使用IP组功能在跨地域VPC挂载后端服务器
更新时间:2025-03-31
场景介绍
IP组是应用型BLB的一种后端服务器组类型,指的是使用固定的IP挂载后端服务器。在一些情况下,使用 IP 组跨 VPC 挂载后端服务器可以提供更灵活、安全和可管理的网络架构,适用于复杂的多 VPC 环境和多租户应用场景。 本文档将通过具体的实施案例引领您使用IP组功能,使用对等连接打通跨地域下的两个独立VPC环境。
前提
- 当前仅支持通过对等连接打通的跨地域VPC环境。
- 三个以上VPC通过对等连接互访场景需要提工单支持多个VPC中继路由开放功能。
环境准备
- 两个已规划子网的VPC,一个在北京,一个在广州
- 已购买的BLB
- 已部署完毕的跨其他VPC内后端服务器
- 已经购买并部署完成的对等连接
假设已部署的环境为如下IP:
| 资源类型 | 所处VPC | IP |
|---|---|---|
| 北京VPC | VPC1 | bj_vpc_192(192.168.0.0/16) |
| 广州VPC | VPC2 | gz_vpc_10(10.0.0.0/16) |
| 北京应用型负载均衡实例 | VPC1 | 192.168.0.8 |
| 云服务器1(广州后端服务器1) | VPC2 | 10.100.100.5 |
| 云服务器2(广州后端服务器2) | VPC2 | 10.100.200.4 |
负载均衡实例和虚机
- 负载均衡lb信息
- 广州后端服务器虚机信息
*在此场景中后端服务器需要选择普四(g4)及以上虚机实例
对等连接准备
- 北京端对等连接:
- 广州端对等连接:
挂载后端服务器到负载均衡后端
- 在负载均衡下创建IP组类型的目标组
- 注:各类型所代表的含义如下。
| 类型 | 使用场景 |
|---|---|
| 同地域-同VPC: | IP组内添加的IP地址与BLB属于同一个VPC。例如,可以挂载同VPC内的BCC或BBC服务器 |
| 同地域-跨VPC: | IP组内添加的IP地址与BLB属于不同的VPC,两个VPC之间能过对等连接等方式互联。例如,可以挂载跨VPC内的BCC或BBC服务器 |
| 跨地域: | IP组内添加的IP地址与BLB属于不同的地域,两个VPC之间能过对等连接等方式互联,且IP地址是BCC或BBC类型的计算类型服务器 |
| 混合云: | IP组内添加的IP地址与BLB属于同一地域或者不同的地域,例如,可以挂载线下IDC内的服务器,或云上跨地域的服务器IP地址、跨地域有IP地址的网元、跨云可访问的IP地址等 |
| IP自定义: | 若选择IP自定义类型,则IP组内的IP成员可以分别配置以上各目标类型 |
- 挂载10.100.100.5和10.100.200.4作为IP组成员,目标类型为跨地域,并新增开放协议。
- 在负载均衡中创建对应的TCP或UDP监听,并挂载上一步创建的IP组。
使用对等连接打通VPC1和VPC2环境并配置路由
更多关于对等连接的使用说明请见:对等连接说明文档 创建好对应的对等连接后,我们还需要进行如下配置:
1.VPC中继路由功能
BLB所在VPC1需要开启中继路由功能。
2.BLB所在VPC1路由配置
需在BLB所在VPC1的路由配置加上自定义路由: 100.64.0.0/10->X.X.X.X/32(后端服务器IP地址,或者网段)。
在此示例中,我们配置100.64.0.0/10->10.100.100.5/32 和100.64.0.0/10->10.100.200.4/32, 路由指向对等连接端,打通健康检查路由连通性。
3.后端服务器所在VPC2路由配置
后端服务器所在VPC2内的,后端服务器所使用的路由表添加源网段为VPC2地址10.100.100.0/24和10.100.200.0/24(后端服务器所在地址段),目标网段为负载均衡保留段(100.64.0.0/10), 路由指向对等连接端。
备注:若VPC2不仅与VPC1通过对等连接实现互通,还与位于其他地域的VPC(例如VPC3)建立了连接,并且同时作为这两个不同地域负载均衡(BLB)的后端服务器,那么在配置目标负载均衡地址网段时,需要更精细的路由策略。如有此需求,可以通过提交工单来获取相应的支持。
测试连通性
在VPC1内使用客户端访问负载均衡IP 192.168.0.8:80
跨地域跨vpc数据流可通。
如何获取客户端源IP(CIP)
- TCP/UDP类监听在同地域-同VPC、同地域-跨VPC和跨地域场景下获取CIP直接看报文头即可。
- 混合云类型跨地域TCP/UDP类监听获取CIP,如BLB挂挂载线下IDC内的服务器,或云上跨地域的服务器IP地址、跨地域有IP地址的网元、跨云可访问的IP地址等场景,客户端IP地址因多次NAT转换默认不可见。如有此需求,可以通过提交工单来获取相应的支持。
- 目前TCP/UDP/TCPSSL类监听支持 ProxyProtocol 协议,用户可在BLB上启用该选项,同时在后端服务器上解析 ProxyProtocol 标准协议的方式,来获取 CIP。
- HTTP/HTTPS类型的监听,目前暂不支持 CIP 透传,用户可开启『获取真实IP X-Forwarded-For方式获取客户端真实IP』选项,在后端服务器上通过解析 HTTP header 头来获取 CIP。
注意事项
- 在使用专线等回源的过程中,确保两端的VPC路由中继不会产生环路。
- 路由规则和负载均衡器配置需要遵循客户实际环境网段进行配置,确保可通。
- 各BLB以及后端服务器上的安全组和ACL需要正确配置,避免不必要的拦截丢包,导致访问不通。