制，所以跨Region间VPC通信时通常选择CEN的方式。如下图所示Region A和Region B的VPC通过CEN互通。

< font-size: 16px;">当用户需要将本地数据中心与VPC互通以构建混合云时，ResourceSharing显然无法满足需求。如下图所示通过VPN的方式将本地数据中心与安全登陆VPC快速连接起来。

< font-size: 16px;">当企业对安全有更高要求时，往往需要通过VPC将网络划分成多个安全域，ResourceSharing由于共享VSwitch所在的实例都在同一个VPC，无法满足需求。如下图所示：根据安全级别的不同，将整个网络分隔成多个VPC，通过CEN实现不同安全域VPC的网络互通，利用ResourceSharing实现多账号同安全域VPC的网络互通。

< font-size: 16px;">

< font-size: 16px;">图5

< font-size: 16px;">VPN网关、CEN和ResourceSharing分别适用于不同的场景，如上图所示为集团化的大型企业，网络架构较为复杂，同时用到了三种方案，用户在实际使用时，需要根据自己的需求和网络规模选择最合适的方案。