跨地区最佳实践

将相关工作负载保持在同一 VPC 中

跨地区网络连接同一 VPC 内跨地区的子网。如果两个工作负载需要跨地区通信，最简洁的方案是将它们放在同一 VPC 中，让默认网格完成连通工作。将它们拆分到不同的 VPC 会将同一 VPC 的跨地区问题转变为跨 VPC 问题，而跨地区网络无法解决后者。

创建独立 VPC 的合理原因包括：地址空间隔离、严格的故障影响范围划定，或与外部网络的 CIDR 对齐。如果这些原因都不适用，请将工作负载保持在同一 VPC 中。

按峰值而非平均值规划付费带宽

跨地区带宽是硬上限，而非突发上限。如果您的夜间复制任务需要 800 Mbps 持续三小时，购买 400 Mbps 将导致传输被整形，任务无法按时完成。请按峰值持续速率规划，并额外预留 20–30% 的余量。当工作负载量发生变化时，请重新评估。

将免费基准视为可达性测试，而非生产管道

免费默认带宽有意设置得很小 — 其存在的目的是让您在第一天就能在地区间进行 ping 并测量延迟。它并不适合承载真实流量。如果超出连通性检测的任何内容需要经过该地区对，请提升跨地区带宽 — 速率可从几 Mbps 调整至 10 Gbps 甚至更高，且可随时调整，不会中断连接。

MTU：使用默认的 9000

大多数地区默认预置 9000 字节的 MTU。跨地区流量在骨干网上进行封装，9000 字节的 MTU 在容纳封装开销后仍有充裕空间 — 对于这些地区的跨地区路径，您无需限制 MSS 或将 MTU 降至 1400 字节。

少数地区运行较小的 MTU。如果您在其中某个地区运营，请在假设端到端巨型帧之前检查子网的 MTU 通告值。当跨地区路径跨越其中一个地区时，路径 MTU 由较小的一侧决定。

不要尝试对 VPC 内子网建立对等连接

同一 VPC 中的子网已经相互可达，无论是同地区还是跨地区。它们之间不存在对等连接步骤 — 如果您在寻找这样的功能，这里的模型与其他云平台不同。您可能真正需要的是 Border Gateway，它才是连通不同 VPC 的工具。

定期审查付费带宽

跨地区带宽按配置速率计费，而非实际用量。来自旧项目的过度预置购买是静默的浪费。每季度审查您的跨地区带宽购买，确认工作负载是否仍然需要配置的速率，并停用不再承载流量的购买 — 该地区对会自动回退到免费默认网格。

IPv6 可用 — 在合适的场景中使用它

跨地区网络在同一 VPC 内同时承载 IPv4 和 IPv6。如果您的应用是双栈，跨地区路径不会强制您回退到 IPv4。请根据应用的实际需求设计地址规划，而非因网络栈限制（该限制并不存在）而妥协。

故障排查

两个不同地区的工作负载无法互相访问。 首先确认它们位于同一 VPC 中。如果它们在不同的 VPC，跨地区网络无法连通它们 — 您需要 Border Gateway 或重新设计架构。如果它们在同一 VPC，请在怀疑网络问题之前，先检查两个实例上的 OS 级防火墙。平台的安全组不过滤 VPC 内流量（它们适用于公网流量），因此不是跨地区失败的原因。

Ping 失败，但到远程实例的 TCP 正常。 这不是网格问题。客户机内部有某些东西在屏蔽 ICMP — 实例防火墙或 OS 级过滤器。网格本身不会丢弃 ICMP。

某个地区对上的吞吐量低于预期。 如果您尚未为该地区对提升跨地区带宽，则您使用的是极小的免费基准 — 它是为 ping 和延迟检测设计的，并非用于吞吐量。将带宽提升到工作负载所需的速率。如果您已经提升了带宽，但 iperf3 的结果远低于配置速率，请提交支持工单，并提供两个端点的实例 ID 和时间戳。

新子网的前缀与现有路由冲突。 已有一条自定义路由匹配了平台希望为新子网安装的前缀。导航至 VPC → 路由表，找到冲突条目，删除或重新编号后重试。

流量单向可通，另一方向不通。 这几乎总是由某一端的 OS 防火墙或应用层策略导致，而非网络问题。跨地区子网是对称安装到路由表的 — 子网存在的那一刻，双方就能互相看到。请检查没有应答一方的防火墙状态。