當云上業(yè)務系統(tǒng)網絡足夠復雜，通過對等連接打通VPC后，需要有靈活的子網跨VPC的流量轉發(fā)的能力。

以華為云為例，VPC提供了默認路由表和自定義路由表的能力，其中自定義路由表需要提工單申請配額才能開通。我們來看一下這兩種路由表的能力。

默認路由表

1、在沒有開通自定義路由表的情況下，VPC內創(chuàng)建的子網均自動與默認路由表關聯(lián)；也就是說，VPC內無論創(chuàng)建多少子網，均與一個默認路由表關聯(lián)。

2、采用對等連接打通VPC后，在本端和對端配置Sub_A、Sub_B、Sub_X、Sub_Y子網路由策略(如圖所示），則：

• Sub_A出流量與Sub_X、Sub_Y路由可達
• Sub_B出流量與Sub_X、Sub_Y路由可達
• Sub_X出流量與Sub_A、Sub_B路由可達
• Sub_Y出流量與Sub_A、Sub_B路由可達

圖：默認路由表

自定義路由表

1、使用自定義路由表，可與VPC創(chuàng)建的多個子網關聯(lián)，但每個子網只能隸屬于一個路由表。

2、采用對等連接打通VPC后，可在自定義路由表配置本端和對端配置的路由策略，通過自定義路由表能夠實現任意子網之間跨VPC的路由轉發(fā)。

3、如下圖所示，可以實現以下子網跨VPC的路由轉發(fā)：

• Sub_A出流量與Sub_X、Sub_Y路由可達，Sub_X&Sub_Y出流量與Sub_A路由可達，且與其它跨VPC子網路由不可達。
• Sub_B出流量與Sub_Z出流量雙向路由可達，且與其它跨VPC子網路由不可達。

圖：自定義路由表

采用默認路由表的方式，無法像自定義路由表那樣實現靈活的子網跨VPC的流量轉發(fā)，但我們可以借助ACL來實現子網跨VPC的流量訪問控制。

有VPC_1和VPC_2，通過對等連接打通，并在本端和對端配置Sub_A、Sub_B、Sub_X、Sub_Y子網路由策略后，考慮以下場景需求：

場景一：要求Sub_A? Sub_X ， Sub_B? Sub_Y，且Sub_A與Sub_Y不通 ， Sub_B與 Sub_X不通

解決方案：采用子網之間ACL訪問控制實現，可在Sub_X的ACL實例上設置放通Sub_A ， Sub_Y的ACL實例上設置放通Sub_Y（ Sub_X& Sub_Y設置ACL放通規(guī)則后，默認拒絕其它的子網的訪問）

圖：場景一

場景二：Sub_A?Sub_X&Sub_Y，Sub_B? Sub_Y ，但Sub_B與Sub_X不通

解決方案：采用子網之間ACL訪問控制實現，為簡化配置規(guī)則，只需要在Sub_X的ACL實例上，放通與Sub_A的規(guī)則即可。（此時只有Sub_X創(chuàng)建了ACL實例后，默認拒絕所有子網的訪問，也即實現了與Sub_B不通）

圖：場景二

緣由

之所以寫這篇關于子網跨VPC的路由訪問控制的文章，是因為在某省會城市的衛(wèi)健委的項目中，客戶強烈要求提供自定義路由表的能力，當時屬地資源池節(jié)點只有默認路由表的能力，建議采用ACL的方式實現。雖然采用ACL方案也可以滿足需求，但如果業(yè)務系統(tǒng)足夠復雜，管理維護上確實不如自定義路由表直觀靈活。

寫這篇文章構思了好幾天，一方面要深入理解默認路由表和自定義路由的各自的機制，同時還要考慮如何用文字邏輯清晰的表達出來，希望大家能夠不太費力地看懂這篇文章。

總結

以上是生活随笔為你收集整理的VPC网络规划最佳实践（四）：跨VPC子网路由控制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。