云主机

    • 云主机 > 使用指南 > 网络 >私网连接 >使用入门 >跨账号VPC间的私网访问服务

    跨账号VPC间的私网访问服务

    最近更新时间: 2021-04-21 16:46:19

    背景信息

    VPC 是您独有的云上私有网络,不同 VPC 之间完全隔离。您可以通过 PrivateLink ,实现 VPC 与七牛云上的服务建立安全稳定的私有连接,简化网络架构,避免通过公网访问服务带来的潜在安全风险。

    通过 PrivateLink 实现私网访问,您需要创建终端节点服务和终端节点。

    • 终端节点服务
      终端节点服务是可以被其他 VPC 通过创建终端节点建立私网连接的服务。终端节点服务由服务提供方创建和管理。

    • 终端节点
      终端节点可以与终端节点服务相关联,以建立通过 VPC 私网访问外部服务的网络连接。终端节点由服务使用方创建和管理。

    配置场景

    本教程以下图场景为例。某公司在七牛云有两个云账号,账号1 UID 为12345678,账号2 UID 为87654321。该公司在账号1和账号2下分别创建了 VPC1 和 VPC2,VPC2 中的 QVM 实例创建了应用服务。因业务发展,VPC2 中的服务需要被 VPC1 通过私网访问,避免公网访问服务带来的潜在安全风险。

    您可以在 VPC2 下创建支持 PrivateLink 的负载均衡实例,将 QVM 实例添加为负载均衡实例的后端服务器,然后创建终端节点服务,将负载均衡实例添加为服务资源,并将账号1的 UID 添加到终端节点服务的服务白名单中。在 VPC1 下创建终端节点。创建成功后,VPC1 即可私网访问 VPC2 下的服务。
    image.png

    前提条件

    • 您已经在 VPC2 下创建了 QVM 实例,并部署了应用服务。
    • 您已经在 VPC1 创建了安全组。

    步骤一:创建支持PrivateLink功能的负载均衡实例

    目前,仅支持 PrivateLink 功能的负载均衡实例可以作为终端节点服务的服务资源。通过 PrivateLink 实现在 VPC 间私网访问服务前,您需要创建支持 PrivateLink 功能的负载均衡实例。
    完成以下操作,在 VPC2 下创建支持 PrivateLink 功能的负载均衡实例。
    1.使用账号2登录登录控制台。
    2.左侧导航栏选择负载均衡。
    3.新建负载均衡。
    4.在购买页面,部分特定信息需要根据以下配置负载均衡实例。

    • 计费模式:按量计费(仅按量付费模式的负载均衡实例支持 PrivateLink 功能)
    • 地域和可用区:选择支持 PrivateLink 的地域和可用区
    • 专有网络:选择 VPC2 及 VPC2 下的交换机。
    • 是否支持 PrivateLink :是

    步骤二:配置负载均衡实例

    创建负载均衡实例后,您需要添加至少一个监听和一组后端服务器才能实现流量转发。
    (当后端 QVM 实例的健康检查状态为正常时,表示后端 QVM 实例可以正常处理负载均衡转发的请求了)

    步骤三:创建终端节点服务

    终端节点服务是可以被其他 VPC 通过创建终端节点建立私网连接的服务。
    完成以下操作,使用账号2创建终端节点服务。
    1.使用账号2登录控制台。
    2.左侧导航栏选择私网链接。
    3.选择终端节点服务。
    4.选择新建,据以下信息配置终端节点服务。

    • 实例名称:测试1
    • 地域:上海1
    • 自动接受连接:否/是

    5.创建完成后,进入实例详情页,选择「服务资源」,添加可用区,选择需要共享的负载均衡。

    步骤四:添加服务白名单

    您可以为终端节点服务添加服务白名单,服务白名单中的用户可以创建与终端节点服务连接的终端节点
    完成以下操作,将账号1的 UID 添加到账号2配置的终端节点服务的服务白名单中。

    1. 使用账号2登录控制台。
    2. 在终端节点服务页面,找到步骤三创建的终端节点服务,单击其服务ID链接。
    3. 单击服务白名单页签,然后单击添加白名单。
    4. 在添加白名单对话框,输入要添加的白名单账号,然后单击确定。
      说明:账号UID,请提交工单获取。
      image.png

    步骤五:创建交换机

    您需要在 VPC1 下创建交换机,交换机的可用区必须与步骤一创建的负载均衡实例的主可用区一致。创建成功后,系统才能在该交换机下创建终端节点网卡。终端节点网卡是 VPC1 通过终端节点访问 VPC2 服务的入口。

    步骤六:创建终端节点

    终端节点可以与终端节点服务相关联,以建立通过VPC私网访问外部服务的网络连接。
    完成以下操作,使用账号1创建终端节点。

    1. 使用账号1登录控制台。
    2. 左侧导航栏选择私网链接。
    3. 选择终端节点。
    4. 在创建终端节点页面,根据以下信息配置终端节点,然后单击确定创建。
    • 节点名称:输入终端节点的名称。
    • 地域:选择要连接的终端节点服务终端所在的地域
    • 终端节点服务:选择要连接的终端节点服务 ID
    • 专有网络:选择需要创建终端节点的 VPC。本教程选择 VPC1。
    • 安全组:选择要与终端节点网卡关联的安全组,安全组可以管控VPC到终端节点网卡的数据通信。
      image.png

    步骤七:接受终端节点连接请求

    终端节点发送连接请求后,终端节点服务需要接受终端节点的连接请求。接受后,VPC1 才能通过终端节点访问服务。
    说明 如果您在步骤三创建终端节点服务时设置自动接受连接请求,请忽略此步骤。
    完成以下操作,在账号2的终端节点服务上接受账号1的终端节点连接请求。

    1. 在终端节点服务页面,找到步骤三创建的终端节点服务,单击其服务名称链接。
    2. 单击终端节点连接页签,找到目标终端节点,单击操作列下的允许。
      image.png

    步骤八:通过终端节点访问服务

    完成以下操作,测试账号1 VPC 是否可以通过终端节点访问账号2的服务。
    打开账号1 ECS实例的浏览器。

    1. 在浏览器中输入访问服务的域名,测试是否可以访问账号2的服务。
    2. 本教程输入步骤六创建终端节点后生成的访问域名。
    以上内容是否对您有帮助?
    • Qvm free helper
    Close