配置跨VPC通信的终端节点（不同账号）

方案概述

VPC终端节点支持同一区域云资源的跨VPC通信。

一般情况下，不同VPC内的云资源互相隔离，不支持通过私网IP访问。通过VPC终端节点，您可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。

本章节主要介绍同区域“不同账号”的VPC的云资源如何实现跨VPC通信。

如下图所示，VPC1和VPC2分别属于账号A和账号B，将VPC2中待访问的后端资源ELB创建为终端节点服务，并在VPC1中购买终端节点，实现VPC1中的ECS通过私网IP访问VPC2中的ELB。

• 如上图所示，仅支持终端节点到终端节点服务所在后端资源的单向访问。
• 在购买终端节点前，您需要先将VPC1的授权账号ID添加到VPC2的终端节点服务的白名单中。
• 若两个VPC属于同一账号，请参考配置跨VPC通信的终端节点（同一账号）。

操作流程

准备工作

• 在开始操作前，请您先注册华为账号并完成实名认证，详细请参见注册华为账号并开通华为云和个人实名认证。
• 请您保证账户有足够的资金，以免购买资源失败，具体操作请参见账户充值。

VPC终端节点不支持通过华为云APP操作，请通过华为云官网使用VPC终端节点。

步骤一：创建终端节点服务

为实现跨VPC通信，您需要将VPC内的云资源（即后端资源）创建为终端节点服务，以便于同一区域其他VPC的终端节点通过私网IP访问该终端节点服务。

本节以“弹性负载均衡”作为后端资源为例，指导您创建终端节点服务。

1. 进入终端节点服务页面。
2. 在终端节点服务页签，单击“创建终端节点服务”。

   进入“创建终端节点服务”页面。

   图1 创建终端节点服务
   
3. 根据界面提示配置参数。

   表1 终端节点服务配置参数

   参数	示例	说明
   区域	华北-北京四	终端节点服务所在区域。 不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。
   名称	-	可选参数。 终端节点服务的名称。 长度不大于16，支持大小写字母、数字、下划线、中划线。 如果您不填写该参数，系统生成的终端节点服务的名称为{region}.{service_id}。 如果您填写该参数，系统生成的终端节点服务的名称为{region}.{Name}.{service_id}。
   网络类型	IPv4	终端节点服务的网络类型。 支持选择“IPv4”、“IPv6”。 IPv4：表示仅支持IPv4网络类型。 IPv6：表示仅支持IPv6网络类型。
   虚拟私有云	-	终端节点服务所属虚拟私有云。
   子网	-	终端节点服务所属子网。 当“网络类型”选择“IPv6”时需要配置该参数。
   服务类型	接口	终端节点服务的类型，此处仅支持设置为“接口”类型。
   连接审批	-	连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。 可选择开启或关闭连接审批。 若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批，详细操作请查看连接审批。
   端口映射	80	终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP或UDP。 服务端口：终端节点服务绑定的后端资源，提供服务的端口。 终端端口：终端节点提供给用户，访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 如果您在配置完成后需要通过SSH命令验证连通性，根据SSH协议，此处需要将服务端口设置为22。
   后端资源类型	弹性负载均衡	实际提供服务的后端资源。 可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。 裸金属服务器：作为服务器使用。裸金属服务器类型即将废弃，请优先使用弹性负载均衡类型。 此处选择“弹性负载均衡”。 说明： 终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/17的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 如果终端节点服务配置的后端资源为弹性负载均衡，且弹性负载均衡开通了访问控制策略，也需要放通198.19.128.0/17。
   选择负载均衡	-	“后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡。 说明： 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。
   企业项目	default	企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。
   标签	example_key1 example_value1	请您按需为终端节点服务绑定标签，标签可用来分类和标识资源。 终端节点服务创建完成后支持修改该参数。
   描述	-	终端节点服务描述内容。

   表2 终端节点服务标签命名规则

   参数	规则
   键	不能为空。 对于同一资源键值唯一。 长度不超过128个字符。 取值可以包含任意语种字母、数字、空格和_ . : = + - @，且首尾不能含有空格，不能以_sys_开头。
   值	可以为空。 长度不超过255个字符。 取值可以包含任意语种字母、数字、空格和_ . : / = + - @，且首尾不能含有空格。

4. 返回终端节点服务列表可查看创建的终端节点服务。
5. 单击终端节点服务的“名称”，即可查看终端节点服务的详细信息。

   

步骤二：添加白名单

终端节点服务的权限管理用于控制是否允许跨账号的终端节点连接终端节点服务，通过设置终端节点服务的白名单实现。

在终端节点服务创建完成后，可以通过权限管理设置允许连接该终端节点服务的授权账号ID，支持添加或者移除白名单中的授权账号ID。

本节指导您获取账号ID，并添加账号ID到终端节点服务的白名单中。

1. 获取被授权的账号ID
   1. 登录管理控制台。
   2. 单击账号下的“我的凭证”。

      

      进入“我的凭证”页面，即可查看到VPC1所属租户的“账号ID”，如图2所示。

      图2 账号ID
      
2. 添加被授权的账号ID至终端节点服务的白名单中
   1. 在“终端节点服务”页面，单击需要添加白名单的终端节点服务名称。
   2. 在该终端节点服务的“权限管理”页签，单击“添加白名单记录”。
      图3 添加白名单记录
      
   3. 根据提示配置参数，输入授权用户的账号ID，添加白名单并单击“确定”。

      

      

      • 本账号默认在自身账号的终端节点服务的白名单中。
      • “domain_id”表示授权用户的账号ID，例如“1564ec50ef2a47c791ea5536353ed4b9”。
      • 添加“*”到白名单，表示所有用户可访问。

步骤三：购买终端节点

在VPC2中完成终端节点服务的创建，并设置允许连接该终端节点服务的白名单之后，您可以在VPC1中购买连接终端节点服务的终端节点。

终端节点需要选择与终端节点服务相同的区域和项目。

1. 进入终端节点列表页。
2. 在“终端节点”列表页，单击“购买终端节点”。

   进入“购买终端节点”页面。

   

3. 根据界面提示配置参数。

   表3 终端节点配置参数

   参数	示例	说明
   区域	华北-北京四	终端节点所在区域，与终端节点服务所在区域保持一致。
   计费方式	按需计费	按需计费是后付费模式，按终端节点的实际使用时长计费，可以随时开通/删除终端节点。 仅支持按需计费。
   服务类别	按名称查找服务	可选择“云服务”或“按名称查找服务”。 云服务：当您要连接的终端节点服务为云服务时，需要选择“云服务”。 按名称查找服务：当您要连接的终端节点服务为用户私有服务时，需要选择“按名称查找服务”。 此处选择“按名称查找服务”。
   服务名称	-	若“服务类别”选择“按名称查找服务”，则会出现该参数。 输入查看终端节点服务详情中记录的终端节点服务名称，单击“验证”： 若显示“已找到服务”，继续后续操作。 若显示“未找到服务”，请检查“区域”是否和终端节点服务所在区域一致或输入的“服务名称”是否正确。
   创建内网域名	-	如果您想要以域名的方式访问终端节点，则选择“创建内网域名”，终端节点创建完成后，即可通过内网域名直接访问终端节点。 关联终端节点服务类型为“接口”时需要在页面设置此选项。
   终端节点类型	接口	根据选择关联的终端节点服务的类型展示。 选择关联接口型终端节点服务时，默认展示“接口终端节点”。 选择关联网关型终端节点服务时，默认展示“网关终端节点”。
   实例类型	专业型	选择关联接口型终端节点服务时，需要配置该参数。 默认选择“专业型”。 专业型终端节点是新上线终端节点实例类型，目前已在华东二、中东-利雅得、华东-青岛、非洲-开罗区域开放。单实例带宽规格最大支持10Gbps、支持IPv6双栈等功能。
   网络类型	IPv4	选择关联接口型终端节点服务且开启高级模式时，需要配置该参数。 支持选择“IPv4”、“双栈”。 IPv4：表示仅支持IPv4网络类型。 双栈：表示同时支持IPv4和IPv6网络类型。
   虚拟私有云	-	选择终端节点所属的虚拟私有云。
   子网	-	当创建连接“接口”类型终端节点服务的终端节点时，则会出现该参数。 选择终端节点所属的子网。
   IPv4地址	-	当创建连接“接口”类型终端节点服务的终端节点时，则会出现该参数。 终端节点的IPv4地址。 可选择“自动分配”或“手动分配”。
   IPv6地址	-	实例类型选择“专业型”，同时网络类型选择“双栈”，需要配置该参数。 支持自动分配IPv6地址或手动指定IP地址。
   访问控制	开启	当创建连接“接口”类型终端节点服务的终端节点时，则会出现该参数。 用于设置允许访问终端节点的IP地址或网段。 开启：只允许白名单列表中的IP地址或网段访问终端节点。 关闭：允许任何IP地址或网段访问终端节点。
   白名单	-	当创建连接“接口”类型终端节点服务的终端节点时，则会出现该参数。 用于设置允许访问的IP地址或网段，最多支持添加20个记录。
   策略	-	终端节点策略。 终端节点策略是一种基于资源的策略，您可以附加到VPC终端节点，以控制哪些主体可以使用该终端节点访问终端节点服务。
   企业项目	default	企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。
   标签	example_key1 example_value1	您按需为终端节点绑定标签，标签可用来分类和标识资源。 终端节点购买完成后支持修改该参数。
   描述	-	终端节点描述内容。

   表4 终端节点标签命名规则

   参数	规则
   键	不能为空。 对于同一资源键值唯一。 长度不超过128个字符。 取值可以包含任意语种字母、数字、空格和_ . : = + - @，且首尾不能含有空格，不能以_sys_开头。
   值	可以为空。 长度不超过255个字符。 取值可以包含任意语种字母、数字、空格和_ . : / = + - @，且首尾不能含有空格。

4. 连接管理。
   如果终端节点状态为“已接受”，表示终端节点已成功连接至终端节点服务；如果终端节点状态为“待接受”，表示要连接的终端节点服务开启了“连接审批”功能，需要先进行审批，操作如下：

   1. 单击对应的终端节点服务名称，进入终端节点服务详情页面。
   2. 在终端节点服务详情页面，单击“连接管理”
      • 如果同意终端节点的连接，在连接管理页面的“操作”栏下，单击“接受”。
      • 如果不同意终端节点的连接，在连接管理页面的“操作”栏下，单击“拒绝”。
   3. 再返回终端节点列表查看终端节点状态变为“已接受”，表示终端节点已成功连接至终端节点服务。
5. 单击终端节点ID，即可查看终端节点的详细信息。

   终端节点创建成功后，会生成一个“节点IP”（就是私有IP）和“内网域名”（如果在创建终端节点时您勾选了“创建内网域名”）。

   

   您可以使用节点IP或内网域名访问终端节点服务，进行跨VPC资源通信。