当前位置：首页 > article >正文

资源所有者管理共享交换机

article 2024/10/28 10:44:00

共享VPC允许多个阿里云账号（主账号）在一个集中管理、共享的VPC内创建云资源，例如云服务器ECS（Elastic Compute Service）、负载均衡SLB（Server Load Balancer）、云数据库RDS（Relational Database Service）等。共享VPC基于资源共享RS（Resource Sharing）机制，VPC的所有者可以将VPC内的非默认交换机共享给一个或多个目标阿里云账号（主账号）使用。

功能发布及地域支持情况

区域	支持共享VPC的地域
亚太	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国香港、日本（东京）、韩国（首尔）、新加坡、澳大利亚（悉尼）（关停中）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、泰国（曼谷）
欧洲与美洲	德国（法兰克福）、英国（伦敦）、美国（硅谷）、美国（弗吉尼亚）
中东	沙特（利雅得）重要沙特（利雅得）地域由合作伙伴运营。

功能简介

VPC的所有者账号（资源所有者）可以将VPC内的非默认交换机共享给其他阿里云账号（主账号），其他阿里云账号（主账号）可以在共享的交换机内创建云资源。当前支持共享给同一企业组织内的阿里云账号（主账号），也支持共享给任意阿里云账号（主账号）。关于资源共享的更多信息，请参见资源共享概述。

VPC的所有者账号将交换机共享后：

如果共享给另外一个阿里云账号（主账号）使用，资源使用者需要接受共享资源的邀请。
如果在资源目录内共享，资源使用者无需确认，默认直接接受共享资源的邀请。
资源使用者仅可在共享VPC内创建云资源，不可对共享VPC内已有的云资源变更VPC操作。
资源使用者不可把非共享交换机中的云资源变更到共享交换机内。
资源所有者和资源使用者在同一个VPC内创建的云资源默认私网互通。

共享VPC简图

资源所有者和资源使用者的权限

资源所有者将交换机共享给资源使用者后，资源所有者与资源使用者对共享交换机及共享交换机内云资源的操作权限如下表所示。

角色	支持的操作	不支持的操作
资源所有者	支持创建、查看、修改、删除共享交换机中的由自身创建的资源。支持查看资源使用者在共享交换机中所创建的资源属性，当前只允许查看弹性网卡的资源属性，仅限：实例ID。私网IP地址。资源所属账号。	不支持修改、删除资源使用者在共享交换机中创建的任何资源。
资源使用者	当交换机处于共享状态时，资源使用者支持在共享交换机中创建云资源，修改、删除由自身创建的云资源。	当交换机处于共享状态时，资源使用者不支持查看、修改、删除共享交换机中其他账号（包含资源所有者和资源使用者）的任何资源。
资源使用者	当交换机处于取消共享状态时，资源使用者支持继续使用共享交换机中由自身创建的已有资源，也支持查看、修改、删除共享交换机中由自身创建的已有资源。	当交换机处于取消共享状态时，资源使用者不支持查看与共享交换机相关联的资源（例如VPC、路由表、私网网段、网络ACL），也不支持在已经取消共享的交换机中创建资源。

资源所有者与资源使用者对其他网络资源的操作权限如下表所示。

网络资源	资源所有者可执行的操作	资源使用者可执行的操作
VPC	全部操作权限。	仅支持查看共享给自己的交换机所属的VPC。
交换机	全部操作权限（包含开启和关闭交换机的IPv6功能）。说明如果要删除交换机，请确保交换机已取消共享，且该交换机中的资源（包括资源所有者和资源使用者创建的资源）已全部删除。	查看共享的交换机。在共享的交换机内创建、修改、删除云资源。
路由表	全部操作权限。	仅支持查看共享给自己的交换机绑定的路由表以及路由条目。
网络ACL	全部操作权限。	仅支持查看共享给自己的交换机绑定的ACL。
网段	查看VPC及VPC内所有交换机的网段。	仅支持查看共享给自己的交换机的网段。
流日志	支持创建VPC或交换机粒度的流日志，对资源所有者的交换机下的弹性网卡生效。支持创建弹性网卡粒度的流日志，仅对资源所有者的弹性网卡生效。	支持创建弹性网卡粒度的流日志，仅对资源使用者的弹性网卡生效。
NAT网关	公网NAT网关和VPC NAT网关的全部操作权限。说明交换机中的资源（包括资源所有者和资源使用者创建的资源）可以通过公网NAT网关与互联网通信。公网NAT网关仅支持绑定资源所有者的弹性公网IP。	无操作权限。
VPN网关	全部操作权限。说明交换机中的资源（包括资源所有者和资源使用者创建的资源）可以通过VPN网关与VPC外部网络互通。	无操作权限。
云企业网	全部操作权限。说明交换机中的资源（包括资源所有者和资源使用者创建的资源）可以通过云企业网与VPC外部网络互通。	无操作权限。
VPC对等连接	全部操作权限。说明交换机中的资源（包括资源所有者和资源使用者创建的资源）可以通过VPC对等连接与VPC外部网络互通。	无操作权限。
标签	共享行为不影响资源所有者为资源配置的标签。资源所有者将交换机共享给资源使用者后，资源所有者与资源使用者都可以为各自的资源配置标签，且标签互不可见也互不影响。当共享交换机取消共享后，系统会删除资源使用者在该共享交换机上配置的标签。

计费说明

在共享VPC中，每个资源使用者只需要为各自所创建的资源（例如，ECS实例、SLB实例和RDS实例等）付费，而网关资源（例如，公网NAT网关、VPN网关等）及公网带宽费由资源所有者支付。各种云资源的计费详情，请参见对应云资源的计费文档。

使用限制

配额名称	描述	默认限制	提升配额
vpc_quota_sharedvpc_share_user_num_per_vpc	单个VPC支持共享的资源使用者的数量	50个	您可以通过以下任意方式自助提升配额：前往配额管理页面提升配额。具体操作，请参见管理VPC配额。前往配额中心自助提升配额。具体操作，请参见创建配额提升申请。
vpc_quota_sharedvpc_share_user_num_per_vswitch	单个VPC内的单个交换机支持共享的资源使用者的数量	50个
vpc_quota_sharedvpc_accept_shared_vswitch_num	单个资源使用者支持接收的共享交换机的数量	30个
无	单个VPC可用的IP数量	资源所有者和资源使用者共享单个VPC的IP数量。	无法提升
	支持在共享交换机下创建的云资源类型	ECS实例 SLB实例 RDS实例容器服务Terway组件 MongoDB实例 Redis实例 Kafka实例 Elasticsearch ACR实例 PolarDB MySQL集群 RocketMQ实例 MSE注册配置中心	不涉及
	共享VPC对安全组的限制	资源使用者无法使用其他资源使用者或资源所有者拥有的安全组创建资源，包括默认安全组。资源所有者无法使用资源使用者拥有的安全组创建资源。
	支持共享的交换机的类型	非默认交换机

说明

VPC的配额和使用限制仍以VPC为准，不因共享资源使用者的增加而变化。

VPC的所有者账号（资源所有者）可以将其账号下VPC内的交换机资源共享给其他阿里云账号使用。共享后，资源使用者可以在共享的交换机内创建云资源。本文介绍将交换机共享给任意账号以及在资源目录内共享交换机的配置方法。

将交换机共享给任意账号

资源所有者可以将资源共享给任意的资源使用者，资源所有者和资源使用者不区分是否已加入资源目录。

将资源共享给任意账号，主要存在以下几个场景：

未加入资源目录的阿里云账号，可以将资源共享给单个阿里云账号。
资源目录的管理账号或成员，可以将资源共享给资源目录外的单个阿里云账号。
资源目录的管理账号或成员，可以将资源共享给本资源目录及其下的资源夹或成员。

重要

仅支持共享给当前登录账号所在的资源目录，不支持跨资源目录共享。

下文提供一个示例，阿里云账号A将自己账号内的VPC交换机，共享给另外一个阿里云账号B。阿里云账号A和阿里云账号B均未加入资源目录。

步骤一：创建共享单元

阿里云账号A创建共享单元，然后添加需要共享的VPC交换机，最后添加资源使用者为阿里云账号B。

使用阿里云账号A登录资源共享控制台。
在左侧导航栏，选择资源共享>我的共享。
在顶部菜单栏左上角处，选择共享资源所在的地域。
单击创建共享单元。
在配置基本信息并添加资源页面，输入共享单元名称，然后选中需要共享的VPC交换机，最后单击下一步。
在关联权限页面，选择共享权限AliyunRSDefaultPermissionVSwitch，然后单击下一步。
在关联资源使用者页面，添加资源使用者，然后单击下一步。
1. 在使用者类型下拉列表中，选择阿里云账号。
2. 在使用者ID区域，输入阿里云账号B的ID。
3. 单击添加。
在确认并提交页面，单击确定。

步骤二：接受共享邀请

阿里云账号B接受阿里云账号A发出的共享VPC交换机的邀请。

使用阿里云账号B登录资源共享控制台。
在左侧导航栏，选择资源共享>共享给我。
在共享给我页面，单击目标共享单元状态列的接受。
在接受资源共享对话框，单击接受。

接受后，阿里云账号B就可以访问共享的VPC交换机，且后续该共享单元新增的共享资源将默认接受共享邀请。

在资源目录内共享交换机

资源目录的管理账号或成员，可以在资源目录内，将资源共享给整个资源目录及其下的资源夹或成员。

步骤一：使用资源目录管理多账号

阿里云资源目录支持企业通过创建成员和邀请成员两种方式将企业所有账号集中在一个资源目录内进行管理。请使用资源目录的管理账号完成以下操作。更多信息，请参见资源管理最佳实践。

开通资源目录。
具体操作，请参见开通资源目录。
根据企业组织结构创建资源夹。
具体操作，请参见创建资源夹。
创建成员或邀请成员。
具体操作，请参见创建成员或邀请阿里云账号加入资源目录。

步骤二：启用资源目录组织共享

使用资源目录管理账号登录资源共享控制台。
在左侧导航栏，选择资源共享>设置。
单击启用。
在资源共享服务关联角色对话框，单击确定。

系统会自动创建一个名为AliyunServiceRoleForResourceSharing的服务关联角色，用于获取资源目录的组织信息。更多信息，请参见资源共享服务关联角色。

步骤三：创建共享单元

资源所有者在资源共享控制台创建共享单元，然后添加需要共享的VPC资源和资源使用者。

创建共享单元，并添加需要共享的VPC资源和资源使用者。
1. 登录资源共享控制台。
2. 在左侧导航栏，选择资源共享 > 我的共享。
3. 在顶部状态栏，选择要共享的VPC的所属地域。
4. 单击创建共享单元。
5. 在配置基本信息并添加资源页面，先输入共享单元名称（例如：Finance_VPC），然后添加需要共享的资源（例如：交换机vsw-bp183p93qs667muql****），最后单击下一步。
6. 关联权限页面，选择资源使用者对共享资源允许执行操作的权限（例如：AliyunRSDefaultPermissionVSwitch），然后单击下一步。
7. 在关联资源使用者页面，添加资源使用者，然后单击下一步。
  关于添加资源使用者的具体操作，请参见创建共享单元。
8. 在确认并提交页面，单击确定。
查看共享单元详情。
1. 在共享单元列表中，查看共享单元ID/名称、状态、允许共享给任意账号和创建时间。
  
  如果共享单元状态显示为已启用，表示共享单元创建成功。
2. 单击共享单元ID链接，查看共享单元详情。
  - 如果共享的资源和资源使用者区域的共享状态显示为已关联时，表示共享的资源和资源使用者添加成功。资源共享后，资源使用者在接受资源目录邀请后便可在共享的交换机内创建云资源。具体操作，请参见资源使用者在共享交换机中创建云资源。
  - 如果资源的共享状态如果共享的资源和资源使用者区域的共享状态显示为关联失败时，表示共享失败。共享失败的可能原因如下，请您排查后再添加要共享的交换机：
    - 要共享的资源使用者的账号与资源所有者的账号相同，即资源所有者不能将自己的交换机共享给自己。
    - 单个VPC共享的资源使用者的数量超过了50个。
    - 单个VPC内的单个交换机共享的资源使用者的数量超过了50个。
    - 单个资源使用者接收的共享交换机的数量超过了30个。
  如果要取消共享，可以移除共享交换机，具体操作，请参见移除共享交换机。如果直接删除共享单元，与该共享单元关联的所有资源使用者都将失去对共享资源的访问权限。删除共享单元不会删除共享资源。

资源所有者可以在共享单元中管理共享交换机和共享交换机的使用者。本文为您介绍如何添加、查看、删除共享交换机以及共享交换机的使用者。

添加共享交换机

您已创建共享单元开启了VPC共享，具体操作，请参见开启VPC共享。

登录资源管理控制台。
在左侧导航栏，选择资源共享 > 我的共享。
在顶部状态栏处，选择要添加共享交换机的地域。

共享交换机支持的地域信息，请参见功能发布及地域支持情况。
在我的共享页面，共享单元页签，找到目标共享单元，单击共享单元ID。
在目标共享单元页面，单击右上方编辑共享单元。
在配置基本信息并添加资源页签，然后在资源区域选中需要添加共享的VPC交换机实例，然后单击下一步。
在关联权限页签，选择共享权限AliyunRSDefaultPermissionVSwitch，然后单击下一步。
在关联资源使用者页签，确认资源使用者的阿里云账号UID，然后单击下一步。
在确认并提交页签，确认已添加的共享单元信息后，单击确定。

添加共享交换机后，您可以查看共享交换机的共享状态。
- 如果共享的资源和资源使用者区域的共享状态显示为已关联时，表示共享的资源和资源使用者添加成功。资源共享后，资源使用者在接受资源目录邀请后便可在共享的交换机内创建云资源。具体操作，请参见资源使用者在共享交换机中创建云资源。
- 如果资源的共享状态如果共享的资源和资源使用者区域的共享状态显示为关联失败时，表示共享失败。共享失败的可能原因如下，请您排查后再添加要共享的交换机：
  - 要共享的资源使用者的账号与资源所有者的账号相同，即资源所有者不能将自己的交换机共享给自己。
  - 单个VPC共享的资源使用者的数量超过了50个。
  - 单个VPC内的单个交换机共享的资源使用者的数量超过了50个。
  - 单个资源使用者接收的共享交换机的数量超过了30个。