【ECS】通過API允許不同賬号下的ECS執行個體内網通信

前提條件

請確定您已經為ECS執行個體安裝了阿裡雲CLI，在不同作業系統中安裝CLI的方式請參見：

• 在Windows上安裝阿裡雲CLI
• 在Linux上安裝阿裡雲CLI
• 在macOS上安裝阿裡雲CLI

背景資訊

目前授權安全組内網通信有以下兩種，請根據您的實際需求選擇方式。

• ECS執行個體間通信 ：授權同一賬号兩台ECS執行個體間的内網通信。
• 賬号間内網通信 ：授權不同賬号同一地域下兩個安全組内所有的ECS執行個體的内網通信，包括授權以後購買的同一安全組内的ECS執行個體。

說明 賬号間内網通信實際上是安全組間授權，即授權處于這兩個安全組内的ECS執行個體後就可以實作内網通信。修改安全組配置會影響到安全組内所有的ECS執行個體，請根據實際需要進行操作，避免影響到ECS執行個體網絡下運作的業務。

安全組是ECS執行個體的虛拟防火牆，安全組本身不提供通信能力群組網能力。授權不同安全組内的執行個體内網通信後，請同時確定執行個體可以建立内網互通的能力。

• 若執行個體均是經典網絡類型，必須位于同一地域下。
• 若執行個體均是VPC類型，不同VPC間預設内網不通。建議通過公網通路的方式通信，或者通過高速通道、VPN網關和雲企業網等方式提供通路能力。更多資訊，請參見 高速通道 、 VPN網關 和 雲企業網 。
• 若執行個體網絡類型不同，請設定ClassicLink允許執行個體通信。具體操作，請參見 經典網絡和專有網絡互通
• 若執行個體位于不同地域，建議通過公網通路的方式通信，或者通過高速通道、VPN網關和雲企業網等方式提供通路能力。更多資訊，請參見

1. 查詢兩台ECS執行個體的内網IP位址和兩台ECS執行個體所處的安全組ID。您可以通過控制台或調用 DescribeInstances 接口獲得ECS執行個體所屬的安全組ID。假設兩台ECS執行個體的資訊如下表所示。

執行個體	IP位址	所屬安全組	安全組ID
執行個體A	10.0.0.1	sg1	sg-bp1azkttqpldxgte****
執行個體B	10.0.0.2	sg2	sg-bp15ed6xe1yxeycg****

1. 在sg1安全組中添加放行10.0.0.2的入方向的規則。

aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp1azkttqpldxgte**** --RegionId cn-qingdao --IpProtocol all  --PortRange=-1/-1 --SourceCidrIp 10.0.0.2 --NicType intranet      

1. 在sg2安全組中添加放行10.0.0.1的入方向的規則。

aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp15ed6xe1yxeycg**** --RegionId cn-qingdao --IpProtocol all  --PortRange=-1/-1 --SourceCidrIp 10.0.0.1 --NicType intranet      

說明

• • 以上指令中，地域取值為華北 1（青島）cn-qingdao，請您根據實際情況修改。
  • 以上指令中，調用 AuthorizeSecurityGroup 接口添加安全組入方向的放行規則，主要關注的參數為SecurityGroupId和SourceCidrIp。

1. 等待一分鐘後，使用ping指令測試兩台ECS執行個體之間是否内網互通。

1. 查詢兩個賬号的賬号名和兩個賬号下對應的安全組ID。您可以通過控制台或調用 接口獲得ECS執行個體所屬的安全組ID。假設兩個賬号的資訊如下表所示。

賬号	賬号ID	安全組
賬号A	[email protected]
賬号B	[email protected]

1. 在sg1安全組中添加放行sg2安全組入方向的規則。

aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp1azkttqpldxgte**** --RegionId cn-qingdao --IpProtocol all  --PortRange=-1/-1 --SourceGroupId sg-bp15ed6xe1yxeycg7XXX --SourceGroupOwnerAccount [email protected] --NicType intranet      

1. 在sg2安全組中添加放行sg1安全組入方向的規則。

aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp15ed6xe1yxeycg**** --RegionId cn-qingdao --IpProtocol all  --PortRange=-1/-1 --SourceGroupId sg-bp1azkttqpldxgtedXXX --SourceGroupOwnerAccount [email protected] --NicType intranet      

• • 接口添加安全組入方向的放行規則時，主要關注的參數為SecurityGroupId、SourceGroupId和SourceGroupOwnerAccount。

1. 等待一分鐘後，使用ping指令測試檢視兩台ECS執行個體之間是否内網互通。