本文介紹網絡訪問的類型劃分及設置方法,旨在指導您安全且高效地設置網絡環境。
網絡訪問類型
StarRocks支持阿里云VPC內網訪問和公網訪問方式。
阿里云內網VPC訪問:您可以在阿里云StarRocks實例所在網絡VPC內或者其它VPC訪問和使用StarRocks實例。
公網訪問:您可以通過公網訪問和使用StarRocks實例。此時,阿里云VPC內仍然可以訪問StarRocks實例。
重要StarRocks公網訪問使用阿里云CLB功能,由此產生的網絡費用按照CLB計費概述進行收費。
如果StarRocks實例開啟了公網訪問,則會自動在您的阿里云賬戶下創建一系列的CLB實例,這些CLB實例開啟了刪除保護功能,不能隨意刪除。
默認情況下,如果StarRocks實例開啟了公網訪問,則所有公網IP地址都可以訪問StarRocks實例。您可以通過訪問控制策略白名單對StarRocks實例進行安全限制。
網絡類型設置
新創建的StarRocks實例默認使用內網域名,如果您有公網訪問需求,您可以在目標實例的實例詳情頁面開啟相應節點的公網訪問。
FE節點:在實例詳情頁面的FE詳情區域,單擊開啟公網。
BE節點:在計算組頁面,單擊操作列的管理,然后單擊開啟公網。
網絡域名類型
網絡域名分為以下兩類:
內網域名(支持當前VPC內訪問,可跨vSwitch)
FE內網訪問域名格式為:
fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}說明當外部客戶端訪問SLB時,實際上是通過SLB的域名間接訪問服務實例,而不是直接訪問。這是因為SLB會在其內部進行請求分發,以實現不同服務實例之間的負載均衡。
BE內網訪問域名格式為:
be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}
公網域名
FE公網訪問域名格式為:
fe-{srClusterId}.starrocks.aliyuncs.com:{port}BE公網訪問域名格式為:
be-{srClusterId}.starrocks.aliyuncs.com:{port}
{srClusterId}:StarRocks實例ID。{port}:服務端口號。FE的查詢端口和HTTP端口分別為9030、8030;BE的HTTP端口為8040。
網絡安全設置
您可以通過設置網絡安全白名單來限制StarRocks實例訪問,以保證您的服務數據安全。網絡安全設置包含VPC內網訪問安全組白名單和公網訪問控制策略白名單兩部分。
公網訪問控制策略白名單
在目標實例的實例詳情頁面的FE詳情和BE詳情區域,單擊公網地址后面的開啟公網。
單擊公網地址后面的公網白名單。
在CLB的訪問控制頁面,單擊添加條目,添加相應的訪問限制規則。
具體操作信息,請參見添加IP條目。
VPC內網訪問安全組白名單
2024年10月24日之后創建的實例:
在目標實例的實例詳情頁面,單擊安全組ID后面的內網白名單。
在彈出的在內網白名單配置面板中,修改默認的白名單分組,或者單擊新增白名單分組,填寫名稱以及IP地址或IP段。
單擊確定。
2024年10月24日之前創建的實例:請前往傳統型負載均衡CLB控制臺,查找StarRocks實例所依賴的CLB實例,并進行相應的訪問控制配置。具體操作,請參見訪問控制。