跨VPC私網訪問CLB - PrivateLink

如果您需要將一個VPC內部署的CLB共用給同帳號下的另外一個VPC訪問，您可以將CLB作為提供方VPC的服務資源，然後通過PrivateLink建立兩個VPC之間的網路連接，來實現跨VPC私網訪問CLB資源。

背景資訊

VPC是您獨自擁有的雲上私人網路，不同VPC之間完全隔離。您可以通過私網串連建立VPC與阿里雲服務之間安全穩定的私人串連，簡化網路架構，避免通過公網訪問服務帶來的潛在安全風險。

通過私網串連實現私網訪問，您需要建立終端節點服務和終端節點。

終端節點服務
終端節點服務可以與其他VPC的終端節點建立私網串連服務，由服務提供者建立和管理。
終端節點
終端節點可以與終端節點服務相關聯，以建立通過VPC私網訪問外部服務的網路連接。終端節點由服務使用方建立和管理。

相關主體	相關組件
服務提供者	建立和管理終端節點服務。
服務使用方	建立和管理終端節點。

CLB是將訪問流量根據轉寄策略分發到後端多台雲端服務器的流量分發控制服務。使用CLB作為服務資源，擴充了應用的服務能力，增強了應用的可用性。更多資訊，請參見什麼是傳統型負載平衡CLB。

情境樣本

本文以下圖情境為例。某公司使用阿里雲帳號A在德國（法蘭克福）地區建立了VPC1和VPC2，並且VPC2中的ECS2和ECS3執行個體部署了應用服務。現因業務發展，VPC1需要通過私網訪問VPC2中的服務。

您可以在VPC2中建立支援私網串連的CLB執行個體，將ECS2和ECS3執行個體添加為CLB執行個體的後端伺服器，CLB就可以接收用戶端流量並將流量按照監聽轉寄規則分發至對應的後端ECS。然後建立終端節點服務，將CLB執行個體添加為服務資源。在VPC1中建立終端節點。建立成功後，終端節點與終端節點服務建立串連且狀態正常時，VPC1中的ECS1即可私網訪問VPC2中的服務。

使用限制

VPC2中的CLB服務資源必須是隨用隨付的私網CLB執行個體，只有隨用隨付的私網CLB執行個體才支援私網串連。
建立終端節點服務時，選擇地區需要同時支援私網串連和CLB執行個體的地區。關於私網串連和CLB執行個體支援的地區，請參見私網串連支援的地區和CLB支援的地區資訊。
終端節點和終端節點服務需要部署在一個可用性區域內，且該可用性區域必須是CLB執行個體部署的可用性區域。

準備工作

您已經在德國（法蘭克福）地區建立了VPC1和VPC2，並且在VPC1和VPC2中分別建立了一個交換器。具體操作，請參見建立專用網路和交換器。
您已在VPC1中建立了ECS1執行個體，在VPC2中建立了ECS2和ECS3執行個體，ECS2和ECS3部署了不同的Nginx服務。
- 關於如何建立ECS執行個體，請參見自訂購買執行個體。
- 本文ECS2與ECS3部署測試應用樣本如下：
  ECS2服務部署命令
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS2." > index.html
```
  ECS3服務部署命令
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS3." > index.html
```
您已經在VPC1建立了安全性群組。您可以根據自己的實際業務和安全要求配置安全性群組規則。
建議配置的安全性群組規則如下：
- 入方向開放SSH 22連接埠和RDP 3389連接埠，用於訪問ECS執行個體。
- 入方向開放HTTP 80連接埠和HTTPS 443連接埠，用於終端節點所在的VPC通過HTTP協議或者HTTPS協議訪問終端節點服務所在的VPC。
具體操作，請參見建立安全性群組。
說明
VPC2中使用的安全性群組是在建立ECS2和ECS3時，阿里雲為您建立的預設安全性群組。

本文中2個VPC網路規劃如下表所示，在您規劃網路時，選擇的VPC1和VPC2的網段可以重疊且互不影響。

屬性	VPC1	VPC2
網路執行個體所屬地區	德國（法蘭克福）	德國（法蘭克福）
網路執行個體的網段規劃	VPC網段：10.10.0.0/16 交換器網段：10.10.2.0/24	VPC網段：192.168.0.0/16 交換器網段192.168.24.0/24
網路實際交換的可用性區域	交換器位於可用性區域B	交換器位於可用性區域B
伺服器IP地址	ECS1 IP地址：10.10.2.1	ECS2 IP地址192.168.24.200 ECS3 IP地址：192.168.24.12

配置步驟

步驟一：建立支援私網串連功能的CLB執行個體

登入傳統型負載平衡CLB控制台。
在執行個體管理頁面，單擊建立傳統型負載平衡。

在購買頁面，根據以下資訊配置CLB執行個體，然後單擊立即購買完成支付。

配置	說明
SLB地區編號	選擇執行個體的所屬地區。本文地區選擇德國（法蘭克福）。說明確保執行個體的地區和後端添加的Elastic Compute Service（Elastic Compute Service）的地區相同。
可用性區域類型	顯示所選地區的可用性區域類型。系統預設顯示多可用性區域。
主可用性區域	選擇執行個體的主可用性區域，主可用性區域是當前承載流量的可用性區域。本文選擇法蘭克福可用性區域B。
備可用性區域	選擇執行個體的備可用性區域。備可用性區域預設不承載流量，主可用性區域不可用時才承載流量。本文選擇歐洲中部1 可用性區域A。
執行個體名稱	輸入自訂執行個體名稱。
執行個體類型	根據業務情境選擇配置對外公開或對內私人的CLB執行個體，系統會根據您的選擇分配公網或私網服務地址。本文只支援選擇私網。
執行個體計費方式	選擇執行個體的一種計費方式。包括以下兩種計費方式：按規格計費按使用量計費本文選擇按規格計費。
負載平衡規格	選擇一個執行個體規格。不同的執行個體規格所提供的效能指標不同。本文選擇簡約型I（slb.s1.small）。
網路類型	選擇CLB執行個體的網路類型。本文只支援選擇專用網路。
IP版本	選擇CLB執行個體的IP版本。本文選擇IPv4。
VPC ID	選擇已建立的VPC2。
Vswitch ID	選擇VPC2下已建立的交換器。
公網流量費	選擇一種公網計費方式。公網CLB執行個體支援以下兩種公網計費方式：按使用流量計費按固定頻寬計費本文系統預設顯示按使用流量計費。說明公網執行個體會按使用流量計費，本文選擇的私網執行個體不會產生流量費。
資源群組	選擇執行個體所屬的資源群組。本文選擇預設資源群組。
購買數量	選擇執行個體的購買數量。本文選擇1。

步驟二：配置CLB執行個體

建立CLB執行個體後，您需要至少添加一個監聽和一組後端伺服器才能實現流量轉寄。

在執行個體管理頁面，找到步驟一建立的CLB執行個體，在操作列單擊監聽設定精靈。
在協議&監聽設定精靈，根據以下資訊配置監聽規則，其他配置保持預設值，然後單擊下一步。
- 選擇監聽協議：本文選擇TCP協議。
- 監聽連接埠：用來接收請求並向後端伺服器進行請求轉寄的監聽連接埠。
  本文設定為80。
在後端伺服器設定精靈，選擇預設伺服器組，單擊繼續添加，添加後端伺服器。
1. 在我的伺服器面板，選擇已經建立的ECS2和ECS3執行個體，單擊下一步。
2. 配置權重，單擊添加。
  權重越大轉寄的請求越多，預設為100，本文保持預設值。
3. 在預設伺服器組頁簽，配置後端協議連接埠，本文連接埠設定為80，然後單擊下一步。
  ECS執行個體上開放的用來接收請求的後端連接埠，在同一個CLB執行個體內可重複。
在健全狀態檢查設定精靈，配置健全狀態檢查，本文使用預設值，然後單擊下一步。
在組態稽核設定精靈，檢查配置資訊，然後單擊提交。
單擊知道了，返回執行個體管理頁面。
當後端ECS執行個體的健全狀態檢查狀態為正常時，表示後端ECS執行個體可以正常處理CLB轉寄的請求了。

步驟三：建立終端節點服務

登入終端節點服務控制台。
在頂部功能表列處，選擇要建立終端節點服務的地區。本文選擇德國（法蘭克福）。
在終端節點服務頁面，單擊建立終端節點服務。

在建立終端節點服務頁面，根據以下資訊配置終端節點服務，然後單擊確定建立。

此處僅列舉和本文強相關的配置。關於其餘參數的配置，請參見建立終端節點服務。

配置	說明
服務資源類型	終端節點服務下的服務資源的類型。本文選擇傳統型負載平衡CLB。
選擇服務資源	選擇要承載流量的可用性區域，然後選擇與終端節點服務關聯的CLB執行個體。本文選擇法蘭克福可用性區域B，然後選擇步驟一建立的支援私網串連功能的CLB執行個體。
自動接受終端節點串連	選擇是否自動接受終端節點的串連請求。本文選擇否。是：終端節點服務將自動接受終端節點的串連請求，通過終端節點能夠訪問服務。否：終端節點串連將處於已斷開狀態，等待服務使用方進行處理：如果服務使用方接受該終端節點對應的終端節點服務串連，通過終端節點將能夠訪問服務。如果服務使用方拒絕該終端節點對應的終端節點服務串連，通過終端節點無法訪問服務。
資源群組	選擇終端節點服務所在資源群組。

終端節點服務建立成功後，系統自動將服務所有者的帳號ID添加到服務白名單中。

您可以在終端節點服務頁面查看執行個體ID和執行個體名稱。

步驟四：建立終端節點

登入終端節點控制台。
在頂部功能表列處，選擇要建立終端節點的地區。本文選擇德國（法蘭克福）。
在終端節點頁面，單擊建立終端節點。

在建立終端節點頁面，根據以下資訊配置終端節點，然後單擊確定。

此處僅列舉和本文強相關的配置。關於其餘參數的配置，請參見建立終端節點。

配置	說明
節點名稱	輸入自訂終端節點的名稱。
終端節點類型	終端節點選擇的節點類型。本文選擇介面終端節點。
終端節點服務	選擇步驟三中建立的終端節點服務。
專用網路	選擇需要建立終端節點的VPC。本文選擇已建立的VPC1。
安全性群組	選擇要與終端節點網卡關聯的安全性群組，安全性群組可以管控VPC到終端節點網卡的資料通訊。說明確保安全性群組內的規則開放了用戶端對終端節點網卡的訪問。
可用性區域與交換器	選擇終端節點服務對應的可用性區域，然後選擇該可用性區域內的交換器，系統會自動在該交換器下建立一個終端節點網卡。本文選擇法蘭克福可用性區域B，然後選擇VPC1中建立的交換器。
資源群組	選擇終端節點所在資源群組。

建立完終端節點後，您可以在終端節點詳情頁查看產生的終端節點網域名稱、終端節點可用性區域的網域名稱和IP。

步驟五：接受終端節點串連請求

終端節點發送串連請求後，終端節點服務需要接受終端節點的串連請求。接受後，VPC1才能通過終端節點訪問服務。

說明

如果您在步驟三建立終端節點服務時設定自動接受串連請求，請忽略此步驟。

在左側導覽列，單擊終端節點服務。
在頂部功能表列處，選擇終端節點服務的地區。本文選擇德國（法蘭克福）。
在終端節點服務頁面，找到步驟三建立的終端節點服務，單擊終端節點服務的執行個體ID。
在終端節點服務詳情頁面，單擊終端節點串連頁簽，找到目標終端節點，在操作列單擊允許。
在允許串連對話方塊，單擊確定。

接受串連請求後，終端節點串連的狀態由已斷開變更為已串連，表示終端節點服務可以處理終端節點發送的請求了。

步驟六：通過終端節點訪問服務

說明

本文中ECS執行個體安裝了Alibaba Cloud Linux作業系統，如果您使用的是其他動作系統，如何測試VPC1和VPC2之間的連通性請參見您的作業系統手冊。

本文以下面內容為例，測試VPC1中的ECS1執行個體是否可以通過私網訪問VPC2中部署的服務。

登入VPC1中的ECS1執行個體，具體操作，請參見ECS遠端連線方式概述。
登入VPC1中的ECS1執行個體後，您有以下兩種方式測試VPC之間的連通性。
- 通過終端節點服務網域名稱訪問VPC2中部署的服務。
  1. 在終端節點詳情頁，查看產生的終端節點服務網域名稱。
  2. 執行curl命令，測試連通性。
- 指定可用性區域網域名稱或IP訪問VPC2中部署的服務。
  1. 在終端節點詳情頁，單擊可用性區域與網卡頁簽，查看產生的可用性區域網域名稱和IP地址。
  2. 執行curl命令，測試連通性。