如果您需要通過公網或私網訪問Elasticsearch Serverless(簡稱ES Serverless)服務的應用或應用的Kibana,需要開啟并配置Serverless應用及Kibana的公網或私網訪問。開啟公網訪問需要設置訪問白名單,開啟私網訪問需要為應用關聯終端節點并配置訪問白名單。
背景信息
公網訪問通過公共互聯網訪問Serverless應用,訪問方式便捷,但可能存在網絡安全性較差、網絡不穩定的現象。
私網訪問通過阿里云私網連接(PrivateLink)建立您的專有網絡VPC與Serverless應用的私有連接,可以避免公網訪問帶來的潛在安全風險。關于PrivateLink的更多信息,請參見什么是私網連接。
開啟應用私網訪問時,需要創建并關聯至少一個Serverless托管的終端節點,以實現VPC和ES Serverless服務的私網連接。
一個Serverless托管終端節點可以被多個應用關聯。
您僅能在Serverless終端節點管理界面進行修改及刪除操作,不支持在Privatelink控制臺進行修改或刪除等操作。
由ES Serverless托管創建的privatelink終端節點所產生的實例及流量費用,由阿里云ES作為服務提供方承擔,用戶無需付費。
操作步驟
配置公網訪問應用
- 登錄阿里云Elasticsearch控制臺。
在左側導航欄,單擊Elasticsearch Serverless版本。
說明如果您所在的地域沒有Elasticsearch Serverless服務,請在頂部菜單欄切換地域。
在Elasticsearch Serverless服務控制臺的左側導航欄,單擊應用管理。
在應用管理頁面,單擊目標應用名稱。
在應用詳情頁,打開公網訪問應用開關或公網訪問Kibana開關。
說明如果對應開關已打開,單擊對應開關后的白名單設置,修改白名單。
在彈出的對話框中,添加待訪問設備的白名單IP地址。
建議您根據下表匹配業務場景,獲取正確的IP地址,并將其添加至對應白名單中。
場景
需獲取的IP地址
獲取方式
通過本地設備公網訪問Serverless應用的Kibana服務。
本地設備的IP地址。
說明如果您的本地設備處在家庭網絡或公司局域網中,需要添加局域網的公網出口IP地址。
在本地設備的瀏覽器中訪問www.cip.cc,或在本地設備中執行
curl cip.cc。您還可以單擊添加當前IP地址,將當前設備的IP地址自動添加到白名單中。使用該功能前必須先關閉本地代理。
客戶端通過公網訪問Serverless應用。
客戶端的公網IP地址。
以獲取ECS實例的IP地址為例:
登錄ECS管理控制臺。
在左側導航欄單擊實例。
在頂部菜單欄選擇實例所在地域。
在ECS實例列表中查看目標實例的公網IP地址或私網IP地址。
說明不支持公網IPv6地址。
IP白名單組最多支持200個,每組白名單下的IP地址或者IP網段數量最多支持1000個。
支持配置單個IP地址(例如,192.168.0.1)、IP網段(例如,192.168.0.0/24)和多個IP地址,多個IP地址之間用英文逗號(,)隔開。
如果白名單為IP網段,您需要填寫的IP地址為掩碼計算后子網網段的第一個IP地址。
127.0.0.1表示禁止所有IPv4地址訪問。0.0.0.0/0表示允許所有IPv4地址訪問,該設置將降低應用數據安全性,請謹慎使用。
單擊確定。
配置私網訪問應用
- 登錄阿里云Elasticsearch控制臺。
在左側導航欄,單擊Elasticsearch Serverless版本。
說明如果您所在的地域沒有Elasticsearch Serverless服務,請在頂部菜單欄切換地域。
在Elasticsearch Serverless服務控制臺的左側導航欄,單擊應用管理。
在應用管理頁面,單擊目標應用名稱。
在應用詳情頁,打開私網訪問應用開關或私網訪問Kibana開關。
說明如果對應開關已打開,單擊對應開關后的私網白名單設置修改私網訪問的白名單,或者單擊對應開關后的私網訪問設置,修改應用關聯的終端節點。
在彈出的對話框中,選擇已有的私網終端節點。
專有網絡根據選擇的私網終端節點自動加載。
您也可以單擊私網終端節點文本框下的新建終端節點,新建一個終端節點。
參數說明:
說明通過PrivateLink實現私網訪問需要通過RAM角色扮演(服務關聯角色)的方式訪問Privatelink等其他云服務的資源。如果您未創建過相關服務關聯角色,系統將自動為您創建。更多信息,請參見ES Serverless服務關聯角色介紹。
參數
說明
終端節點名稱
輸入終端節點的名稱,創建后不允許修改。終端節點名稱需滿足以下條件:
長度為2~128個字符。
以英文大小寫字母或中文開頭。
可包含數字、下劃線(_)和連字符(-)。
選擇專有網絡
選擇所屬地域下的專有網絡。
說明專有網絡是一種隔離的網絡環境,安全性和性能均高于傳統的經典網絡。如果沒有合適的專有網絡VPC,您可前往專有網絡控制臺創建。
選擇交換機
選擇可用區和交換機。
交換機只顯示專有網絡中與所選可用區相同的交換機。
為實現業務的高可用和穩定性保障,建議至少選擇兩個可用區。若沒有合適的交換機,您可前往專有網絡控制臺創建。
僅支持部分可用區,實際以控制臺為準。
杭州:可用區G、H、I
北京:可用區G、H、I
上海:可用區B、G、F
深圳:可用區D、E、F
添加待訪問設備的白名單IP地址。
建議您根據下表匹配業務場景,獲取正確的IP地址,并將其添加至對應白名單中。
場景
需獲取的IP地址
獲取方式
通過本地設備私網訪問Serverless應用的Kibana服務。
本地設備的IP地址。
說明如果您的本地設備處在家庭網絡或公司局域網中,需要添加局域網的公網出口IP地址。
在本地設備的瀏覽器中訪問www.cip.cc,或在本地設備中執行
curl cip.cc。您還可以單擊添加當前IP地址,將當前設備的IP地址自動添加到白名單中。使用該功能前必須先關閉本地代理。
客戶端通過私網訪問Serverless應用。
客戶端的私網IP地址。
以獲取ECS實例的IP地址為例:
登錄ECS管理控制臺。
在左側導航欄單擊實例。
在頂部菜單欄選擇實例所在地域。
在ECS實例列表中查看目標實例的公網IP地址或私網IP地址。
說明僅支持添加在固定私網網段的IP地址。例如,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,127.0.0.1,0.0.0.0/0等。
127.0.0.1表示禁止所有IPv4地址訪問。0.0.0.0/0表示允許所有IPv4地址訪問,該設置將降低應用數據安全性,請謹慎使用。
白名單將添加到與專有網絡同名的私網白名單分組中,您可在添加完成后自行修改白名單。
單擊確認。
管理公網或私網訪問配置
在應用管理頁面的應用列表中,單擊目標應用名稱,進入目標應用詳情頁面。
項目 | 操作 |
修改白名單 |
說明 如果您僅需要增加私網訪問白名單,也可以通過添加應用關聯的終端節點來實現。 |
添加應用關聯的終端節點 |
|
移除應用關聯的終端節點 |
|
管理終端節點
在Elasticsearch Serverless服務控制臺的左側導航欄,單擊VPC終端節點,進入VPC終端節點管理頁面。
項目 | 操作 |
查看終端節點信息 | 在VPC終端節點頁面:
|
新建終端節點 |
說明 創建完成后,終端節點的狀態為創建中,預計等待1-3分鐘節點狀態變為可用。 |
修改終端節點信息 | 在VPC終端節點頁面,單擊目標終端節點操作列上的修改,修改終端節點的名稱和交換機,終端節點的專有網絡不允許修改。 |
刪除終端節點 | 在VPC終端節點頁面,單擊目標終端節點操作列上的刪除,刪除終端節點。 說明 如果終端節點被一個或多個應用關聯,不允許直接刪除,需要先在應用中移除該終端節點。具體操作,請參見移除應用關聯的終端節點。 |
相關文檔
您可以通過以下幾種方式訪問Serverless應用:
說明用戶名:在應用詳情頁的基本信息區域查看和復制。
用戶密碼:創建應用時輸入的密碼。如果您忘記了密碼,可以在應用詳情頁的基本信息區域,單擊用戶密碼后的修改,修改用戶密碼。