基礎介紹

網(wǎng)絡端點（Network Access Endpoint）是IDaaS EIAM實例進行網(wǎng)絡訪問的載體，分為專屬端點和共享端點。專屬端點需要購買后才可使用（專屬端點計費說明），共享端點可以免費使用。

專屬端點

專屬端點是您的EIAM實例獨享的網(wǎng)絡端點，本質(zhì)上是您的EIAM實例持有您VPC中的一個ENI，您可以針對該ENI設置安全組規(guī)則或網(wǎng)絡配置，從而實現(xiàn)EIAM實例的專屬私網(wǎng)訪問或?qū)俟W(wǎng)訪問。

專屬私網(wǎng)訪問

EIAM實例通過私網(wǎng)連接到您的阿里云VPC后，無需開放公網(wǎng)端口即可實現(xiàn)AD/LDAP/應用的數(shù)據(jù)同步以及AD/LDAP的委托認證。

下面以AD為例，展示針對不同網(wǎng)絡規(guī)劃的支持方式，以供您參考。

AD和ENI屬于同一個阿里云VPC

如果您的AD域服務器和EIAM持有的ENI同屬于一個阿里云VPC，此時您需要采用如下網(wǎng)絡ACL方式：

AD域服務器所屬安全組放行ENI的IP。

AD和ENI屬于不同阿里云VPC

如果您的AD域服務器和EIAM持有的ENI同屬于不同的阿里云VPC，此時您需要采用如下網(wǎng)絡ACL方式：

• 通過CEN連通不同的阿里云VPC。

• AD域服務器所屬的安全組放行ENI的IP。

AD屬于線下IDC或其它云服務廠商

如果您的AD與服務器屬于自己的線下IDC或者其它云服務廠商，此時您需要采用如下網(wǎng)絡ACL方式：

• 通過專線（VPN等）拉通阿里云側(cè)VPC和AD域服務器所屬的IDC或其它云服務廠商。

• AD域服務器所在的防火墻放行ENI的IP。

專屬公網(wǎng)訪問

EIAM實例通過私網(wǎng)連接到您的阿里云VPC后，您可以為EIAM所持有的ENI綁定彈性公網(wǎng)IP或者為您的阿里云VPC綁定公網(wǎng)NAT網(wǎng)關，從而讓EIAM實例可以使用您的公網(wǎng)IP訪問公網(wǎng)。您可以將此公網(wǎng)IP作為企業(yè)微信的可信IP，從而滿足企業(yè)微信的相關要求。

共享端點

共享端點是EIAM實例進行網(wǎng)絡訪問時默認使用的網(wǎng)絡端點，所有EIAM實例共用。僅支持訪問公網(wǎng)。

兩種端點的對比

以下是專屬端點和共享端點的能力對比。

網(wǎng)絡端點支持情況

下表是目前各功能模塊的網(wǎng)絡端點支持情況。各模塊默認使用共享端點，如需變更需手動切換。

添加專屬端點

在個性化-網(wǎng)絡端點中即可進入網(wǎng)絡端點管理頁面。

第一步：創(chuàng)建服務關聯(lián)角色（SLR）

訪問網(wǎng)絡端點頁面或添加專屬端點時，如當前不存在服務關聯(lián)角色，需要先創(chuàng)建IDaaS EIAM服務關聯(lián)角色。阿里云主賬號或擁有AliyunIDaaSEiamFullAccess權限的阿里云用戶才可執(zhí)行此操作。

第二步：升級或升配實例

當實例的專屬端點數(shù)量少于專屬端點配額時，您才可以創(chuàng)建專屬端點。專屬端點配額需單獨購買。

• 針對免費版或試用版實例，請升級實例，在購買頁中提高專屬端點數(shù)量。

• 針對企業(yè)版實例，請升配實例，在購買頁中提高專屬端點數(shù)量。

第三步：選擇資源

在網(wǎng)絡端點頁面中單擊添加專屬端點，開始添加流程。

填寫專屬端點名稱，并選擇希望連接的地域、專用網(wǎng)絡、交換機等信息。

• 顯示名稱：專屬端點的顯示名稱，僅在控制臺中展示。

• 地域（Region）：選擇希望連接的專有網(wǎng)絡所在的地域。

• 專有網(wǎng)絡（VPC）：選擇當前地域下的專有網(wǎng)絡。如果您需要私網(wǎng)訪問AD/LDAP/應用等服務，請選擇這些服務所在的或可以訪問這些服務的專有網(wǎng)絡。

• 交換機（vSwitch）：選擇當前專有網(wǎng)絡下的交換機。交換機的可用IP數(shù)需大于2個，且不可使用33網(wǎng)段。最多選擇2個交換機。

確認無誤后，單擊確定即可開始添加專屬端點。

添加完成后，還需進行如下配置，才可正式使用專屬端點：

• 如需實現(xiàn)專屬私網(wǎng)訪問，請授權私網(wǎng)訪問

• 如需實現(xiàn)專屬公網(wǎng)訪問，請配置專屬公網(wǎng)出口IP

授權私網(wǎng)訪問

在個性化 > 網(wǎng)絡端點頁面中，在需要專屬私網(wǎng)訪問的專屬端點中單擊授權私網(wǎng)訪問。

第一步：獲取訪問規(guī)則

在彈窗中訪問規(guī)則，復制授權對象。授權對象中聚合了當前專屬端點的所有專屬私網(wǎng)出口IP。

第二步：配置安全組訪問規(guī)則

單擊前往添加，前往云服務器ECS > 安全組，在頁面中選擇需要私網(wǎng)訪問的服務所在的安全組。

進入安全組，在安全組規(guī)則 > 入方向中單擊手動添加。

在新增的訪問規(guī)則中填寫如下內(nèi)容并保存：

• 授權策略：允許。

• 優(yōu)先級：1。

• 協(xié)議類型：自定義TCP。

• 端口范圍：填寫您的服務的端口范圍。如果連接的是AD/LDAP，一般使用389或636。

• 授權對象：在上一步中復制的專屬私網(wǎng)出口IP地址。

第三步：切換專屬端點訪問

以AD為例，前往身份提供方頁面，單擊修改，即可修改基礎配置。

在網(wǎng)絡配置-網(wǎng)絡端點中，選擇專屬端點，在下拉框中選擇已配置安全組訪問規(guī)則的專屬端點。

單擊確認時，該實例將立即進行校驗：使用該專屬端點的專屬私網(wǎng)出口IP（即彈性網(wǎng)卡主私網(wǎng)IP）訪問該AD服務，如果彈性網(wǎng)卡（最多兩張）均能訪問成功，則校驗通過，立即切換為專屬端點；如果任一彈性網(wǎng)卡訪問失敗，則校驗不通過，提示錯誤信息。

配置專屬公網(wǎng)出口 IP

通過公網(wǎng)NAT網(wǎng)關配置，實現(xiàn)EIAM實例通過您指定的IP訪問公網(wǎng)，您可以將此公網(wǎng)IP作為企業(yè)微信的可信IP，從而滿足企業(yè)微信的相關校驗。

第一步：查看專屬網(wǎng)絡地域

在個性化 > 網(wǎng)絡端點頁面中，在需要專屬公網(wǎng)訪問的專屬端點中查看專有網(wǎng)絡地域。

第二步：綁定彈性公網(wǎng)IP

在專有網(wǎng)絡-公網(wǎng)NAT網(wǎng)關中，選擇和專有網(wǎng)絡地域相同的地域下的公網(wǎng)NAT網(wǎng)關，單擊立即綁定彈性公網(wǎng)IP，開始綁定流程。如無可用資源請?zhí)崆皠?chuàng)建公網(wǎng)NAT網(wǎng)關。

您可以從已有的彈性公網(wǎng)IP中選擇，也可以直接新購并綁定彈性公網(wǎng)IP。

綁定成功后，如果您當前實例下沒有SNAT條目，請參考創(chuàng)建和管理SNAT條目，之后專屬端點即可支持公網(wǎng)訪問能力。

您可以在個性化-網(wǎng)絡端點頁面的查看專屬公網(wǎng)出口IP中查看當前專屬使用的公網(wǎng)IP。

切換專屬端點訪問

以AD為例，前往身份提供方頁面，單擊修改，即可修改基礎配置。

在網(wǎng)絡配置-網(wǎng)絡端點中，選擇專屬端點，在下拉框中選擇已配置專屬公網(wǎng)出口IP的專屬端點。

單擊確認時，該實例將立即進行校驗：使用該專屬端點的專屬公網(wǎng)出口IP（即彈性網(wǎng)卡或公網(wǎng)NAT網(wǎng)關的公網(wǎng)IP）訪問該AD服務，如果彈性網(wǎng)卡（最多兩張）均能訪問成功，則校驗通過，立即切換為專屬端點；如果任一彈性網(wǎng)卡訪問失敗，則校驗不通過，提示錯誤信息。

您可以單擊專屬公網(wǎng)出口IP中的立即查看查看所使用的網(wǎng)關IP。

修改專屬端點

專屬端點僅支持修改顯示名稱。如需修改其他信息，需刪除后重新配置。

刪除專屬端點

有兩種方式刪除專屬端點：

• 當實例中沒有模塊（身份提供方、應用）使用專屬端點功能時，管理員可以手動刪除

• 付費實例到期釋放、退訂時，IDaaS強制自動刪除

刪除專屬端點時，IDaaS將會釋放由IDaaS在您的賬號下創(chuàng)建的對應資源，包括：

• 彈性網(wǎng)卡

• 云產(chǎn)品托管安全組

刪除專屬端點后，資源和數(shù)據(jù)不可恢復，專屬端點立即不可使用。如果您需要刪除AliyunServiceRoleForEiam服務關聯(lián)角色，需刪除所有EIAM實例。