基于VPCEP实现同区域跨VPC访问iDME服务

应用场景

一般情况下，不同VPC内的云资源互相隔离，不支持通过私网IP访问。通过VPC终端节点，您可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。

本节中的方案主要介绍如何通过VPCEP与iDME云服务建立内网连接，基于终端节点和终端节点服务，能够帮助用户快速实现同一区域不经过公网、跨虚拟私有云（VPC）访问iDME云服务。该方案具有以下优势：

• 创建简易，响应迅速，敏捷高效。
• 无需弹性公网IP，直连内网，使用方便灵活。
• 避免泄漏服务端相关信息所带来不可知的风险，安全私密。

例如：用户的服务器和iDME云服务均在“华北-北京四”，希望可以使用内网IP地址在ECS上访问iDME云服务，那么可以使用本方案。

方案架构

本方案中主要使用VPC终端节点来实现通过内网访问iDME云服务。VPC终端节点的含义如下：

VPC终端节点（VPC Endpoint），是能够将VPC私密地连接到终端节点服务（例如云服务、用户私有服务），使VPC中的云资源无需弹性IP就能够访问终端节点服务，提高了访问效率，为您提供更加灵活、安全的组网方式。

VPC终端节点由“终端节点服务”和“终端节点”两种资源实例组成。

• 终端节点服务（VPCEP Service），指将云服务或用户私有服务配置为VPC终端节点支持的服务，可以被终端节点连接和访问。
• 终端节点（VPCEP Client），用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。

如图1所示，仅支持终端节点到终端节点服务所在后端资源的单向访问。在本方案中，图中“Region”为“华北-北京四”区域，用户VPC和iDME云服务属于同区域，将待访问的iDME资源创建为终端节点服务，并在用户VPC中购买终端节点，实现用户VPC中的ECS通过私网IP访问iDME资源的目标。

图1 同区域跨VPC内网访问iDME云服务方案

资源准备

以在华为云准备表1中的资源为例。

实施步骤

1. 创建虚拟私有云VPC和子网。

   创建流程详细请参考创建虚拟私有云和子网。

2. 购买弹性云服务器。

   购买流程详细请参考购买弹性云服务器。

3. 购买“华北-北京四”区域的VPCEP。
   iDME提供VPCEP的代买服务，只需为数据建模引擎运行服务开启内网访问，便可实现自动创建VPCEP Service和VPCEP Client，并将最终租户添加到白名单。根据实际区分以下两种场景：

   • 新购数据建模引擎时开启内网访问，具体操控请参见开通数据建模引擎。
   • 已有数据建模引擎开启内网访问，具体操作请参见配置内网访问。

配置验证

配置完成后，可通过以下两种方式进行验证。

通过Ping方式验证

登录弹性云服务器，执行以下命令，测试ECS-Test和iDME内网服务的通信情况。

ping 内网IP地址

内网IP地址可在数据建模引擎运行服务详情页获取，详细请参见查看数据建模引擎运行服务详情信息。

经测试，如下图所示，ECS-Test可以正常访问应用运行态。

通过API方式验证

1. 获取API的路径参数信息。
   在数据建模引擎运行服务详情页，找到API请求URI部分中的内网IP地址和应用ID，拼接起来如下所示。

   http://{IP address}/rdm_{AppID}_app/services/getIndexUrl

   • IP address：为内网IP地址。
   • AppID：为应用ID。

2. 访问iDME的运行态服务。

   通过1中获取的API路径参数信息，在用户ECS上访问应用运行态，详细操作指导请参考《iDME API参考》。