问题

现在有两个不同的aws云账号，而且，这两个不同云账号，其中一个拥有Redis服务（elasticache）。现在需要通过另外一个账号的vpc内网访问另外一个账号的内网的redis服务。

解决

AWS PrivateLink方式。这样就可以通过走aws内网的方式访问Redis服务。

一图胜千言

步骤

这里假设B账号中的ElastiCache（Redis）服务已经在正常运行了。

B账户

需要在服务提供方创建端点服务，创建端点服务，需要有负载均衡器的支持，所有还是需要先创建NLB，NLB又需要有目标组先让Redis节点能正常注册到目标组上面。

创建目标组

目标组注册服务节点

这里注册redis服务节点，主要在于怎么去找redis服务的IP。打开EC2控制台，点击左侧网络接口，复制那些ip地址设置到上面的目标组中注册即可，只要不把ElasticCache给删了，这些IP几乎不会变化的。如下图：

注册目标组，如下图：

创建目标组即可。

准备NLB的安全组

为即将创建的NLB创建一个安全组，这个安全组包含1个入站规则，出站规则默认即可。入站规则如下：

• 6379端口，放开对调用方的vpc ip段限制。

创建NLB

选择好NLB类型后，设置好之前创建的安全组和目标组，创建负载均衡器即可，如下图设置：

注意这里监听的端口仍旧是6379端口。

创建端点服务

创建完成NLB之后，就可以创建端点服务，暴露Redis服务了。找VPC控制台，点击左侧端点服务，开始创建，如下图：


这里选择之前创建NLB作为这个端点服务的负载均衡器，最后点击创建即可。

设置断点服务白名单

端点服务创建完成后，在其详情页面设允许委托人设置为A账户，如下图：

到此B账户的端点服务配置就基本完成了，接下来转到A账户进行端点创建。允许委托人，格式如下：

arn:aws-cn:iam::{账户id}:root

A账户

创建端点安全组

为端点访问创建一个安全组，这个安全组主要包含1个入站规则，默认出站规则。入站规则如下：

• 6379端口，放开对自己内网的IP段的限制。

创建端点

配置端点服务，并创建，如下图：

B账号批准

现在切换B账号，在端点服务通知页面中批准即可。如下图位置：

在B账号批准后，切换A账号查看端点状态，等待一段时间状态正常后，复制第一个DNS，接来在A账号中创建一台EC2，然后，在里面尝试访问Redis即可。DNS复制位置如下：

测试

等到到A账号的EC2上面尝试访问redis，如下图：

总结

这就是使用AWS PrivateLink方式跨账号访问Redis服务。到此为止就结束了。AWS PrivateLink这个功能挺好，这样就把不同vpc，不同账号的服务都可以连在一个内网使用了。

参考

• The BEST Way To Access ElastiCache Redis From Multiple AWS Accounts Using VPC Endpoint
• ElastiCache API 和接口 VPC 终端节点 (AWS PrivateLink)