本文介绍了如何通过 PrivateLink 使一个 VPC 中的资源能够访问同地域下另一个 VPC 中的 ALB 服务。
场景示例
本文以下图所示场景为例进行说明。某企业使用一个火山引擎账号在华东2(上海)地域创建了两个 VPC:VPC01 和 VPC02。VPC01 中有一个 ECS 实例(ECS01)。VPC02 中创建了一个 ALB 实例(ALB01),该实例关联了一个服务器组。服务器组中包含两个属于不同可用区的 ECS 实例(ECS02 和 ECS03)。该企业希望 VPC01 中的 ECS01 能够通过私网访问 VPC02 中的 ALB01,从而能够访问 ECS02 和 ECS03 上部署的应用。
该场景下,需要结合使用私网连接(PrivateLink)产品以满足上述需求。要使用 PrivateLink,需要创建终端节点和终端节点服务。PrivateLink 在终端节点和终端节点服务间建立私密的网络连接,使一个 VPC 中的资源能够通过私网访问另一个 VPC 中的服务资源,避免了公网访问带来的潜在安全风险。
使用限制
- 已联系客户经理开通“ALB 实例作为 PrivateLink 终端节点服务资源”的功能。
- ALB 实例作为 PrivateLink 终端节点服务资源时,终端节点服务资源提供服务的可用区必须是 ALB 实例所在的可用区的子集。同时,终端节点的可用区必须是终端节点服务资源提供服务的可用区的子集。终端节点服务和终端节点不能跨可用区通信。建议您为终端节点服务资源和终端节点选择与 ALB 实例一致的可用区,以实现更好的容灾效果。
前提条件
- 已在华东2(上海)地域创建 VPC01 和 VPC02。VPC01 中创建了一个属于可用区 A 的子网(VPC01-Subnet-A)。 VPC02 中创建了一个属于可用区 A 的子网(VPC02-Subnet-A)和一个属于可用区 B 的子网(VPC02-Subnet-B)。具体操作,请参见创建私有网络和创建子网。
- 已在 VPC01 中创建 ECS01 用于发送请求。已在 VPC02 中创建位于可用区 A 的 ECS02 和位于可用区 B 的 ECS03,用于接收和处理请求。ECS02 和 ECS03 上已部署 NGINX 服务。创建 ECS 实例的操作,请参见创建 ECS 实例。
操作步骤
说明
以下操作步骤中,仅给出强相关参数的配置说明。其他参数使用默认值即可。如需了解更详细的参数说明,请参考“配置流程”中列出的文档。
配置流程
序号 | 步骤 | 参考文档 |
|---|---|---|
1 | 创建 ALB 实例 | |
2 | 创建服务器组 | |
3 | 配置监听器 | |
4 | 创建终端节点服务 | |
5 | 创建终端节点 | |
6 | 测试连通性 | N/A |
步骤一:创建 ALB 实例
登录应用型负载均衡控制台。
在左侧导航栏,单击 实例管理,进入 实例管理 页面。
在 实例管理 页面,单击 创建实例。
在 创建应用型负载均衡 页面,参考下表配置相关参数。
参数
描述
参数取值
基本信息
地域
选择 ALB 实例所属的地域。
华东2(上海)
名称
输入 ALB 实例的名称。
ALB01
实例版本
选择实例版本。
基础版
网络配置
IP类型
选择 ALB 实例的 IP 类型。
IPv4
网络类型
设置 ALB 实例的网络类型。系统会根据您的选择为 ALB 实例分配 IP 地址。
- 公网:公网 ALB 实例具有公网 IP 和私网 IP 地址。
- 私网:私网 ALB 实例只有私网 IP 地址。
私网
私有网络
选择 ALB 实例所属的 VPC。
VPC02
可用区
选择 ALB 实例所属的可用区。须至少选择 1 个可用区。当地域下存在多个可用区时,建议您至少选择两个可用区来部署 ALB 实例,以提高系统整体可用性。
可用区 A、可用区 B
子网
选择 ALB 实例所属的子网。ALB 实例的私网 IP 地址会从您选择的子网的网段中分配。
VPC02-Subnet-A、VPC02-Subnet-B
确认配置信息无误后,阅读并同意《应用型负载均衡服务等级协议》,然后单击 提交订单。
步骤二:创建服务器组
在 服务器组页面,单击 创建后端服务器组。
在 创建后端服务器组 页面,参考下表配置相关参数,然后单击 确定。
参数
描述
参数取值
服务器组类型
选择创建的服务器组的类型。
服务器类型
名称
输入服务器组的名称。
Group01
私有网络
选择服务器组所属的 VPC。服务器组和要关联到的 ALB 实例必须处于同一 VPC。
VPC02
调度算法
指定调度算法。调度算法决定了客户端请求如何在后端服务器之间分发。
加权轮询(WRR)
后端通信协议
指定 ALB 实例与后端服务器之间通信的协议。
HTTP
健康检查
健康检查功能默认开启。在服务器组关联到 ALB 实例后,ALB 按照指定规则对服务器组内的后端服务器发起健康检查请求,以监测后端服务器的健康状态。
开启
在服务器组列表中,找到刚刚创建的服务器组,然后单击 操作 列的 添加后端服务器。
在在 选择后端服务器 页面,勾选待添加的后端服务器 ECS02 和 ECS03,然后单击 下一步:配置端口和权重。
在 配置端口和权重 页面,设置后端服务器的端口为 80,权重为 100,然后单击 确定。
步骤三:配置监听器
以下内容以创建 HTTP 监听器为例进行说明。
在 实例管理页面,找到步骤一中创建的 ALB 实例,然后单击 操作 列的 配置监听器。
在 监听器 标签页,单击 添加监听器。
在 添加监听器 页面,参考下表配置相关参数,然后单击 下一步:默认后端服务器组。
参数
描述
参数取值
名称
输入监听器的名称。
HTTP-80
监听协议
设置监听协议。
HTTP
监听端口
设置监听端口。
80
在 默认后端服务器组 标签页,下拉选择步骤二中创建的服务器组,单击 下一步:确认配置。
确认监听器的配置信息无误后,单击 确定。
说明
在您创建监听器后,系统会生成一条默认的转发规则。
步骤四:创建终端节点服务
登录私网连接控制台。
在顶部导航栏,选择目标项目和地域。
在左侧导航栏,单击 终端节点服务。
在 终端节点服务 页面,单击 创建终端节点服务,参考下表配置相关参数。
参数
描述
参数取值
基本信息
地域
选择终端节点服务所属的地域。
华东2(上海)
名称
终端节点服务的名称无需手动填写。终端节点服务创建成功后,由系统以“com.volces.privatelink.<地域ID>.<终端节点服务ID>”的格式自动生成。
N/A
服务资源
类型
选择终端节点服务提供的服务资源的类型。
应用型负载均衡ALB
服务资源
勾选作为服务资源的 ALB 实例。您还需要为服务资源指定提供服务的可用区。指定的可用区必须在该 ALB 实例所在的可用区范围内。
ALB01,可用区A
高级选项
自动接受连接
选择该终端节点服务是否自动接受来自终端节点的连接。
- 是:表示系统默认自动接受所有终端节点与该终端节点服务建立的连接。
- 否:表示需要手动接受来自终端节点的连接。
说明
如果此处您选择否,后续需要手动接受来自终端节点的连接。具体操作,请参考接受终端节点连接。
是
单击 确定 按钮,完成操作。
查看创建成功的终端节点服务的名称并记录,以备后续步骤中使用。
步骤五:创建终端节点
在 终端节点 页面,单击 创建终端节点,参考下表配置相关参数。
参数
描述
参数取值
基本信息
地域
选择终端节点所属的地域。
华东2(上海)
名称
输入终端节点的名称。
endpoint01
类型
选择终端节点的类型。
待关联终端节点服务的资源类型是“应用型负载均衡ALB”时,终端节点类型必须指定为接口。接口
终端节点服务
添加方式
选择待关联终端节点服务的添加方式。支持通过服务名称添加和选择可用服务两种方式。
选择可用服务
终端节点服务
选择步骤四中创建的终端节点服务。
com.volces.privatelink.cn-shanghai.epsvc-2fe630gurkl37k5gfuy33****
网络配置
私有网络
选择该终端节点所属的 VPC。
VPC01
可用区及子网
勾选终端节点的可用区并选择相应的子网。列表中仅展示关联的终端节点服务所在的可用区。
系统会在您选择的子网中自动创建一张终端节点网卡。可用区 A,VPC01-Subnet-A,自动分配IPv4
安全组
选择需要与终端节点网卡关联的安全组。
Default
单击 确认订单,根据控制台指引查阅并确认相关协议。
单击 立即购买 按钮,查看是否创建成功。
查看创建成功的终端节点的域名并记录,以备后续步骤中使用。
步骤六:测试连通性
- 远程登录 VPC01 中的 ECS01 实例。本文示例中的 ECS01 实例已安装 Linux 操作系统。具体登录操作,请参考登录Linux实例。
- 执行
curl http://<终端节点的域名>:<监听端口>命令,测试网络连通性。
例如,终端节点的域名为ep-3qe9ayz306b5****.cn-shanghai.privatelink.volces.com,服务资源 ALB 实例的监听端口为 80,则执行curl http://ep-3qe9ayz306b5****.cn-shanghai.privatelink.volces.com:80命令。
返回结果显示后端服务器上配置的网站内容,表明网络连通正常。