简介
操作场景
VPC终端节点支持同一区域云资源的跨VPC通信。
不同VPC内的云资源互相隔离,不支持通过私网IP访问。通过VPC终端节点,您可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。
这两个VPC既可以属于同一帐号,也可以属于不同帐号,本章节以“不同帐号”的跨VPC通信为例进行介绍。
例如,VPC1和VPC2分别属于帐号A和帐号B,为VPC1创建终端节点,并将VPC2中待访问的后端资源ELB创建为终端节点服务,实现VPC1的ECS通过私网IP访问VPC2的ELB,如图1-1所示。
图 跨VPC通信的终端节点
说明
如上图所示,仅支持终端节点到终端节点服务所在后端资源的单向访问。
在创建终端节点前,您需要先将VPC1的授权帐号ID添加到VPC2的终端节点服务的白名单中。
操作流程
配置不同帐号下的跨VPC通信,具体操作流程如下图所示。
图 操作流程
步骤一:创建终端节点服务
操作场景
为实现跨VPC通信,您需要将VPC内的云资源(即后端资源)创建为终端节点服务,以便于同一区域其他VPC的终端节点通过私网IP访问该终端节点服务。
本节以VPC2中,属于帐号B的“弹性负载均衡”作为后端资源为例,指导您创建终端节点服务。
前提条件
在同一VPC内,已经完成后端资源的创建。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击“
”图标,选择区域和项目。 - 单击“服务列表”中的“网络 > VPC终端节点”,进入“终端节点”页面。
- 在左侧导航栏选择“VPC终端节点 > 终端节点服务”,单击“创建终端节点服务”。
进入“创建终端节点服务”页面。
图 创建终端节点服务
- 根据界面提示配置参数。
表 终端节点服务配置参数
| 参数 | 说明 |
|---|---|
| 区域 | 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域,可以降低网络时延、提高访问速度。 |
| 虚拟私有云 | 终端节点服务所属虚拟私有云。 |
| 服务类型 | 终端节点服务的类型,此处仅支持设置为“接口”类型。 |
| 连接审批 | 连接审批控制的是终端节点与终端节点服务的连接是否需要审批,审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批,则与本终端节点服务连接的终端节点需要进行审批 |
| 端口映射 | 终端节点服务与终端节点建立连接关系,进行通信,协议可选择TCP或UDP。 服务端口:终端节点服务绑定了后端资源,作为提供服务的端口。 终端端口:终端节点提供给用户,作为访问终端节点服务的端口。服务端口和终端端口取值范围1~65535,单次操作最多添加50条端口映射。 说明: 通过“终端端口 → 服务端口”的方式进行访问。 |
| 后端资源类型 | 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括: 弹性负载均衡:适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器:作为服务器使用。此处选择“弹性负载均衡”。 说明: 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组,需要添加源地址为198.19.128.0/20的白名单入方向规则 |
| 选择负载均衡 | “后端资源类型”选择为“弹性负载均衡”时,会出现该参数,在下拉列表中选择需要提供服务的负载均衡,只支持弹性负载均衡。 说明: 弹性负载均衡作为终端节点服务的后端资源后,不支持获取真实访问客户端的地址。 |
- 单击“立即创建”。
- 返回终端节点服务列表可查看创建的终端节点服务。
步骤二:添加白名单
操作场景
终端节点服务的权限管理用于控制是否允许跨租户的终端节点进行访问。
创建完终端节点服务后,可以设置允许连接该终端节点服务的授权帐号ID,将授权帐号ID添加至终端节点服务的白名单中。
本操作指导您获取帐号ID,并添加帐号ID到终端节点服务的白名单中。
前提条件
终端节点待连接的终端节点服务已经存在。
获取被授权的帐号ID
- 登录管理控制台。
- 单击帐号下的“我的凭证”。
图 我的凭证
进入“我的凭证”页面,即可查看到VPC1所属租户的“帐号ID”,如下图所示。
图 帐号ID
添加被授权的帐号ID至终端节点服务的白名单中
- 登录管理控制台。
- 在管理控制台左上角单击“
”图标,选择区域和项目。 - 单击“服务列表”中的“网络 > VPC终端节点”,进入“终端节点”页面。
- 在左侧导航栏选择“VPC终端节点 > 终端节点服务”。
- 在“终端节点服务”页面,单击需要添加白名单的终端节点服务名称。
- 在该终端节点服务的“权限管理”页签,单击“添加白名单记录”。
- 根据提示配置参数,输入授权用户的帐号ID,添加白名单。
图 添加白名单记录
说明
本帐号默认在自身帐号的终端节点服务的白名单中。
授权帐号ID格式为:(iam:domain::domain_id)“domain_id”表示授权用户的帐号ID,例如“iam:domain::1564ec50ef2a47c791ea5536353ed4b9”。
添加“*”到白名单,表示所有用户可访问。
- 单击“确定”,完成白名单的设置。
步骤三:创建终端节点
操作场景
在VPC2中完成终端节点服务的创建,并设置允许连接该终端节点服务的白名单之后,您可以在VPC1中创建连接终端节点服务的终端节点。
说明终端节点需要选择与终端节点服务相同的区域和项目。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击“
”图标,选择区域和项目。 - 单击“服务列表”中的“网络 > VPC终端节点”,进入“终端节点”页面。
- 在“终端节点”页面,单击“创建终端节点”。
进入“创建终端节点”页面。
图 创建终端节点(按名称查找服务-接口型)
- 根据界面提示配置参数。
表 终端节点配置参数
| 参数 | 说明 |
|---|---|
| 区域 | 终端节点所在区域,与终端节点服务所在区域保持一致。 |
| 服务类别 | 可选择“云服务”或“按名称查找服务”。 云服务:当您要连接的终端节点服务为云服务时,需要选择“云服务”。 按名称查找服务:当您要连接的终端节点服务为用户私有服务时,需要选择“按名称查找服务”。此处选择“按名称查找服务”。 |
| 服务名称 | 若“服务类别”选择“按名称查找服务”,则会出现该参数。输入终端节点服务名称,单击“验证”: 若显示“已找到服务”,继续后续操作。 若显示“未找到服务”,请检查“区域”是否和终端节点服务所在区域一致或输入的“服务名称”是否正确。 |
| 虚拟私有云 | 选择终端节点所属的虚拟私有云。 |
| 子网 | 选择终端节点所属的子网。 |
- 参数配置完成,单击“立即创建”,进行规格确认。
- 规格确认无误,单击“提交”,任务提交成功。
- 参数信息配置有误,需要修改,单击“上一步”,修改参数,然后单击“提交”。
- 连接管理。
如果终端节点状态为“已接受”,表示终端节点已成功连接至终端节点服务;如果终端节点状态为“待接受”,表示要连接的终端节点服务开启了“连接审批”功能,需要先进行审批,操作如下:
- 在左侧导航栏选择“VPC终端节点>终端节点服务”。
- 单击对应的终端节点服务名称,进入终端节点服务详情页面。
- 在终端节点服务详情页面,单击“连接管理”
- 如果同意终端节点的连接,在连接管理页面的“操作”栏下,单击“接受”。
- 如果不同意终端节点的连接,在连接管理页面的“操作”栏下,单击“拒绝”。
- 再返回终端节点列表查看终端节点状态变为“已接受”,表示终端节点已成功连接至终端节点服务。
- 单击终端节点ID,即可查看终端节点的详细信息。
终端节点创建成功后,会生成一个“节点IP”(就是私有IP)和“内网域名”(如果在创建终端节点时您勾选了“创建内网域名”)。
图 终端节点详情
您可以使用节点IP访问终端节点服务,进行跨VPC资源通信。
