私网连接 PrivateLink：通过PrivateLink跨VPC私网访问CLB

场景示例

本文以下图场景为例。某公司使用阿里云账号A在德国（法兰克福）地域创建了VPC1和VPC2，并且VPC2中的ECS2和ECS3实例部署了应用服务。现因业务发展，VPC1需要通过私网访问VPC2中的服务。

使用限制

• VPC2中的CLB服务资源必须是按量付费的私网CLB实例，只有按量付费的私网CLB实例才支持私网连接。

• 创建终端节点服务时，选择地域需要同时支持私网连接和CLB实例的地域。关于私网连接和CLB实例支持的地域，请参见私网连接支持的地域和CLB支持的地域信息。

• 终端节点和终端节点服务需要部署在一个可用区内，且该可用区必须是CLB实例部署的可用区。

前提条件

• 您已经在德国（法兰克福）地域创建了VPC1和VPC2，并且在VPC1和VPC2中分别创建了一个交换机。具体操作，请参见创建专有网络和交换机。

• 您已在VPC1中创建了ECS1实例，在VPC2中创建了ECS2和ECS3实例，ECS2和ECS3部署了不同的Nginx服务。关于如何创建ECS实例和部署Nginx服务，请参见自定义购买实例和手动部署LNMP环境（Alibaba Cloud Linux 2/3）。

• 您已经在VPC1创建了安全组。您可以根据自己的实际业务和安全要求配置安全组规则。

  建议配置的安全组规则如下：

  • 入方向开放SSH 22端口和RDP 3389端口，用于访问ECS实例。

  • 入方向开放HTTP 80端口和HTTPS 443端口，用于终端节点所在的VPC通过HTTP协议或者HTTPS协议访问终端节点服务所在的VPC。

  具体操作，请参见创建安全组。

  说明

  VPC2中使用的安全组是在创建ECS2和ECS3时，阿里云为您创建的默认安全组。

配置步骤

步骤一：创建支持私网连接功能的CLB实例

1. 登录传统型负载均衡CLB控制台。

2. 在实例管理页面，单击创建传统型负载均衡。

3. 在购买页面，根据以下信息配置CLB实例，然后单击立即购买完成支付。

   配置	说明
   SLB区域编号	选择实例的所属地域。 本文地域选择德国（法兰克福） 。 说明 确保实例的地域和后端添加的云服务器ECS（Elastic Compute Service）的地域相同。
   可用区类型	显示所选地域的可用区类型。系统默认显示多可用区。
   主可用区	选择实例的主可用区，主可用区是当前承载流量的可用区。本文选择法兰克福 可用区B。
   备可用区	选择实例的备可用区。备可用区默认不承载流量，主可用区不可用时才承载流量。 本文选择欧洲中部1 可用区A。
   实例名称	输入自定义实例名称。
   SLB实例	根据业务场景选择配置对外公开或对内私有的CLB实例，系统会根据您的选择分配公网或私网服务地址。 本文只支持选择私网。
   实例计费方式	选择实例的一种计费方式。包括以下两种计费方式： 按规格计费 按使用量计费 本文选择按规格计费。
   负载均衡规格	选择一个实例规格。不同的实例规格所提供的性能指标不同。本文选择简约型I（slb.s1.small）。
   网络类型	选择CLB实例的网络类型。 本文只支持选择专有网络。
   IP版本	选择CLB实例的IP版本。本文选择IPv4。
   功能特性	选择实例的功能特性。系统默认显示标准功能。
   VPC ID	选择已创建的VPC2。
   Vswitch ID	选择VPC2下已创建的交换机。
   公网计费方式	选择一种公网计费方式。公网CLB实例支持以下两种公网计费方式： 按使用流量计费 按固定带宽计费 本文系统默认显示按使用流量计费。 说明 公网实例会按使用流量计费，本文选择的私网实例不会产生流量费。
   资源组	选择实例所属的资源组。本文选择默认资源组。
   购买数量	选择实例的购买数量。本文选择1。

步骤二：配置CLB实例

创建CLB实例后，您需要至少添加一个监听和一组后端服务器才能实现流量转发。

1. 在实例管理页面，找到步骤一创建的CLB实例，在操作列单击监听配置向导。

2. 在协议&监听配置向导，根据以下信息配置监听规则，其他配置保持默认值，然后单击下一步。

   • 选择监听协议：本文选择TCP协议。

   • 监听端口：用来接收请求并向后端服务器进行请求转发的监听端口。

     本文设置为80。

3. 在后端服务器配置向导，选择默认服务器组，单击继续添加，添加后端服务器。

   1. 在我的服务器面板，选择已经创建的ECS2和ECS3实例，单击下一步。

   2. 配置权重，单击添加。

      权重越大转发的请求越多，默认为100，本文保持默认值。

   3. 在默认服务器组页签，配置后端协议端口，本文端口设置为80，然后单击下一步。

      ECS实例上开放的用来接收请求的后端端口，在同一个CLB实例内可重复。

4. 在健康检查配置向导，配置健康检查，本文使用默认值，然后单击下一步。

5. 在配置审核配置向导，检查配置信息，然后单击提交。

6. 单击知道了，返回实例管理页面。

   当后端ECS实例的健康检查状态为正常时，表示后端ECS实例可以正常处理CLB转发的请求了。

步骤三：创建终端节点服务

1. 登录终端节点服务控制台。

2. 在顶部菜单栏处，选择要创建终端节点服务的地域。本文选择德国（法兰克福）。

3. 在终端节点服务页面，单击创建终端节点服务。

4. 在创建终端节点服务页面，根据以下信息配置终端节点服务，然后单击确定创建。

   此处仅列举和本文强相关的配置。关于其余参数的配置，请参见创建终端节点服务。

   配置	说明
   服务资源类型	终端节点服务下的服务资源的类型。本文选择传统型负载均衡CLB。
   选择服务资源	选择要承载流量的可用区，然后选择与终端节点服务关联的CLB实例。 本文选择法兰克福 可用区B，然后选择步骤一创建的支持私网连接功能的CLB实例。
   自动接受终端节点连接	选择是否自动接受终端节点的连接请求。本文选择否。 是：终端节点服务将自动接受终端节点的连接请求，通过终端节点能够访问服务。 否：终端节点连接将处于已断开状态，等待服务使用方进行处理： 如果服务使用方接受该终端节点对应的终端节点服务连接，通过终端节点将能够访问服务。 如果服务使用方拒绝该终端节点对应的终端节点服务连接，通过终端节点无法访问服务。
   是否支持同可用区优先	本文选择是，表示连接服务的终端节点域名支持就近解析。
   资源组	选择终端节点服务所在资源组。

终端节点服务创建成功后，系统自动将服务所有者的账号ID添加到服务白名单中。

您可以在终端节点服务页面查看实例ID和实例名称。

步骤四：创建终端节点

1. 登录终端节点控制台。

2. 在顶部菜单栏处，选择要创建终端节点的地域。本文选择德国（法兰克福）。

3. 在终端节点页面，单击创建终端节点。

4. 在创建终端节点页面，根据以下信息配置终端节点，然后单击确定。

   此处仅列举和本文强相关的配置。关于其余参数的配置，请参见创建终端节点。

   配置	说明
   节点名称	输入自定义终端节点的名称。
   终端节点类型	终端节点选择的节点类型。本文选择接口终端节点。
   终端节点服务	选择步骤三中创建的终端节点服务。
   专有网络	选择需要创建终端节点的VPC。本文选择已创建的VPC1。
   安全组	选择要与终端节点网卡关联的安全组，安全组可以管控VPC到终端节点网卡的数据通信。 说明 确保安全组内的规则开放了客户端对终端节点网卡的访问。
   可用区与交换机	选择终端节点服务对应的可用区，然后选择该可用区内的交换机，系统会自动在该交换机下创建一个终端节点网卡。 本文选择法兰克福 可用区B，然后选择VPC1中创建的交换机。
   资源组	选择终端节点所在资源组。

步骤五：接受终端节点连接请求

1. 在左侧导航栏，单击终端节点服务。

2. 在顶部菜单栏处，选择终端节点服务的地域。本文选择德国（法兰克福）。

3. 在终端节点服务页面，找到步骤三创建的终端节点服务，单击终端节点服务的实例ID。

4. 在终端节点服务详情页面，单击终端节点连接页签，找到目标终端节点，在操作列单击允许。

5. 在允许连接对话框，勾选允许连接并自动分配服务资源，然后单击确定。

接受连接请求后，终端节点连接的状态由已断开变更为已连接，表示终端节点服务可以处理终端节点发送的请求了。

步骤六：通过终端节点访问服务

本文以下面内容为例，测试VPC1中的ECS1实例是否可以通过私网访问VPC2中部署的服务。

1. 登录VPC1中的ECS1实例，具体操作，请参见连接方式概述。

2. 在ECS1实例的终端使用终端节点可用区的域名或IP地址执行curl命令，测试连通性。

   本文选择输入步骤四创建终端节点后生成的终端节点可用区域名或IP。

   经测试，VPC1 ECS1实例可以通过私网访问VPC2中部署的服务。