全部產品
Search
文件中心

Identity as a Service:網路端點

更新時間:Sep 24, 2024

本文介紹網路端點的概念、配置和常見用法。

基礎介紹

網路端點(Network Access Endpoint)是IDaaS EIAM執行個體進行網路訪問的載體,分為專屬端點和共用端點。專屬端點需要購買後才可使用(專屬端點計費說明),共用端點可以免費使用。

專屬端點

專屬端點是您的EIAM執行個體獨享的網路端點,本質上是您的EIAM執行個體持有您VPC中的一個ENI,您可以針對該ENI設定安全性群組規則或網路設定,從而實現EIAM執行個體的專屬私網訪問或專屬公網訪問。

專屬私網訪問

EIAM執行個體通過私網串連到您的阿里雲VPC後,無需開放公網連接埠即可實現AD/LDAP/應用的資料同步以及AD/LDAP的委託認證。

下面以AD為例,展示針對不同網路規劃的支援方式,以供您參考。

AD和ENI屬於同一個阿里雲VPC

如果您的AD網域服務器和EIAM持有的ENI同屬於一個阿里雲VPC,此時您需要採用如下網路ACL方式:

AD網域服務器所屬安全性群組允許存取ENI的IP。

image..png

AD和ENI屬於不同阿里雲VPC

如果您的AD網域服務器和EIAM持有的ENI同屬於不同的阿里雲VPC,此時您需要採用如下網路ACL方式:

  • 通過CEN連通不同的阿里雲VPC。

  • AD網域服務器所屬的安全性群組允許存取ENI的IP。

image..png

AD屬於線下IDC或其它雲端服務廠商

如果您的AD與伺服器屬於自己的線下IDC或者其它雲端服務廠商,此時您需要採用如下網路ACL方式:

  • 通過專線(VPN等)拉通阿里雲側VPC和AD網域服務器所屬的IDC或其它雲端服務廠商。

  • AD網域服務器所在的防火牆允許存取ENI的IP。

image..png

專屬公網訪問

EIAM執行個體通過私網串連到您的阿里雲VPC後,您可以為EIAM所持有的ENI綁定Elastic IP Address或者為您的阿里雲VPC綁定公網NAT Gateway,從而讓EIAM執行個體可以使用您的公網IP訪問公網。您可以將此公網IP作為企業微信的可信IP,從而滿足企業微信的相關要求。

共用端點

共用端點是EIAM執行個體進行網路訪問時預設使用的網路端點,所有EIAM執行個體共用。僅支援訪問公網。

兩種端點的對比

以下是專屬端點和共用端點的能力對比。

能力項

專屬端點

共用端點

使用專屬IP訪問私網

支援

不支援

使用專屬IP訪問公網

支援

不支援

使用共用IP訪問公網

不支援

支援

網路端點資源所有權(ENI、安全性群組等)

您的阿里雲主帳號

IDaaS團隊

是否預設即可使用

是否免費

網路端點支援情況

下表是目前各功能模組的網路端點支援情況。各模組預設使用共用端點,如需變更需手動切換。

功能模組

專屬端點-私網訪問

專屬端點-公網訪問

共用端點-公網訪問

DingTalk入方向身份提供方

不支援

不支援

支援

DingTalk出方向身份提供方

不支援

不支援

支援

AD入方向身份提供方

支援

支援

支援

LDAP入方向身份提供方

支援

支援

支援

企業微信入方向身份提供方

不支援

支援

不支援

應用市場應用

暫不支援

暫不支援

支援

SAML應用

暫不支援

暫不支援

支援

OIDC應用

暫不支援

暫不支援

支援

自研應用

暫不支援

暫不支援

支援

添加專屬端點

在個人化-網路端點中即可進入網路端點管理頁面。

第一步:建立服務關聯角色(SLR)

訪問網路端點頁面或添加專屬端點時,如當前不存在服務關聯角色,需要先建立IDaaS EIAM服務關聯角色。阿里雲主帳號或擁有AliyunIDaaSEiamFullAccess許可權的阿里雲使用者才可執行此操作。

image..png

第二步:升級或升配執行個體

當執行個體的專屬端點數量少於專屬端點配額時,您才可以建立專屬端點。專屬端點配額需單獨購買。

  • 針對免費版或試用版執行個體,請升級執行個體,在購買頁中提高專屬端點數量。

  • 針對企業版執行個體,請升配執行個體,在購買頁中提高專屬端點數量。

說明

目前每個EIAM執行個體最多支援1個專屬端點。

第三步:選擇資源

在網路端點頁面中單擊添加專屬端點,開始添加流程。

填寫專屬端點名稱,並選擇希望串連的地區、專用網路、交換器等資訊。

重要

添加專屬端點後,不支援修改地區、專用網路、交換器等資訊,請確認後填寫。

image..png

  • 顯示名稱:專屬端點的顯示名稱,僅在控制台中展示。

  • 地區(Region):選擇希望串連的專用網路所在的地區。

  • Virtual Private Cloud:選擇當前地區下的專用網路。如果您需要私網訪問AD/LDAP/應用等服務,請選擇這些服務所在的或可以訪問這些服務的專用網路。

  • 交換器(vSwitch):選擇當前專用網路下的交換器。交換器的可用IP數需大於2個,且不可使用33網段。最多選擇2個交換器。

重要

強烈建議選擇2個不同可用性區域的交換器,以增強容災能力。

確認無誤後,單擊確定即可開始添加專屬端點。

image..png

添加完成後,還需進行如下配置,才可正式使用專屬端點:

授權私網訪問

個人化 > 網路端點頁面中,在需要專屬私網訪問的專屬端點中單擊授權私網訪問

image..png

第一步:擷取訪問規則

在彈窗中訪問規則,複製授權對象。授權對象中彙總了當前專屬端點的所有專屬私網出口IP。

image..png

第二步:配置安全性群組訪問規則

單擊前往添加,前往Elastic Compute Service > 安全性群組,在頁面中選擇需要私網訪問的服務所在的安全性群組。

說明

以AD為例,需要選擇的是AD網域服務器所在的屬於您的安全性群組(不同網路規劃的支援方式請見專屬私網訪問),而非由EIAM建立的安全性群組。

進入安全性群組,在安全性群組規則 > 入方向中單擊手動添加

image..png

在新增的訪問規則中填寫如下內容並儲存:

  • 授權策略:允許。

  • 優先順序:1。

  • 協議類型:自訂TCP。

  • 連接埠範圍:填寫您的服務的連接埠範圍。如果串連的是AD/LDAP,一般使用389或636。

  • 授權對象:在上一步中複製的專屬私網出口IP地址。

image..png

第三步:切換專屬端點訪問

以AD為例,前往身份提供方頁面,單擊修改,即可修改基礎配置。

image..png

在網路設定-網路端點中,選擇專屬端點,在下拉框中選擇已配置安全性群組訪問規則的專屬端點。

單擊確認時,該執行個體將立即進行校正:使用該專屬端點的專屬私網出口IP(即彈性網卡主私網IP)訪問該AD服務,如果彈性網卡(最多兩張)均能訪問成功,則校正通過,立即切換為專屬端點;如果任一彈性網卡訪問失敗,則校正不通過,提示錯誤資訊。

重要

校正通過將立即切換為專屬端點進行訪問,建議提前使用測試環境進行驗證。且付費執行個體到期釋放或退訂時,專屬端點將立即不可用,並在一天后自動被刪除。如需使用共用端點或其他專屬端點,需手動切換。建議在刪除前修改您的服務中的網路訪問白名單配置。

image..png

配置專屬公網出口 IP

通過公網NAT Gateway配置,實現EIAM執行個體通過您指定的IP訪問公網,您可以將此公網IP作為企業微信的可信IP,從而滿足企業微信的相關校正。

第一步:查看專屬網路地區

個人化 > 網路端點頁面中,在需要專屬公網訪問的專屬端點中查看專用網路地區。

image..png

第二步:綁定Elastic IP Address

專用網路-公網NAT Gateway中,選擇和專用網路地區相同的地區下的公網NAT Gateway,單擊立即綁定Elastic IP Address,開始繫結資料流程。如無可用資源請提前建立公網NAT Gateway。

image..png

您可以從已有的Elastic IP Address中選擇,也可以直接新購併綁定Elastic IP Address。

image..png

綁定成功後,如果您當前執行個體下沒有SNAT條目,請參考建立和管理SNAT條目,之後專屬端點即可支援公網訪問能力。

image

您可以在個人化-網路端點頁面的查看專屬公網出口IP中查看當前專屬使用的公網IP。

image..png

切換專屬端點訪問

以AD為例,前往身份提供方頁面,單擊修改,即可修改基礎配置。

image..png

在網路設定-網路端點中,選擇專屬端點,在下拉框中選擇已配置專屬公網出口IP的專屬端點。

單擊確認時,該執行個體將立即進行校正:使用該專屬端點的專屬公網出口IP(即彈性網卡或公網NAT Gateway的公網IP)訪問該AD服務,如果彈性網卡(最多兩張)均能訪問成功,則校正通過,立即切換為專屬端點;如果任一彈性網卡訪問失敗,則校正不通過,提示錯誤資訊。

您可以單擊專屬公網出口IP中的立即查看查看所使用的網關IP。

重要

校正通過將立即切換為專屬端點進行訪問,建議提前使用測試環境進行驗證。且付費執行個體到期釋放或退訂時,專屬端點將立即不可用,並在一天后自動被刪除。如需使用共用端點或其他專屬端點,需手動切換。建議在刪除前修改您的服務中的網路訪問白名單配置。

image..png

修改專屬端點

專屬端點僅支援修改顯示名稱。如需修改其他資訊,需刪除後重新設定。

image..png

刪除專屬端點

有兩種方式刪除專屬端點:

  • 當執行個體中沒有模組(身份提供方、應用)使用專屬端點功能時,管理員可以手動刪除

  • 付費執行個體到期釋放、退訂時,IDaaS強制自動刪除

刪除專屬端點時,IDaaS將會釋放由IDaaS在您的帳號下建立的對應資源,包括:

  • 彈性網卡

  • 雲產品託管安全性群組

刪除專屬端點後,資源和資料不可恢複,專屬端點立即不可使用。如果您需要刪除AliyunServiceRoleForEiam服務關聯角色,需刪除所有EIAM執行個體。

重要

刪除專屬端點後,如需使用共用端點或其他專屬端點,需手動在身份提供方或應用中切換。建議在刪除前修改您的服務中的網路訪問白名單配置。