使用VPC在阿里云上搭建混合云
实验描述: 分别在北京和杭州创建两个VPC,并在这两个VPC中分别创建2台ECS,模拟真实环境中的线上和线下的环境。在一台ECS中部署FlexGW,作为网关;另一个作为生产环境的Web服务器;通过IPSec VPN,打通两个VPC的环境。
实验摘要: 使用IPSEC site-to-site VPN的方式,模拟并搭建一个混合云架构的。
实验建议: 了解阿里云ECS和VPC的基本概念;
了解路由表,网关等基本概念
实验特色: 通过混合云架构,解决隔离网络环境之间的互通。
目标人群: 架构师;技术人员
实验目标: 实现混合云的搭建,以及隔离的网络环境互通的实现
背景知识
在实际工作中,越来越多的企业考虑使用公有云(如:阿里云),但是也面临如下问题:
客户不仅会在本地搭建一个私有云的环境,来确保公司机密数据的安全性;同时,也会利用公有云(阿里云等)的计算资源,进行数据的批量处理或者处理公司业务;
部分使用 IDC 机房的企业,由于业务需求量增多,需要将公司的系统平滑迁移到云上。
由于法规,某些企业客户的部分数据,必须保存在本地 IDC 机房,不可以迁移到云上。但是其余的系统都已迁移到公有云中。此时,企业客户希望实现本地 IDC 机房与公有云系统可以互通。
面对如上的场景,客户可以通过搭建混合云的方式,将公有云的环境与非公有云的环境连接起来,从而确保企业用户的业务连续性。目前,阿里云提供两种方式可以实现混合云架构:VPC 高速通道的专线服务和搭建VPN 服务。本实验介绍使用 VPN 方式搭建混合云。若希望使用阿里云提供的 高速通道 的专线服务,请参考如下的地址:
https://help.aliyun.com/document_detail/expressconnect/product-introduction/summary.html?spm=5176.776716654.6.80.EPyBSC
专有网络VPC(Virtual Private Cloud),用于帮助用户基于阿里云构建出一个隔离的网络环境。用户可以完全掌控自己的虚拟网络,包括选择自有 IP 地址范围、划分网段、配置路由表和网关等。不同 VPC 之间是通过隧道 ID 进行隔离。VPC 内部由于虚拟交换机和虚拟机路由器的存在,所以可以像传统网络环境一样划分为不同的子网,每一个子网内部的不同云服务器 ECS 使用同一个虚拟交换机互联,不同子网间是使用虚拟路由器互联。
用户可以根据实际网络需求,确定资源部署所需的网络规模、网段规划以及资源部署的地域与可用区等,并按照相应的规划在目标地域和可用区创建指定网段的专有网络与交换机,然后通过在创建云产品实例时指定某个已创建的交换机把资源部署在相应的网络位置,并通过 ECS 安全组、RDS 访问白名单等方式进行访问控制。以下流程为实际工作中,用户搭建一个 VPC 环境以及清理所需的步骤:
- 在创建专有网络时,用户需要以 CIDRBlock 的形式指定专有网络内使用的私网网段
- 关于 CIDRBlock 的相关信息,请参见维基百科上的 Classless Inter-Domain Routing 条目说明
- 专有网络创建成功之后,CIDRBlock 无法修改,建议使用比较大的网段作为 VPC 的 CIDRBlock (比如直接使用192.168.0.0/16和172.16.0.0/12以及10.0.0.0/8 3个网段),尽量避免后续扩容。系统不会根据 VPC 的CIDRBlock 来创建系统路由,所以使用比较大的地址范围来创建 VPC,不会影响业务的正常使用
- 专有网络创建之后,用户需要继续创建交换机(VSwitch),然后才能够在专有网络内创建云产品实例(ECS, SLB, RDS)
- 交换机创建之后,用户需要创建专有网络 VPC 下的 ECS 实例,并创建或分配到相同的安全组中。
- 安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。
- 在 VPC 的环境中,已经创建好 ECS 实例后,需要绑定 EIP,从而可以实现通过公网访问绑定 EIP 的 ECS 实例。
- 弹性公网IP(Elastic IP Address,简称EIP),是可以独立购买和持有的公网IP地址资源,能动态绑定到不同的 ECS 实例上,绑定和解绑时无需停机。
- 若要退出 VPC 环境,可以删除指定的专有网络,必须首先删除专有网络内所有相关的云产品实例(包含安全组,交换机,云产品实例,释放弹性 EIP,路由条目等)
实验详情
实验资源:
创建专有网络VPC&交换机
本实验中,将分别在杭州和北京各创建⼀台 VPC 和⼀台交换机,模拟实际工作中客户的本地机房和公有云环境。
注意 : 此实验创建的两台 VPC 分别在 华东1(杭州) 和 华北2(北京) 。
进行子账号登录:
找到 网络 ---> 专有网络VPC ,进入专有网络控制台。
进⼊到 VPC 的管理控制台后,执行以下步骤点击,创建⼀个 华东1(杭州) 地域的 VPC 网络环境。
1) 在 VPC 管理⻚⾯的顶层栏中选择 华东1 地域 ;
2) 点击页面上的 创建专有网络 。
在弹出的⻚⾯中,填写以下信息,完成后,点击 创建VPC。
- 专有网络名称: sl022-hz ;
- 目标网段: 192.168.0.0/16
- 交换机名称: 子网-hz
- 可用区: 请选择列表中提供的的可用区为华东1可用区F
- 目标网段: 192.168.1.0/24
说明:
1、目前 VPC ⽀持三个网段: 192.168.0.0/16 ,172.16.0.0/12 以及 10.0.0.0/8 ,并且当 VPC 创建后,对应的网段将不能够修改。所以在实际的使⽤过程中,建议使⽤⽐较⼤的地址范围来创建 VPC ,以免影响以后系统的扩容。本次实验使⽤的 网段 是 192.168.0.0/16。
2、每个交换机对应⼀个网段,也称作 VPC 的⼦网。在配置交换机的时候,需要填写配置 名称 、可⽤区 和 网段 ,本实验中的交换机根据地域命名,⽐如杭州的 VPC 下的交换机命名为 ⼦网-hz ,实际⼯作环境 中,根据网段的具体⽤途来命名,⽐如:开发 、测试 等 。实际⼯作中,基于可⽤性的考虑,可以将⼦网部署在不同的可⽤区中;由于创建的 VPC 使⽤的网段 是 192.168.0.0/16 ,因此,创建的⼦网的网段为 192.168.1.0/24 。若创建的是其他网段的 VPC ,请根 据 VPC 的网段去分配交换机的网段。
点击 完成 键,就可以返回到 VPC 专有网络管理控制台⻚⾯,看到创建成功的专有网络。
此时,完成 华东1(杭州 )地域的⼀台 VPC 环境和交换机的创建。开始创建地域为 华北2(北京) 的 VPC 环境和相应的交换机。在专有网络管理界⾯中,顶层部分的地域选择 华北2。之后的操作步骤与 华东1(杭州 )的 VPC 搭建相同。点击右上角处 创建专有网络 。
北京的 VPC 的 专有网络名称为 sl022-bj ,网段同样选择 192.168.0.0/16
北京 新建交换机的 名称 为 ⼦网-bj ,可⽤区 为 华北 2 可⽤区 A ,网段 为 192.168.2.0/24 ,完成后,点击 确定 。
点击 完成 , 进入专有网络管理控制台,专有网络创建成功。
⾄此,已成功在 华北2(北京) 和 华东1(杭州) 分别部署了⼀个 VPC 环境并创建⼀台交换机。
专有网络中创建ECS实例
在完成 VPC 专有网络和交换机的搭建后,开始分别在两个地域的⼦网中创建两台 ECS 实例:1 台作为FlexGW VPN 服务器,连通两个互相隔离的环境;另⼀台模拟实际⼯作中,⽣产环境的服务器 producer 。
注意:由于不同安全组的 ECS 实例⽆法实现互通,因此若要实现内部⽣产环境的 ECS 实例 可以通过VPN 服务对外通信,必须保证⽣产环境的 ECS 与部署 FlexGW VPN 服务的 ECS 在相同的安全组中。
在 专有网络 管理控制台,选择 华东1 地域,点击右侧的 管理 ,进⼊此台 VPC 的管理⻚⾯。
找到 ECS实例,点击旁边的 0,进入实例界面,并点击右上角的 创建实例,开始创建。
在杭州(华东1)下面创建2台ECS,名称分别是 flexgw-hz(有公网),和 producer-hz(无公网)。
1 、创建 flexgw-hz :在弹出的 ECS 实例购买⻚⾯中,按照以下方式配置 ECS ,其余配置默认不修改。
注意:默认选择 自定义配置 。
- 计费方式 选择 按量付费
- 实例: 点击 选择其他实例规格,然后选择 vCPU 1核 、内存 1GB、共享计算型n1 作为实例的配置,最后点击 确定选择;
- 注意:如果选择其他的配置,将无法成功创建ECS实例。
- 镜像 选择 共享镜像 ,名称为 SL022-在阿⾥云上混合云的搭建
- 系统会根据交换机 ⼦网-hz 的配置,⾃动选择 地域 、 可⽤区 、 网络 、专有网络 及 交换机 ,若没有⾃动配置,请根据 ⼦网-hz 的配置⼿动修改(网络 选择 专有网络 )
- 公网IP地址 选择 分配 (注意:默认是不分配;如果不分配公网IP,则后续无法通过公网去访问和配置VPN Server;)
- 带宽 选择 按使用流量 , 峰值 输入 1Mbps
- 安全组 选择 默认安全组 ,然后 协议及端口全部勾选
注意:若在 ECS 购买页面地域栏中,没有提供已创建的 VPC 交换机所选的 地域 或 可用区 ,请返回 VPC管理控制台页面,重新创建一个在 ECS 实例购买页会提供地域及可用区的交换机。例如:已创建VPC交换机在华东1 可用区F,但是 ECS 购买页面不提供 华东1 可用区F 下的ECS实例。请返回 VPC 管理控制台,首先,删除原有交换机;然后,重新创建一个交换机,并选择华东1 可用区B(确认购买页面提供该地域和可用区),网段为192.168.1.0/24 。
- 登录凭证 选择 自定义密码 ,登录名 默认是 root ,设置新建的 ECS 的登陆密码为 Passw0rd (⽤户可⾃定义), 实例名称 设置 为 flexgw-hz (⽤户可⾃定义),表示作为 FlexGW VPN 服务器的 ECS
完成如上配置后,点击 创建实例 。
创建成功后,刷新一下,可以看到在子网-hz 中有 1 台 ECS实例。再次点击 创建实例 ,创建 ⼦网-hz 下的第二台 ECS 实例。
⼦网-hz 下的第二台 ECS 实例配置信息如下(除红色部分不一致外,其余配置和第一台ECS配置是相同的):
注意:默认选择 自定义购买 。
- 计费方式 选择 按量付费
- 系统会根据交换机 ⼦网-hz 的配置,⾃动选择 地域 、 可⽤区 、 网络 、专有网络 及 交换机 ,请根据 ⼦网-hz 的配置⼿动修改(网络 选择 专有网络 )
注意:若在 ECS 购买页面中,没有提供已创建的 VPC 交换机所选的 地域 或 可用区 ,请返回 VPC管理控制台页面,重新创建一个在 ECS 实例购买页会提供地域及可用区的交换机。例如:已创建VPC交换机在 华东1 可用区F,但是 ECS 购买页面不提供 华东1 可用区F 下的ECS实例。请返回 VPC 管理控制台,首先,删除原有交换机;然后,重新创建一个交换机,并选择华东1 可用区B(确认购买页面提供该地域和可用区),网段为192.168.2.0/24 。 - 网络 中,公网IP地址 选择 不分配
- 安全组 选择 系统提供的安全组
- 实例 选择 ecs.n1.tiny(1 核 1GB,共享计算型 n1)
- 镜像 栏,选择 公共镜像 ,并选择 CentOS 和 6.9 64位
- 安全设置 处,登录名默认为 root ,登录密码为 Passw0rd(可自定义),实例名称为 producer-hz ,表示生产环境中的 ECS
开通成功后,刷新⻚⾯,可以看到 ECS实例数 变为 2 台。若没有,则是因为每新建⼀台 ECS 需要几分钟的时间。因此,请等待 3 分钟左右,再次刷新⻚⾯,可以看到 ⼦网-hz 交换机下的ECS实例数变为 2 台。
回到 专有网络 管理界面,找到华北2地域,再创建2台ECS。
点击“管理”。
找到 ECS实例 ,点击右侧的 0。
点击右上角的 创建实例,开始创建2个ECS实例。
在北京(华北2)下面创建2台ECS,名词分别是 flexgw-bj(有公网),和 producer-bj(无公网)。
同样的⽅式在 华北2(北京)VPC 的交换机 ⼦网-bj 下,创建两台 按量付费 的 ECS 实例,新建⼀台实例名 为 felxgw-bj 的 ECS 实例,其镜像使⽤ 共享镜像 : SL022-在阿⾥云上混合云的搭建 ;另⼀台实例名为 producer-bj 的 ECS 实例,其镜像使⽤ 公共镜像 中 CentOS 6.9 64位 。完成购买后,需要等待 3-5 分钟,可以看到新买的两台 ECS 实例。
注意: flexgw-bj ECS 实例的其余购买信息,与 华东1(杭州)VPC 下的 flexgw-hz ECS 实例保持⼀致; producer-bj ECS 实例的其余购买信息,与 华东1(杭州)VPC 下的 producer-hz ECS 实例保持⼀致。此处不再赘述,若需要, 请参考之前的相关步骤。下面是 flexgw-bj ECS 实例配置情况。
- flexgw-bj ECS 实例配置情况。
第二台 ECS。
返回可看到两台ECS创建成功,可以看到在 VPC sl022-bj 中,交换机 子网-bj 下的两台 ECS 实例。其中,实例 producer-bj 只有 内网(私有网络),flexgw-bj 除了拥有 私有网络 ,还有 公网 。
下面是 producer-bj ECS 实例配置情况。
可以看到在 VPC sl022-bj 中,交换机 子网-bj 下的两台 ECS 实例。其中,实例 producer-bj 只有 内网(私有网络),flexgw-bj 除了拥有 私有网络 ,还有 公网 。
点击左侧导航栏处的 安全组 ,选择 华东1 地域,点击 管理实例 。
页面中点击左侧的 安全组规则 ,然后点击 添加安全组规则 。
弹框中,输入如下信息后,点击 确定 。
- 规则方向: 入方向
- 授权策略:允许
- 协议类型:全部
- 授权类型:IPv4地址段访问
- 授权对象:0.0.0.0/0
同样地,执行以下步骤我们在 华北2 地域的安全组中添加一条规则。
点击左侧 安全组规则 ,然后点击 添加安全组规则 ;
和之前相同,在弹框中输入以下信息,然后点击 确定 。
- 规则方向: 入方向
- 授权策略:允许
- 协议类型:全部
- 授权类型:IPv4址段访问
- 授权对象:0.0.0.0/0
⾄此,本实验已完成 华东1(杭州)和 华北2(北京)地域的 VPC 环境的基础搭建。下⼀个小节将介绍配置 IPSEC site-to-site VPN ,实现两个隔离环境的端对端连通。
配置IPSEC site-to-site VPN
默认情况下,阿⾥云的两个 VPC 环境是不互通的,也就是 华东1(杭州)地域的 VPC 中的 ECS 实例⽆法 ping 通 华北2(北京)地域的 ECS 实例私网地址。这是由于阿⾥云使⽤ VXLAN 技术,在虚拟网络层实现隔离。
此时,若⽤户要将两个不互通的环境连通,⽐如:两个 VPC,线上和线下环境,或者私有云和公有云环境。 则需在两个环境中分别添加⼀条指向对端的 IPSec VPN 隧道,通过此隧道,实现两个隔离环境的端对端连 通。这样的技术,不仅可以保证两个环境对外的安全隔离,也可以实现两个环境中的数据交互。
点击顶部导航栏出得 产品与服务 ,下拉菜单中,依次选择 云计算基础服务 ---> 弹性计算 ---> 云服务器ECS。进入云服务器管理控制台,点击左侧导航栏处的 实例 。
我们可以看到在地域 华东1(杭州)和 华北2(北京)下的云服务器 ECS 列表
可以看到结果为全部丢包,⽆法 ping 通。
结果证明:在默认情况下,两个阿⾥云的 VPC 环境中 ECS 实例,⽆法通过内网互相访问。接下来, 建⽴ IPSec site-to-site 隧道,实现部署 VPN 的两个 ECS 服务器可以通过内网 IP 互通。
在 FlexGW 的界⾯,选择 IPSec VPN 。点击左侧的 隧道列表 的 创建隧道 ,开始为杭州地域的 VPC 创建 ⼀条隧道,通过此隧道,实现数据从杭州 VPC 到北京 VPC 的传输。
⾸先,进⼊ 创建隧道 的⻚⾯,填写隧道的两端信息,建⽴⼀条从杭州指向北京的端对端隧道:
a.隧道ID:“tunnel_hz”,隧道的名称,作为隧道的标识符。命名规则:只能包含数字,⼩写字⺟和下划线。
b. 本端ID:输⼊“flexgw-hz”的弹性公网IP地址,作为隧道本端的标识符,实际⽣产环境中,⼀般使⽤本端的 公网IP地址作为标识。命名规则:数字,⼩写字⺟,“.”,“-”,“_”。
c. 本端⼦网:“192.168.1.0/24”杭州VPC下交换机“⼦网-hz”的网段。
d. 对端ID:输⼊“flexgw-bj”的弹性公网IP地址,作为隧道对端的标识符,实际⽣产环境中,⼀般使⽤对端的 公网IP地址作为标识。命名规则:数字,⼩写字⺟,“.”,“-”,“_”。注意:参数值必须与对端的“本端ID”的参 数值保持⼀致。否则会因⽆法识别,⽽导致连接失败。
e. 对端IP:“flexgw-bj”的弹性公网IP地址。因为是端对端的隧道,因此需要指明隧道对端的VPN的公网IP地 址。
f. 对端⼦网:“192.168.2.0/24”,也就是杭州VPC下交换机“⼦网-bj”的网段。因为是端对端的隧道,所以要指 明隧道对端的VPC交换机所在的网段。
g. 预共享秘钥:“Qtest@vpc”,此处⽤户可⾃定义,⽤于隧道协议中,配对时使⽤的秘钥。因此,必须保证 两端⼀致。
此时,在 隧道列表 中,可以查看到⼀条从杭州通向北京的隧道。其状态为 Offline ,证明隧道是暂时不通。
北京 VPN 的隧道填写如下信息:
a. 隧道ID:“tunnel_bj”,这是隧道的名称,作为隧道的标识符。命名规则:只能包含数字,⼩写字⺟和下划线。
b. 本端ID: “flexgw-bj”的弹性公网IP地址,作为隧道本端的标识符,实际⽣产环境中,⼀般使⽤本端的公网IP地址作为标识。命名规则:数字,⼩写字⺟,“.”,“-”,“_”。
c. 本端⼦网:“192.168.2.0/24”,也就是杭州VPC下交换机“⼦网-bj”的网段。
d. 对端ID:“flexgw-hz”的弹性公网IP地址,作为隧道对端的标识符,实际⽣产环境中,⼀般使⽤对端的公网IP地址作为标识。命名规则:数字,⼩写字⺟,“.”,“-”,“_”。注意:参数值必须与对端的“本端ID”的参数值
保持⼀致。否则会因⽆法识别,连接失败。
e. 对端IP:为“flexgw-hz”的弹性公网IP地址。因为是端对端的隧道,所以要指明隧道对端访问的公网IP。
f. 对端⼦网:“192.168.1.0/24”,也就是杭州VPC下交换机“⼦网-hz”的网段。
g. 预共享秘钥:“Qtest@vpc”,此处与杭州建⽴的隧道⼀致,否则会因为秘钥不⼀致,⽽导致隧道的连接信息错误,从⽽连接失败。
点击连接
同理,切换浏览器到 杭州FlexGatway 的管理⻚⾯,并点击 隧道列表 的隧道右侧的 连接 。此时,两条 隧道的状态均变为 Online ,此时,杭州到北京的隧道连通。
⾄此,在北京和杭州的两个 VPC 环境成功建⽴隧道。接下来,测试新建的隧道是否可⽤,也就是两个 VPC 环境中部署了 VPN 服务的 ECS 是否可以通过私网互相访问。
远程登陆到 flexgw-hz 以及 flexgw-bj 。使⽤同样的⽅式,分别 ping 对端部署 flexgw 环境的 ECS 服务器私网 IP 地址。此时,可以 ping 通,证明两个隔离的 VPC 环境已经通过 VPN 服务器连通。
此时,通过 VPN 已经打通两个 VPC 环境。然后,再分别远程登录到 producer-hz 和 producer-bj ,互相 ping 私网IP,此时全部丢包,说明 VPC 下在⽣产环境中的 ECS 服务器,仍旧⽆法通过私网访问到对端的⽣产环境的 ECS 服务器。接下来,通过配置⾃定义路由规则,实现两个 VPC 下⽣产环境中服务器的通信。
配置路由规则
在 VPC 环境中,通过配置路由规则,从⽽实现 VPC 环境下 ECS 实例的请求发送规则。为了实现杭州(北 京)VPC 下⽣产环境中的 ECS 实例,与北京(杭州)VPC 下⽣产环境中的 ECS 之间的互通,需要添加⾃定义的路由规则:指定 VPC 环境下的 ECS 实例的目标网段为对端⼦网网段,然后将 VPC 环境下所有 ECS 实例的下⼀跳均指向此 VPC 环境中打通隧道的 VPN 的 ECS 服务器上。
浏览器切换到杭州的 专有网络 ⻚⾯,点击左侧的 路由表。
查看到当前 VPC 环境中,已有两条系统默认 VPC 使⽤的路由规则。为了实现不同 VPC 内部 ECS 可以互相访问。因此,新建⼀条⾃定义的路由规则。点击 添加路由条目 。
配置路由规则的⽅法:⾸先,指定杭州 VPC 内部所有 ECS 实例的目标网段为 sl022-bj ⼦网网段,然后将所有杭州 VPC 内部 ECS 实例的下⼀跳均指向 flexgw-hz ECS实例。这样的路由规则,可以通过 flexgw-hz 的VPN 服务将请求发送到对端 VPC 环境。
在弹出的对话框中,输⼊ 目标网段 为 192.168.2.0/24(此为北京地域 sl022-bj VPC的⼦网网段),指明路由器要指向的目标网段。 下⼀跳类型 使⽤默认选项: ECS实例 。因为本实验主要介绍如何通过 VPN 服务连通两个互相隔离的 VPC 环境。因此,下⼀跳ECS实例 选择部署 flexgw VPN 服务的 ECS 服务器,也就是将所有 VPC 内部的 ECS 实例的下⼀跳均指向 flexgw-hz ECS实例。完成路由规则配置后,点击 确定 。
提⽰ 添加路由成功 ,点击 确定 。可以从路由管理⻚⾯,查看到⼀条 创建中 的 ⾃定义 的路由规则,刷新⻚⾯,此条路由规则,变成 可⽤ 。此时,将内部 producer-hz ECS 实例的请求发送到部署 flexgw-hz 的 ECS 实例上。通过 flexgw-hz 向 sl022-bj 的 VPC 环境发送消息。
同理,在北京 sl022-bj VPC 下,添加⼀条路由规则,目标网段为 192.168.1.0/24 ,也就是杭州 sl022- hz VPC 下的交换机网段。下⼀跳指向 ECS 实例 flexgw-bj 。将北京 VPC 内部 ECS 实例的请求通过 flexgw-bj 向 sl022-hz 的 VPC 环境发送消息。
⾄此,实现两个 VPC 内部的 ECS 可以互相通信。接下来,验证北京和杭州的 VPC 下⽣产环境中的 ECS 实例是否可以互通。⾸先,通过北京和杭州的公网IP,分别远程登录到 flexgw-hz 和 flexgw-bj 的 ECS 服务器上。然后,通过这两台服务器,再分别远程登陆到 VPC 内部的 ECS 服务器: producer-hz 和 producer-bj 。 在杭州的 producer-hz 的 ECS 中, ping xxxxx(xxxxx 为北京 producer-bj ECS 私网IP)。杭州 VPC内部的 ECS 可以连接到北京VPC内部的ECS。同理, ping xxxxx(xxxxx 为杭州 producer-hz ECS私网IP)。北京 VPC 内部的 ECS 可以连接到杭州 VPC 内部的 ECS 。
⾄此,已成功搭建混合云平台,并实现两个 VPC 环境下的 ECS 实例互通。若有兴趣,可以尝试在本地运⾏命令 ping 杭州和北京 VPC 中 ECS 的私网 IP 地址,可以发现连接全部丢包,⽆法连接。也就是说明,两个VPC 环境是对外隔离的,⽆法通过内网访问 VPC 环境,但是通过 服务可以实现内部的 ECS 互相通信。