私网连接(PrivateLink)的终端节点服务支持将应用型负载均衡ALB(Application Load Balancer)作为服务资源。本文指导您使用私网连接(PrivateLink)服务将一个专有网络VPC(Virtual Private Cloud)内部署的ALB共享给同账号下的另外一个VPC访问。

背景信息

ALB是支持多可用区的服务资源,且拥有超强的业务处理性能,同时提供基于内容的高级路由特性等优势。使用ALB作为终端节点服务的服务资源时,可以配置一个为多个可用区提供服务的ALB服务资源,不需要为每个可用区配置单独的ALB服务资源。

本文以下图场景为例。某公司使用阿里云账号A在华东1(杭州)地域创建了VPC1和VPC2,在VPC1中创建了ECS01和ECS02实例,在VPC2中创建了ECS03和ECS04实例并部署了不同的Nginx服务。现因业务发展,VPC1的ECS实例需要通过私网访问VPC2中ECS部署的服务。

您需要在VPC2中创建支持私网连接的ALB实例,该实例包含华东1(杭州)地域的可用区H和可用区I,然后创建后端服务器组RS1,将ECS03实例和ECS04实例添加到ALB的后端服务器组。创建终端节点服务,将ALB实例添加为服务资源。在VPC1中创建终端节点,创建成功后,终端节点与终端节点服务建立连接且状态正常时,VPC1的ECS实例即可私网访问VPC2中ECS部署的服务。

123

使用限制

  • 创建支持私网连接功能的ALB实例时,只支持创建IP模式为固定IP的私网ALB实例。
  • 创建终端节点服务时,选择地域需要同时支持私网连接和ALB实例的地域。关于私网连接和ALB实例支持的地域,请参见私网连接支持的地域支持的地域与可用区
  • 终端节点和终端节点服务需要部署在一个可用区内,且该可用区必须是ALB实例部署的可用区。

前提条件

  • 您已经在华东1(杭州)地域创建了VPC1和VPC2,并且在VPC1中创建了一个位于可用区H和可用区I的交换机,在VPC2中创建了一个位于可用区H和可用区I的交换机。具体操作,请参见创建专有网络和交换机
  • 您已经在VPC1中创建了位于可用区H的ECS01和位于可用区I的ECS02,用于发送请求。在VPC2中创建了位于可用区H的ECS03和位于可用区I的ECS04,用于接收和处理请求,且ECS03和ECS04部署了不同的Nginx服务。关于如何创建ECS实例和部署Nginx服务,请参见使用向导创建实例手动部署LNMP环境(Alibaba Cloud Linux 2)
  • 您已经在VPC1创建了安全组。您可以根据自己的实际业务和安全要求配置安全组规则。建议配置的安全组规则如下:
    • 默认开放ICMP协议,用于Ping ECS服务器等操作。
    • 默认入方向开放SSH 22端口和RDP 3389端口,用于访问ECS实例。
    • 可选入方向开放HTTP 80端口和HTTPS 443端口,用于VPC1通过HTTP协议或者HTTPS协议访问VPC2。
    具体操作,请参见创建安全组
    说明 VPC2中使用的安全组是在创建ECS03和ECS04时,阿里云为您创建的默认安全组。
本文中的2个VPC网络规划如下表所示,在您规划网络时,选择的VPC1和VPC2的网段可以重叠且互不影响。
属性 VPC1 VPC2
网络实例所属的地域 华东1(杭州) 华东1(杭州)
网络实例的网段规划
  • VPC网段:10.0.0.0/8
  • 交换机1网段:10.0.10.0/24
  • 交换机2网段:10.10.0.0/24
  • VPC网段:192.168.0.0/16
  • 交换机1网段:192.168.3.0/24
  • 交换机2网段:192.168.5.0/24
网络实例交换机的可用区
  • 交换机1位于可用区H
  • 交换机2位于可用区I
  • 交换机1位于可用区H
  • 交换机2位于可用区I
服务器IP地址
  • 可用区H下的ECS01 IP:10.0.10.3
  • 可用区I下的ECS02 IP:10.0.0.27
  • 可用区H下的ECS03 IP:192.168.3.190
  • 可用区I下的ECS04 IP:192.168.5.20

配置流程

配置流程

步骤一:创建支持私网连接功能的ALB实例

  1. 登录应用型负载均衡ALB控制台
  2. 实例页面,单击创建应用型负载均衡
  3. 应用型负载均衡(按量付费)购买页面,根据以下信息配置支持私网连接的ALB实例,然后单击立即购买
    配置 说明
    地域 选择实例所属的地域。本文选择华东1(杭州)
    实例网络类型 选择实例的网络类型。本文只支持选择私网
    VPC 选择实例所属的VPC。本文选择VPC2。
    可用区 实例所在的可用区,需要选择至少2个可用区。本文选择杭州 可用区H以及可用区H下的交换机、杭州 可用区I以及可用区I下的交换机。
    IP模式 选择实例的IP地址模式。本文只支持选择固定IP
    协议版本 选择实例的协议版本。
    • IPv4:表示ALB实例仅支持客户端使用IPv4地址访问。
    • 双栈:表示ALB实例支持客户端同时使用IPv4和IPv6地址访问。
    说明
    • 双栈功能默认不开放,如需使用,请登录配额中心控制台,在权益配额列表页面,输入配额ID为slb_user_visible_gray_label/support_ipv6,然后进行申请。更多信息,请参见管理ALB配额
    • 双栈支持的地域,请参见ALB实例概述
    • 使用双栈功能,需要开通VPC可用区中交换机的IPv6功能。
    • 双栈ALB实例支持将IPv4和IPv6的客户端流量转发至IPv4、IPv6的后端服务。
      • 双栈ALB实例将IPv6的客户端流量转发至IPv4的后端服务,后端服务支持服务器类型(ECS、ENI、ECI)、IP类型,不支持函数计算类型。
      • 双栈ALB实例将IPv6的客户端流量转发至IPv6的后端服务时,后端服务支持服务器类型(ECS、ENI、ECI),不支持IP类型、函数计算类型。
    • ALB双栈实例的监听不支持开启访问控制。
    • 不支持已有的IPv4实例升级为双栈实例,仅支持新建双栈实例。
    功能版本(实例费) 选择实例的功能版本。本文选择基础版
    实例名称 自定义实例名称。
    资源组 选择ALB所属的资源组。本文选择默认资源组

步骤二:创建ALB的后端服务器组

  1. 在左侧导航栏,选择应用型负载均衡ALB > 服务器组
  2. 服务器组页面,单击创建服务器组
  3. 创建服务器组对话框,根据以下信息配置相关参数,然后单击创建
    配置 说明
    服务器组类型 选择服务器组的类型。本文选择服务器类型
    服务器组名称 自定义服务器组的名称。本文输入RS1
    VPC 选择后端服务器组所属的VPC。本文选择VPC2。
    选择后端协议 选择一种后端类型。本文选择HTTP
    选择调度算法 选择一种调度算法。本文选择加权轮询
    选择资源组 选择云资源所属的资源组。
    开启会话保持 是否开启会话保持。本文保持默认配置,即关闭会话保持。
    配置健康检查 开启或关闭健康检查。本文保持默认配置,既开启健康检查。
    高级配置 开启健康检查后,您可以单击高级配置修改展开更多配置信息。本文高级配置保持默认配置。
  4. 创建完成后,找到目标后端服务器组RS1,单击目标服务器组ID。
  5. 单击后端服务器页签,然后单击添加后端服务器
  6. 添加后端服务器面板,选择已创建的ECS03实例和ECS04实例,单击下一步
  7. 设置已添加的ECS03实例和ECS04实例的端口和权重,本文端口设置为80,权重保持默认值100,单击确定

步骤三:配置监听

  1. 在左侧导航栏,选择应用型负载均衡ALB > 实例
  2. 实例页面,找到目标ALB实例,在操作列单击创建监听
  3. 配置监听配置向导,完成以下配置,然后单击下一步
    配置 说明
    选择负载均衡协议 选择监听的协议类型。本文选择HTTP
    监听端口 用来接收和处理请求的监听端口。本文输入80
    监听名称 输入自定义监听的名称。
    高级配置 单击修改进行配置。本文保持默认值。
  4. 选择服务器组配置向导,选择步骤二中创建的后端服务器组RS1,然后单击下一步
  5. 配置审核配置向导,确认监听配置信息,然后单击提交
  6. 负载均衡业务配置向导对话框,单击知道了,然后返回实例管理页面。
    当监听的健康检查状态为 正常时,表示后端服务器ECS03和ECS04可以正常处理 ALB实例转发的请求了。 ALB

步骤四:创建终端节点服务

  1. 登录终端节点服务控制台
  2. 在顶部菜单栏,选择要创建终端节点服务的地域。本文选择华东1(杭州)
  3. 终端节点服务页面,单击创建终端节点服务
  4. 创建终端节点服务页面,根据以下信息配置终端节点服务,然后单击确定创建
    参数 描述
    服务资源类型 终端节点服务下的服务资源的类型。本文选择应用负载均衡ALB
    选择服务资源 选择服务资源的可用区及可用区下的服务资源。

    本文可用区选择Hangzhou Zone H,然后单击+添加另一可用区资源选择可用区Hangzhou Zone I。可用区H和可用区I的服务资源选择步骤一中创建的支持私网连接的ALB实例。
    自动接受终端节点连接 选择是否自动接受终端节点的连接请求。本文选择
    是否支持同可用区优先 本文选择,表示连接服务的终端节点域名不支持就近解析。
    描述 输入终端节点服务的描述信息。
    创建完终端节点服务后,您可以看到一个 服务资源类型ALB的终端节点服务。 终端节点服务

步骤五:创建终端节点

  1. 登录终端节点控制台
  2. 在顶部菜单栏,选择要创建终端节点的地域。本文选择华东1(杭州)
  3. 终端节点页面,单击接口终端节点页签,然后单击创建终端节点
  4. 创建终端节点页面,根据以下信息配置终端节点,然后单击确定创建
    参数 描述
    节点名称 自定义终端节点的名称。
    终端节点类型 终端节点选择的节点类型。本文选择接口终端节点
    终端节点服务 您可以通过以下两种方式设置终端节点服务:
    • 单击通过服务名称添加,然后输入终端节点服务的名称。
    • 单击选择可用服务,然后选择目标终端节点服务ID。

    本文先选择选择可用服务,然后选择步骤四创建的终端节点服务。
    专有网络 选择终端节点所属的专有网络。本文选择VPC1。
    安全组 选择要与终端节点网卡关联的安全组。安全组可以管控VPC1到终端节点网卡的数据通信。
    说明 确保安全组内的规则开放了客户端对终端节点网卡的访问。
    可用区与交换机 选择终端节点服务对应的可用区,然后选择该可用区内的交换机,系统会自动在该交换机下创建一个终端节点网卡。

    本文可用区选择Hangzhou Zone H并选择可用区H内的交换机,然后单击+添加交换机选择可用区Hangzhou Zone I并选择可用区I内的交换机。
    描述 输入终端节点的描述信息。
    创建完终端节点后,您可以看到生成的终端节点可用区的域名和IP。如下图所示: 可用区域名

步骤六:接受连接请求

终端节点发送连接请求后,终端节点服务需要接受终端节点的连接请求。接受后,VPC1才能通过终端节点访问终端节点服务。
说明 如果您在 步骤四创建终端节点服务时设置自动接受连接请求,请忽略此步骤。
  1. 在左侧导航栏,单击终端节点服务
  2. 在顶部菜单栏处,选择终端节点服务的地域。本文选择华东1(杭州)
  3. 终端节点服务页面,找到步骤四创建的终端节点服务,单击终端节点服务的实例ID。
  4. 在终端节点服务详情页面,单击终端节点连接页签,找到目标终端节点,在操作列单击允许
  5. 允许连接对话框,勾选允许连接并自动分配服务资源,然后单击确定
接受终端节点连接的连接请求后,终端节点连接的状态由 已断开变为 已连接,表示终端节点服务可以处理终端节点发送的请求了。您可以通过 步骤五生成的终端节点可用区的域名或者IP访问终端节点服务。 接受终端节点连接

步骤七:测试连通性

完成上述操作后,VPC1和VPC2之间已经可以实现私网通信,以下内容为您展示如何测试VPC1与VPC2之间的连通性。
说明 本文中VPC1的ECS01实例和ECS02实例安装了Windows Server 2012操作系统,VPC2中的ECS03和ECS04实例安装了Alibaba Cloud Linux操作系统,如果您使用的是其他操作系统,如何测试VPC1和VPC2之间的连通性请参见您的操作系统手册。
  • 测试VPC1中的ECS01实例是否可以访问VPC2中部署在ECS03中的服务。
    1. 远程登录VPC1中的ECS01。具体操作,请参见ECS远程连接操作指南
    2. 打开ECS01的浏览器。
    3. 在浏览器中输入步骤五中创建终端节点后生成的终端节点可用区H的域名或者IP。

      本文选择输入创建终端节点时生成的终端节点可用区H域名的方式进行验证。验证结果如下图所示:

      可用区H验证结果

      经测试,VPC1中的ECS01实例可以通过私网访问VPC2中部署在ECS03中的服务。

  • 测试VPC1中的ECS02实例是否可以访问VPC2中部署在ECS04中的服务。
    1. 远程登录VPC1中的ECS02。
    2. 打开ECS02的浏览器。
    3. 在浏览器中输入步骤五中创建终端节点后生成的终端节点可用区I的域名或者IP。

      本文选择创建终端节点时生成的终端节点可用区I域名的方式进行验证。验证结果如下图所示:

      可用区I的验证结果

      经测试,VPC1中的ECS02实例可以通过私网访问VPC2中部署在ECS04中的服务。

相关文档