本文介紹網路端點的概念、配置和常見用法。
基礎介紹
網路端點(Network Access Endpoint)是IDaaS EIAM執行個體進行網路訪問的載體,分為專屬端點和共用端點。專屬端點需要購買後才可使用(專屬端點計費說明),共用端點可以免費使用。
專屬端點
專屬端點是您的EIAM執行個體獨享的網路端點,本質上是您的EIAM執行個體持有您VPC中的一個ENI,您可以針對該ENI設定安全性群組規則或網路設定,從而實現EIAM執行個體的專屬私網訪問或專屬公網訪問。
專屬私網訪問
EIAM執行個體通過私網串連到您的阿里雲VPC後,無需開放公網連接埠即可實現AD/LDAP/應用的資料同步以及AD/LDAP的委託認證。
下面以AD為例,展示針對不同網路規劃的支援方式,以供您參考。
AD和ENI屬於同一個阿里雲VPC
如果您的AD網域服務器和EIAM持有的ENI同屬於一個阿里雲VPC,此時您需要採用如下網路ACL方式:
AD網域服務器所屬安全性群組允許存取ENI的IP。
AD和ENI屬於不同阿里雲VPC
如果您的AD網域服務器和EIAM持有的ENI同屬於不同的阿里雲VPC,此時您需要採用如下網路ACL方式:
通過CEN連通不同的阿里雲VPC。
AD網域服務器所屬的安全性群組允許存取ENI的IP。
AD屬於線下IDC或其它雲端服務廠商
如果您的AD與伺服器屬於自己的線下IDC或者其它雲端服務廠商,此時您需要採用如下網路ACL方式:
通過專線(VPN等)拉通阿里雲側VPC和AD網域服務器所屬的IDC或其它雲端服務廠商。
AD網域服務器所在的防火牆允許存取ENI的IP。
專屬公網訪問
EIAM執行個體通過私網串連到您的阿里雲VPC後,您可以為EIAM所持有的ENI綁定Elastic IP Address或者為您的阿里雲VPC綁定公網NAT Gateway,從而讓EIAM執行個體可以使用您的公網IP訪問公網。您可以將此公網IP作為企業微信的可信IP,從而滿足企業微信的相關要求。
共用端點
共用端點是EIAM執行個體進行網路訪問時預設使用的網路端點,所有EIAM執行個體共用。僅支援訪問公網。
兩種端點的對比
以下是專屬端點和共用端點的能力對比。
能力項 | 專屬端點 | 共用端點 |
使用專屬IP訪問私網 | 支援 | 不支援 |
使用專屬IP訪問公網 | 支援 | 不支援 |
使用共用IP訪問公網 | 不支援 | 支援 |
網路端點資源所有權(ENI、安全性群組等) | 您的阿里雲主帳號 | IDaaS團隊 |
是否預設即可使用 | 否 | 是 |
是否免費 | 否 | 是 |
網路端點支援情況
下表是目前各功能模組的網路端點支援情況。各模組預設使用共用端點,如需變更需手動切換。
功能模組 | 專屬端點-私網訪問 | 專屬端點-公網訪問 | 共用端點-公網訪問 |
DingTalk入方向身份提供方 | 不支援 | 不支援 | 支援 |
DingTalk出方向身份提供方 | 不支援 | 不支援 | 支援 |
AD入方向身份提供方 | 支援 | 支援 | 支援 |
LDAP入方向身份提供方 | 支援 | 支援 | 支援 |
企業微信入方向身份提供方 | 不支援 | 支援 | 不支援 |
應用市場應用 | 暫不支援 | 暫不支援 | 支援 |
SAML應用 | 暫不支援 | 暫不支援 | 支援 |
OIDC應用 | 暫不支援 | 暫不支援 | 支援 |
自研應用 | 暫不支援 | 暫不支援 | 支援 |
添加專屬端點
在個人化-網路端點中即可進入網路端點管理頁面。
第一步:建立服務關聯角色(SLR)
訪問網路端點頁面或添加專屬端點時,如當前不存在服務關聯角色,需要先建立IDaaS EIAM服務關聯角色。阿里雲主帳號或擁有AliyunIDaaSEiamFullAccess許可權的阿里雲使用者才可執行此操作。
第二步:升級或升配執行個體
當執行個體的專屬端點數量少於專屬端點配額時,您才可以建立專屬端點。專屬端點配額需單獨購買。
目前每個EIAM執行個體最多支援1個專屬端點。
第三步:選擇資源
在網路端點頁面中單擊添加專屬端點,開始添加流程。
填寫專屬端點名稱,並選擇希望串連的地區、專用網路、交換器等資訊。
添加專屬端點後,不支援修改地區、專用網路、交換器等資訊,請確認後填寫。
顯示名稱:專屬端點的顯示名稱,僅在控制台中展示。
地區(Region):選擇希望串連的專用網路所在的地區。
Virtual Private Cloud:選擇當前地區下的專用網路。如果您需要私網訪問AD/LDAP/應用等服務,請選擇這些服務所在的或可以訪問這些服務的專用網路。
交換器(vSwitch):選擇當前專用網路下的交換器。交換器的可用IP數需大於2個,且不可使用33網段。最多選擇2個交換器。
強烈建議選擇2個不同可用性區域的交換器,以增強容災能力。
確認無誤後,單擊確定即可開始添加專屬端點。
添加完成後,還需進行如下配置,才可正式使用專屬端點:
如需實現專屬私網訪問,請授權私網訪問
如需實現專屬公網訪問,請配置專屬公網出口IP
授權私網訪問
在頁面中,在需要專屬私網訪問的專屬端點中單擊授權私網訪問。
第一步:擷取訪問規則
在彈窗中訪問規則,複製授權對象。授權對象中彙總了當前專屬端點的所有專屬私網出口IP。
第二步:配置安全性群組訪問規則
單擊前往添加,前往,在頁面中選擇需要私網訪問的服務所在的安全性群組。
以AD為例,需要選擇的是AD網域服務器所在的屬於您的安全性群組(不同網路規劃的支援方式請見專屬私網訪問),而非由EIAM建立的安全性群組。
進入安全性群組,在中單擊手動添加。
在新增的訪問規則中填寫如下內容並儲存:
授權策略:允許。
優先順序:1。
協議類型:自訂TCP。
連接埠範圍:填寫您的服務的連接埠範圍。如果串連的是AD/LDAP,一般使用389或636。
授權對象:在上一步中複製的專屬私網出口IP地址。
第三步:切換專屬端點訪問
以AD為例,前往身份提供方頁面,單擊修改,即可修改基礎配置。
在網路設定-網路端點中,選擇專屬端點,在下拉框中選擇已配置安全性群組訪問規則的專屬端點。
單擊確認時,該執行個體將立即進行校正:使用該專屬端點的專屬私網出口IP(即彈性網卡主私網IP)訪問該AD服務,如果彈性網卡(最多兩張)均能訪問成功,則校正通過,立即切換為專屬端點;如果任一彈性網卡訪問失敗,則校正不通過,提示錯誤資訊。
校正通過將立即切換為專屬端點進行訪問,建議提前使用測試環境進行驗證。且付費執行個體到期釋放或退訂時,專屬端點將立即不可用,並在一天后自動被刪除。如需使用共用端點或其他專屬端點,需手動切換。建議在刪除前修改您的服務中的網路訪問白名單配置。
配置專屬公網出口 IP
通過公網NAT Gateway配置,實現EIAM執行個體通過您指定的IP訪問公網,您可以將此公網IP作為企業微信的可信IP,從而滿足企業微信的相關校正。
第一步:查看專屬網路地區
在頁面中,在需要專屬公網訪問的專屬端點中查看專用網路地區。
第二步:綁定Elastic IP Address
在專用網路-公網NAT Gateway中,選擇和專用網路地區相同的地區下的公網NAT Gateway,單擊立即綁定Elastic IP Address,開始繫結資料流程。如無可用資源請提前建立公網NAT Gateway。
您可以從已有的Elastic IP Address中選擇,也可以直接新購併綁定Elastic IP Address。
綁定成功後,如果您當前執行個體下沒有SNAT條目,請參考建立和管理SNAT條目,之後專屬端點即可支援公網訪問能力。
您可以在個人化-網路端點頁面的查看專屬公網出口IP中查看當前專屬使用的公網IP。
切換專屬端點訪問
以AD為例,前往身份提供方頁面,單擊修改,即可修改基礎配置。
在網路設定-網路端點中,選擇專屬端點,在下拉框中選擇已配置專屬公網出口IP的專屬端點。
單擊確認時,該執行個體將立即進行校正:使用該專屬端點的專屬公網出口IP(即彈性網卡或公網NAT Gateway的公網IP)訪問該AD服務,如果彈性網卡(最多兩張)均能訪問成功,則校正通過,立即切換為專屬端點;如果任一彈性網卡訪問失敗,則校正不通過,提示錯誤資訊。
您可以單擊專屬公網出口IP中的立即查看查看所使用的網關IP。
校正通過將立即切換為專屬端點進行訪問,建議提前使用測試環境進行驗證。且付費執行個體到期釋放或退訂時,專屬端點將立即不可用,並在一天后自動被刪除。如需使用共用端點或其他專屬端點,需手動切換。建議在刪除前修改您的服務中的網路訪問白名單配置。
修改專屬端點
專屬端點僅支援修改顯示名稱。如需修改其他資訊,需刪除後重新設定。
刪除專屬端點
有兩種方式刪除專屬端點:
當執行個體中沒有模組(身份提供方、應用)使用專屬端點功能時,管理員可以手動刪除
付費執行個體到期釋放、退訂時,IDaaS強制自動刪除
刪除專屬端點時,IDaaS將會釋放由IDaaS在您的帳號下建立的對應資源,包括:
彈性網卡
雲產品託管安全性群組
刪除專屬端點後,資源和資料不可恢複,專屬端點立即不可使用。如果您需要刪除AliyunServiceRoleForEiam服務關聯角色,需刪除所有EIAM執行個體。
刪除專屬端點後,如需使用共用端點或其他專屬端點,需手動在身份提供方或應用中切換。建議在刪除前修改您的服務中的網路訪問白名單配置。