租户端 网络 私有网络(VPC) 最佳实践

通过私有连接实现跨账号VPC间服务共享

最近更新时间: 2024-06-12 15:06:00

本文指导您如何快速创建私有连接服务,将您账号下 VPC 中部署的云服务共享给其他账号下的 VPC 访问。

背景信息

VPC 是您独有的云上私有网络,不同 VPC 之间默认完全隔离。您可以通过私有连接(Private Link)服务,实现 VPC 与其他 VPC 上安全稳定的访问连接,简化网络架构,避免公网访问服务带来的潜在安全风险。

使用 Private Link 建立连接,您需要创建终端节点服务和终端节点。在创建终端节点服务之前,您需要创建一个内网4层负载均衡实例,并创建监听器关联已经部署业务的云服务器实例,之后在创建终端节点服务时关联该负载均衡实例,此时终端节点服务将作为服务提供方的业务访问入口,供服务使用方创建的终端节点来申请连接,连接建立成功后,服务使用方即可访问服务提供方的部署业务服务。

场景示例

本文以下图业务场景为例。假设业务部署在 VPC2,现需要将该业务共享给其他账户的VPC访问。为避免公网访问带来的潜在安全风险,使用私有连接 Private Link 来实现 VPC1 到 VPC2 的安全内网访问方案。

前提条件

  • 请服务使用方将 UIN 账号告知服务提供方,在使用方发起连接请求后,需要服务方接受后才可连通。
  • 在服务提供方 VPC2 中已创建内网4层 CLB 实例,并在 CLB 后端云服务器实例中部署相关服务资源,请确保后端云服务器实例可以正常处理负载均衡转发的请求。
  • 服务提供方需将负载均衡的 VPORT 提前告知服务使用方。

操作步骤

步骤1:服务提供方创建终端节点服务

  1. 登录终端节点服务控制台。
  2. 单击【新建】。
  3. 在弹出的【新建终端节点服务】界面,配置相关参数。

参数含义:

  • 服务名称:自定义终端节点服务的名称。
  • 所在地域:终端服务节点所在地域。
  • 所属网络:选择所属VPC。
  • 负载均衡:选择VPC下已创建的负载均衡。
  • 自动接受:指定终端节点服务是否自动接受终端节点发起的连接请求,默认为否,本文保持默认。
    • 如果是同账号,则自动接受为可用。
    • 如果是跨账号,选择自动接受时,且终端节点在用户白名单中,终端节点创建成功即为可用状态。
    • 如果是跨账号,选择不接受自动连接时,终端节点创建成功的初始状态为待接受,需等服务端接受后改为可用。
  1. 完成参数设置后,单击【确定】完成终端节点服务的创建。

步骤2:添加服务使用方账户白名单

  1. 单击已创建的终端节点服务的ID,进入详情页。
  2. 单击【白名单】页签进入用户白名单管理界面。
  3. 单击【添加】,进入【添加白名单用户】界面。
  4. 填写用户UIN,并填写用户描述信息,如果需要添加多个用户,可以单击【添加】。
  5. 完成用户白名单添加后,单击【确定】,添加成功的白名单展示在列表中。

步骤3:服务使用方创建终端节点

  1. 登录 终端节点 的控制台。
  2. 单击【新建】,进入【新建终端节点】界面。
  3. 配置终端节点的参数。
    • 名称:自定义终端节点的名称。
    • 所属地域:终端节点所在地域。
    • 所属网络:选择终端节点所在的VPC。
    • 所属子网:选择终端节点所在的子网。
    • IP地址:终端节点的IP地址。可以指定IP地址,IP地址为VPC内的内网IP,也可以选择自动分配IP。
    • 对端账户类型:选择需要访问的VPC的所属账户,我的账户说明是同账户VPC的访问,其他账户说明是跨账户VPC的访问,如果是跨账户,则需要将本账户的账号告知对端账户,且发起连接请求后,需要服务端接受后才可联通。
    • 选择服务:输入终端节点服务的ID后单击【验证】,只有验证通过的服务才可建立连接。
  4. 完成参数配置后,单击【确定】。

步骤4:(可选)绑定安全组

为终端节点绑定安全组,可控制终端节点的入站流量,提高业务访问的安全性。

  1. 登录安全组控制台,创建安全组并设置其规则。
  2. 在终端节点详情页的安全组页签界面,可为终端节点绑定安全组。

步骤5:管理终端节点连接请求

跨账号需要服务提供方接受使用方发起的连接请求,方可连通。

  1. 单击已创建的终端节点服务的ID,进入详情页。

  2. 单击【终端节点连接】页签进入终端节点连接管理界面。

  3. 根据实际情况处理终端节点的状态连接请求,本例选择【接受】。 终端节点连接有三个状态:待接受、可用、已拒绝。

    • 对于【已拒绝】状态的连接,可以执行【接受】操作,执行后,状态变为【可用】。
    • 对于【可用】状态的连接,可以执行【拒绝】操作,执行后,状态变为【已拒绝】。
    • 对于【待接受】状态的连接请求,可以执行【接受】或【拒绝】,执行后状态分别为【可用】或【已拒绝】。

    说明:终端节点服务可以被多个终端节点连接,终端节点服务的状态是指每一条连接的状态,非单独的终端节点服务的状态。

步骤6:服务使用方发起访问请求进行连接验证

  1. 登录服务使用方 VPC1 下的某台 CVM,通过 VIP+VPORT 访问服务提供方的后端服务。
  2. 本例使用 telnet 验证连通性,执行 telnet VIP VPORT。 说明:如果服务器没有安装 telnet,请先执行 yum install telnet 安装 telnet。 如果出现如下信息,表示已连接: