本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
終端節點(Endpoint)由服務使用方創建和維護,可以與終端節點服務相關聯,從而建立通過PrivateLink私網訪問外部服務的網絡連接。一個終端節點只能關聯一個終端節點服務,本文為您介紹如何創建和管理終端節點。
背景信息
私網連接能夠實現VPC與終端節點服務之間建立安全穩定的私有連接,避免通過公網訪問服務帶來的潛在安全風險。支持連接的終端節點服務包括阿里云服務、其他終端節點服務和該賬號下的可用終端節點服務。
名詞 | 說明 |
阿里云服務 | 阿里云服務是由阿里云自身提供和管理的一方云服務。這意味著阿里云擁有和運營了整個云服務基礎設施,包括服務器、網絡、存儲等。您可以直接通過阿里云平臺購買和使用這些云服務,同時也能夠享受到阿里云提供的技術支持和服務保障。 說明 目前私網連接支持的阿里云服務有操作審計(ActionTrail)。 |
其他終端節點服務 | 除阿里云服務之外的其他私有服務。您在使用這些服務時需要自行評估其品質、安全性和可靠性,并根據自己的需求進行選擇。 |
使用限制
目前,僅部分地域支持私網連接。更多信息,請參見支持私網連接的地域和可用區。
支持反向終端節點的服務只能由阿里云和生態合作伙伴提供,默認不支持自己創建,如需自己創建,請聯系客戶經理申請。
前提條件
創建終端節點前,請確保滿足以下條件:
首次使用時,請登錄私網連接服務開通頁面根據提示開通私網連接服務。開通私網連接服務之前,請確保您的賬戶余額>0元。
您已經創建了終端節點服務,且終端節點服務至少添加了一個服務資源。具體操作,請參見創建和管理終端節點服務。
您已經創建了用于訪問終端節點服務的VPC,且在已創建的終端節點服務對應的可用區創建了交換機。具體操作,請參見創建專有網絡和交換機。
您已經創建了安全組。
具體操作,請參見創建安全組。
如果終端節點類型為接口終端節點時,您可以根據自己的實際業務和安全要求配置安全組規則。建議配置的安全組規則如下:
默認入開放ICMP協議,用于Ping ECS服務器等操作。
默認入方向開放SSH 22端口和RDP 3389端口,用于訪問云服務器 ECS(Elastic Compute Service)實例。
(可選)開放入方向HTTP 80端口和HTTPS 443端口,用于終端節點所在的VPC通過HTTP協議或者HTTPS協議訪問終端節點服務所在的VPC。
如果終端節點類型為反向終端節點時,入方向安全規則必須全部放行,即入方向開放全部協議、任意端口和任意地址段。
創建終端節點
- 登錄終端節點控制臺。
在頂部菜單欄處,選擇終端節點所在的地域。
在終端節點頁面,您可以通過以下三種方式創建終端節點。
在接口終端節點頁簽下,單擊創建終端節點。
在反向終端節點頁簽下,單擊創建終端節點。
在網關終端節點頁簽下,單擊創建終端節點。
說明接口終端節點:正向訪問,指服務使用方通過接口終端節點訪問服務提供方提供的服務。
反向終端節點:反向訪問,指服務提供方的服務通過反向終端節點訪問服務使用方網絡中的資源。
網關終端節點:是一個虛擬網關設備,在VPC中創建云服務的網關終端節點并指定關聯的路由表,系統自動將該云服務的下一跳路由指向網關終端節點,實現對云服務的私網訪問。關于網關終端節點的更多信息,請參見網關終端節點。
終端節點由服務使用方創建和管理,終端節點服務由服務提供方創建和管理。
在創建終端節點頁面,根據以下信息配置終端節點,然后單擊確定創建。
以下僅表示接口終端節點和反向終端節點的配置信息,網關終端節點的詳細配置信息,請參見創建網關終端節點并查看路由條目。
創建接口終端節點
配置
說明
所屬地域
選擇終端節點所屬地域。
節點名稱
輸入自定義終端節點的名稱。
終端節點類型
選擇接口終端節點。
終端節點服務
支持通過以下三種方式選擇終端節點服務:
單擊阿里云服務,然后輸入目標終端節點服務名稱。
單擊其他終端節點服務,然后輸入終端節點服務的名稱,單擊點擊驗證,驗證服務合法性。
說明服務提供方需要給服務使用方添加白名單之后,驗證才能通過,具體操作,請參見添加和管理服務白名單。
單擊選擇可用服務,然后選擇或輸入目標終端節點服務名稱或ID。
專有網絡
選擇需要創建終端節點的VPC。
安全組
選擇要與終端節點網卡關聯的安全組,安全組可以管控VPC到終端節點網卡的數據通信。
終端節點網卡是終端節點VPC訪問終端節點服務的入口。
說明一個終端節點默認最多支持添加5個安全組。
可用區與交換機
選擇終端節點服務對應的可用區,然后選擇該可用區內的交換機。系統會自動在每個交換機下創建一個終端節點網卡。
單可用區:支持只選擇終端節點服務對應的一個可用區。
單擊一個可用區與交換機后的圖標。
在彈出的提示框中單擊確定。
多可用區:支持選擇終端節點服務對應的多個可用區。默認需要選擇兩個可用區和交換機。如果您需要選擇更多可用區,請單擊添加交換機。
說明選擇多個可用區,能夠保證應用在任何一個可用區出現故障時都能夠快速切換到其他可用區,從而實現業務的高可用性和穩定性。避免因為某個可用區的故障而出現服務中斷或數據丟失的情況。
資源組
選擇終端節點所屬的資源組。
標簽
選擇或輸入標簽鍵與標簽值。
描述
輸入終端節點的描述信息。
訪問策略
選擇訪問策略。
默認策略:默認完全訪問。
自定義策略:支持自行錄入策略。
說明該參數僅終端節點服務選擇阿里云服務時需要配置。目前支持配置訪問策略的阿里云服務有操作審計(ActionTrail)。
關聯角色創建須知
首次創建終端節點時,系統將會為您自動創建一個服務關聯角色,以完成相應功能。更多信息,請參見服務關聯角色。
創建反向終端節點
配置
說明
所屬地域
選擇終端節點所屬地域。
節點名稱
輸入自定義終端節點的名稱。
終端節點類型
選擇反向終端節點。
終端節點服務
您可以通過以下兩種方式選擇終端節點服務:
單擊其他終端節點服務,然后輸入終端節點服務的名稱,單擊點擊驗證,驗證服務合法性。
說明服務提供方需要給服務使用方添加白名單之后,驗證才能通過,具體操作,請參見添加和管理服務白名單。
單擊選擇可用服務,然后選擇或輸入目標終端節點服務名稱或ID。
說明一個終端節點僅支持關聯一個終端節點服務。
專有網絡
選擇需要創建終端節點的VPC。
安全組
選擇要與終端節點網卡關聯的安全組,安全組可以管控VPC到終端節點網卡的數據通信。終端節點網卡是終端節點VPC訪問終端節點服務的入口。
重要反向終端節點的安全組必須入方向全部放行。
可用區與交換機
選擇終端節點服務對應的可用區,然后選擇該可用區內的交換機。系統會自動在每個交換機下創建一個終端節點網卡。
單可用區:支持只選擇終端節點服務對應的一個可用區。
單擊一個可用區與交換機后的圖標。
在彈出的提示框中單擊確定。
多可用區:支持選擇終端節點服務對應的多個可用區。默認需要選擇兩個可用區和交換機。如果您需要選擇更多可用區,請單擊添加交換機。
說明選擇多個可用區,能夠保證應用在任何一個可用區出現故障時都能夠快速切換到其他可用區,從而實現業務的高可用性和穩定性。避免因為某個可用區的故障而出現服務中斷或數據丟失的情況。
資源組
選擇終端節點所屬的資源組。
標簽
選擇或輸入標簽鍵與標簽值。
描述
輸入終端節點的描述信息。
關聯角色創建須知
首次創建終端節點時,系統將會為您自動創建一個服務關聯角色,以完成相應功能。更多信息,請參見服務關聯角色。
查看接口終端節點策略
若接口終端節點連接的終端節點服務為阿里云服務或其他終端節點服務,創建完接口終端節點之后,您可通過以下方式查看終端節點策略。
- 登錄終端節點控制臺。
在頂部菜單欄處選擇目標地域。
在終端節點頁面的接口終端節點頁簽下,單擊目標終端節點的實例ID。
在終端節點詳情頁面,單擊訪問策略頁簽,查看策略詳情。
修改接口終端節點策略
若接口終端節點連接的終端節點服務為阿里云服務或其他終端節點服務,創建完接口終端節點之后,您可以修改接口終端節點策略。
- 登錄終端節點控制臺。
在頂部菜單欄處選擇目標地域。
在終端節點頁面的接口終端節點頁簽下,單擊目標終端節點的實例ID。
在終端節點詳情頁面,單擊訪問策略頁簽。
單擊編輯訪問策略,在彈出的對話框中編輯完成之后,單擊確定。
查看訪問服務的域名或IP
創建完終端節點后,當終端節點類型為接口終端節點時,您可以通過終端節點域名、終端節點可用區域名或IP地址訪問終端節點服務中的服務資源。
- 登錄終端節點控制臺。
在頂部菜單欄處,選擇終端節點所在的地域。
在終端節點頁面的接口終端節點頁簽下,找到目標終端節點,單擊終端節點的實例ID。
在終端節點詳情頁面,您可以查看訪問終端節點服務的終端節點域名、資源組、終端節點可用區域名和IP地址等信息。
說明當終端節點類型為反向終端節點時,沒有終端節點域名和終端節點可用區域名。
修改終端節點
您可以修改終端節點的名稱和描述信息。
刪除終端節點
刪除終端節點前,請先刪除終端節點中的終端節點網卡。具體操作,請參見刪除終端節點網卡。
您可以刪除不需要的終端節點,刪除終端節點后,該終端節點所屬VPC將不能通過私網連接訪問終端節點服務,請謹慎操作。
- 登錄終端節點控制臺。
在頂部菜單欄處,選擇終端節點所在的地域。
在終端節點頁面,找到目標終端節點,然后在操作列單擊刪除。
在刪除終端節點對話框,單擊確定。
(可選)標記終端節點
隨著終端節點實例數量的增多,會加大您對終端節點實例的管理難度。通過標簽將終端節點實例進行分組管理,有助于您搜索和篩選實例。
標簽是您為實例分配的標記,每個標簽都由一對鍵值對(Key-Value)組成。標簽的使用說明如下:
一個實例的每條標簽的標簽鍵(Key)必須唯一。
一個實例最多可以綁定20個標簽。
不支持未綁定實例的空標簽存在,標簽必須綁定在實例上。
不同地域中的標簽信息不互通。
例如,在華東1(杭州)地域創建的標簽在華東2(上海)地域不可見。
您可以修改標簽的鍵和值,也可以刪除實例的標簽。如果刪除實例,則綁定在該實例上的標簽也會被刪除。
在頂部菜單欄處,選擇終端節點所在的地域。
在終端節點頁面,找到目標終端節點實例,將鼠標懸停在標簽列的圖標上,然后在氣泡框中單擊綁定。
在編輯標簽對話框,根據以下信息配置標簽,然后單擊確定。
配置
說明
標簽鍵
標簽的標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。
標簽鍵最多支持64個字符,不能以
aliyun
或acs:
開頭,不能包含http://
或https://
。標簽值
標簽的標簽值,支持選擇已有標簽值或輸入新的標簽值。
標簽值最多支持128個字符,不能以
aliyun
或acs:
開頭,不能包含http://
或https://
。返回終端節點頁面,單擊標簽篩選,在標簽篩選對話框中根據標簽鍵和標簽值來篩選終端節點實例。
相關文檔
介紹類:
控制臺操作類:
API類:
CreateVpcEndpoint:創建終端節點。
ListVpcEndpoints:查詢終端節點
UpdateVpcEndpointAttribute:修改終端節點的屬性。
DeleteVpcEndpoint:刪除終端節點。