云主机

  • 云主机服务 > 使用指南 > 网络 >私网连接 >使用入门 >同账号VPC间的私网访问服务

    同账号VPC间的私网访问服务

    最近更新时间:2021-04-21 16:46:31

    背景信息

    VPC 是您独有的云上私有网络,不同 VPC 之间完全隔离。您可以通过 PrivateLink ,实现 VPC 与七牛云上的服务建立安全稳定的私有连接,简化网络架构,避免通过公网访问服务带来的潜在安全风险。

    通过 PrivateLink 实现私网访问,您需要创建终端节点服务和终端节点。

    • 终端节点服务
      终端节点服务是可以被其他 VPC 通过创建终端节点建立私网连接的服务。终端节点服务由服务提供方创建和管理。

    • 终端节点
      终端节点可以与终端节点服务相关联,以建立通过 VPC 私网访问外部服务的网络连接。终端节点由服务使用方创建和管理。

    配置场景

    本教程以下图场景为例。某公司使用七牛云账号 A 在上海1地域创建了两个 VPC,VPC2 中的 ECS 实例创建了应用服务。因业务发展,VPC2 中的服务需要被 VPC1 通过私网访问,避免公网访问服务带来的潜在安全风险。

    您可以在 VPC2 下创建支持 PrivateLink 的负载均衡实例,将 QVM 实例添加为负载均衡实例的后端服务器,然后创建终端节点服务,将负载均衡实例添加为服务资源。在 VPC1 下创建终端节点。创建成功后,VPC1 即可私网访问 VPC2 下的服务。
    image.png

    前提条件

    • 您已经在 VPC2 下创建了 QVM 实例,并部署了应用服务。
    • 您已经在 VPC1 创建了安全组。

    步骤一:创建支持PrivateLink功能的负载均衡实例

    目前,仅支持 PrivateLink 功能的负载均衡实例可以作为终端节点服务的服务资源。通过 PrivateLink 实现在 VPC 间私网访问服务前,您需要创建支持 PrivateLink 功能的负载均衡实例。
    完成以下操作,在 VPC2 下创建支持 PrivateLink 功能的负载均衡实例。
    1.登录控制台。
    2.左侧导航栏选择负载均衡。
    3.新建负载均衡。
    4.在购买页面,部分特定信息需要根据以下配置负载均衡实例。

    • 计费模式:按量计费(仅按量付费模式的负载均衡实例支持 PrivateLink 功能)
    • 地域和可用区:选择支持 PrivateLink 的地域和可用区
    • 专有网络:选择 VPC2 及 VPC2 下的交换机。
    • 是否支持 PrivateLink :是

    步骤二:配置负载均衡实例

    创建负载均衡实例后,您需要添加至少一个监听和一组后端服务器才能实现流量转发。
    (当后端 QVM 实例的健康检查状态为正常时,表示后端 QVM 实例可以正常处理负载均衡转发的请求了)

    步骤三:创建终端节点服务

    终端节点服务是可以被其他 VPC 通过创建终端节点建立私网连接的服务。
    完成以下操作,创建终端节点服务。
    1.登录控制台。
    2.左侧导航栏选择私网链接。
    3.选择终端节点服务。
    4.选择新建,据以下信息配置终端节点服务。

    • 实例名称:测试1
    • 地域:上海1
    • 自动接受连接:否

    5.创建完成后,进入实例详情页,选择「服务资源」,添加可用区,选择需要共享的负载均衡。

    步骤四:创建交换机

    您需要在 VPC1 下创建交换机,交换机的可用区必须与步骤一创建的负载均衡实例的主可用区一致。创建成功后,系统才能在该交换机下创建终端节点网卡。终端节点网卡是 VPC1 通过终端节点访问 VPC2 服务的入口。

    步骤五:创建终端节点

    终端节点可以与终端节点服务相关联,以建立通过VPC私网访问外部服务的网络连接。
    完成以下操作,为 VPC1 创建终端节点。
    1.登录控制台。
    2.左侧导航栏选择私网链接。
    3.选择终端节点。
    4.选择新建,据以下信息配置终端节点服务。

    • 节点名称:测试1
    • 地域:上海1
    • 终端节点服务:选择本账号下的服务
    • 专有网络:选择需要创建终端节点的 VPC。本教程选择 VPC1。
    • 安全组:选择要与终端节点网卡关联的安全组,安全组可以管控 VPC 到终端节点网卡的数据通信。

    5.创建终端节点完成后,进入详情,选择「可用区与网卡」,选择终端节点服务对应的可用区,然后选择该可用区内的交换机,系统会自动在该交换机下创建一个终端节点网卡。

    步骤六:接受终端节点连接请求

    终端节点发送连接请求后,终端节点服务需要接受终端节点的连接请求。接受后,VPC1 才能通过终端节点访问服务。
    说明:如果您在步骤三创建终端节点服务时设置自动接受连接请求,请忽略此步骤。
    image.png

    1. 在终端节点服务页面,找到步骤三创建的终端节点服务,单击其服务名称链接。
    2. 单击终端节点连接页签,找到目标终端节点,单击操作列下的允许。

    步骤七:通过终端节点访问服务

    完成以下操作,测试 VPC1 下的 ECS 实例是否可以私网访问 VPC2 的服务。

    1. 打开VPC1 ECS实例的浏览器。
    2. 在浏览器中输入访问服务的域名或IP,测试是否可以访问VPC2的服务。
      本教程输入步骤五创建终端节点后生成的访问域名。详细信息,请参见步骤五:创建终端节点。
    以上内容是否对您有帮助?
  • Qvm free helper
    Close