配置不同账号跨VPC通信的终端节点
简介
操作场景
VPC终端节点支持同一区域云资源的跨VPC通信。
一般情况下,不同VPC内的云资源互相隔离,不支持通过私网IP访问。通过VPC终端节点,您可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。
本章节主要介绍同区域“不同账号”的VPC的云资源如何实现跨VPC通信。
如图1所示,VPC1和VPC2分别属于账号A和账号B,将VPC2中待访问的后端资源ELB创建为终端节点服务,并在VPC1中购买终端节点,实现VPC1中的ECS通过私网IP访问VPC2中的ELB。
图1 跨VPC通信的终端节点
说明:
1、如图1所示,仅支持终端节点到终端节点服务所在后端资源的单向访问。
2、在购买终端节点前,您需要先将VPC1的授权账号ID添加到VPC2的终端节点服务的白名单中。
3、若两个VPC属于同一账号,请参考配置跨VPC通信的终端节点(同一账号)。
操作流程
配置同一账号下的跨VPC通信,具体操作流程如图2所示。
图2 操作流程
步骤一:创建终端节点服务
操作场景
为实现跨VPC通信,您需要将VPC内的云资源(即后端资源)创建为终端节点服务,以便于同一区域其他VPC的终端节点通过私网IP访问该终端节点服务。
本节以VPC2中,属于账号B的“弹性负载均衡”作为后端资源为例,指导您创建终端节点服务。
前提条件
在同一VPC内,已经完成后端资源的创建。
操作步骤
1、登录管理控制台。
2、在管理控制台左上角单击“”图标,选择区域和项目。
3、单击“服务列表”中的“网络 > VPC终端节点”,进入“终端节点”页面。
4、在左侧导航栏选择“VPC终端节点 > 终端节点服务”,单击“创建终端节点服务”。
进入“创建终端节点服务”页面。
图1 创建终端节点服务
5、根据界面提示配置参数。
表1 终端节点服务配置参数
参数
|
说明
|
---|---|
区域 |
终端节点服务所在区域。 不同区域的资源之间内网不互通。请选择靠近您的区域,可以降低网络时延、提高访问速度。 |
名称 |
可选参数。 终端节点服务的名称。 长度不大于16,支持大小写字母、数字、下划线、中划线。 1、如果您不填写该参数,系统生成的终端节点服务的名称为{region}.{service_id}。 2、如果您填写该参数,系统生成的终端节点服务的名称为{region}.{Name}.{service_id}。 |
虚拟私有云 |
终端节点服务所属虚拟私有云。 |
服务类型 |
终端节点服务的类型,此处仅支持设置为“接口”类型。 |
连接审批 |
连接审批控制的是终端节点与终端节点服务的连接是否需要审批,审批权由终端节点服务控制。 可选择开启或关闭连接审批。 若选择开启连接审批,则与本终端节点服务连接的终端节点需要进行审批,详细操作请查看连接审批。 |
端口映射 |
终端节点服务与终端节点建立连接关系,进行通信,支持TCP协议。 1、服务端口:终端节点服务绑定了后端资源,作为提供服务的端口。 2、终端端口:终端节点提供给用户,作为访问终端节点服务的端口。 服务端口和终端端口取值范围1~65535,单次操作最多添加50条端口映射。 说明:通过“终端端口 → 服务端口”的方式进行访问。 |
后端资源类型 |
实际提供服务的后端资源。 可创建为终端节点服务的后端资源包括: 1、弹性负载均衡:适用于高访问量业务和对可靠性和容灾性要求较高的业务。 2、云服务器:作为服务器使用。 3、裸金属服务器:作为服务器使用。 此处选择“弹性负载均衡”。 说明:终端节点服务配置的后端资源所在安全组,安全组添加的规则是白名单,需要添加源地址为198.19.128.0/17的白名单入方向规则,详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 |
选择负载均衡 |
“后端资源类型”选择为“弹性负载均衡”时,会出现该参数,在下拉列表中选择需要提供服务的负载均衡。 说明:弹性负载均衡作为终端节点服务的后端资源后,不支持获取真实访问客户端的地址。 |
标签 |
可选参数。 终端节点服务的标识,包括键和值。可以为终端节点服务创建10个标签。 标签的命名规则请参考表2。 说明:如果已经通过TMS的预定义标签功能预先创建了标签,则可以直接选择对应的标签键和值。 预定义标签的详细内容,请参见预定义标签简介。 |
表2 终端节点服务标签命名规则
6、单击“立即创建”。
7、返回终端节点服务列表可查看创建的终端节点服务。
8、单击终端节点服务的“名称”,即可查看终端节点服务的详细信息。
图2 终端节点服务详情
步骤二:添加白名单
操作场景
终端节点服务的权限管理用于控制是否允许跨租户的终端节点进行访问。
创建完终端节点服务后,可以设置允许连接该终端节点服务的授权账号ID,将授权账号ID添加至终端节点服务的白名单中。
本操作指导您获取账号ID,并添加账号ID到终端节点服务的白名单中。
前提条件
终端节点待连接的终端节点服务已经存在。
获取被授权的账号ID
1、登录管理控制台。
2、单击账号下的“我的凭证”。
图1 我的凭证
进入“我的凭证”页面,即可查看到VPC1所属租户的“账号ID”,如图2所示。
图2 账号ID
添加被授权的账号ID至终端节点服务的白名单中
1、登录管理控制台。
2、在管理控制台左上角单击“”图标,选择区域和项目。
3、单击“服务列表”中的“网络 > VPC终端节点”,进入“终端节点”页面。
4、在左侧导航栏选择“VPC终端节点 > 终端节点服务”。
5、在“终端节点服务”页面,单击需要添加白名单的终端节点服务名称。
6、在该终端节点服务的“权限管理”页签,单击“添加白名单记录”。
7、根据提示配置参数,输入授权用户的账号ID,添加白名单。
图3 添加白名单记录
说明:
A、本账号默认在自身账号的终端节点服务的白名单中。
B、“domain_id”表示授权用户的账号ID,例如“1564ec50ef2a47c791ea5536353ed4b9”。
C、添加“*”到白名单,表示所有用户可访问。
8、单击“确定”,完成白名单的设置。
步骤三:购买终端节点
操作场景
在VPC2中完成终端节点服务的创建,并设置允许连接该终端节点服务的白名单之后,您可以在VPC1中购买连接终端节点服务的终端节点。
说明:
终端节点需要选择与终端节点服务相同的区域和项目。
精选文章推荐
1对1咨询专属顾问
1对1免费咨询华为云专属顾问,为您量身定制产品推荐方案
1对1免费咨询华为云专属顾问,为您量身定制产品推荐方案