Tablestore預設允許通過經典網網域名稱、VPC網域名稱或者控制台進行訪問,您可以通過為執行個體綁定VPC並更改網路訪問類型實現在Virtual Private Cloud中使用Tablestore資源,保證網路訪問安全。
執行個體網路類型
Tablestore預設會為每個執行個體建立一個公網網域名稱、一個VPC網域名稱以及一個經典網網域名稱。更多資訊,請參見服務地址。
公網網域名稱:對互連網可見。使用者可以在互連網通過公網網域名稱訪問Tablestore資源。
重要通過互連網訪問Tablestore會產生外網下行流量費用。更多資訊,請參見計費概述。
經典網網域名稱:對同地區的ECS伺服器可見。應用程式從同地區的傳統網路ECS伺服器上通過內網訪問Tablestore,可以獲得更低的響應延遲,且不會產生外網流量。
VPC網域名稱:對VPC環境內的應用程式可見。使用者需要在Tablestore控制台為執行個體綁定相應VPC,然後在VPC環境內應用程式可以通過VPC網域名稱訪問Tablestore。更多資訊,請參見什麼是專用網路。
Tablestore支援實現不同執行個體網路類型組合,滿足不同的網路安全性需求。
執行個體網路類型 | 說明 |
自訂 | 新建立的執行個體預設不允許通過公網進行訪問,只能通過經典網網域名稱、VPC網域名稱或者控制台進行訪問。 重要 如果要通過公網訪問執行個體,請登入Table Store控制台手動為執行個體開啟公網訪問能力。 |
限定控制台或VPC訪問 | 執行個體只允許來源於控制台或VPC的訪問,無法通過公網或者經典網來訪問,提供更好的網路隔離能力。 重要 選擇該執行個體網路類型,請確保正常業務無公網或經典網訪問,避免對業務造成影響。 |
限定綁定VPC訪問 | 執行個體只允許來源於綁定的VPC的訪問,無法通過公網、經典網或者控制台訪問,也無法通過控制台訪問執行個體資源,提供更好的網路隔離能力。 重要 選擇該執行個體網路類型,請確保正常業務無公網、經典網或控制台訪問,避免對業務造成影響。 |
使用VPC訪問Tablestore執行個體
前提條件
已規劃好網路以及建立專用網路和交換器。具體操作,請參見網路規劃和建立專用網路和交換器(IPv4)。
已建立Tablestore執行個體以及資料表。具體操作,請參見通過控制台使用寬表模型或者通過命令列工具使用寬表模型。
步驟一:為執行個體綁定VPC
將VPC綁定到Tablestore執行個體後,VPC內的ECS執行個體可以通過VPC網路訪問同地區的Tablestore執行個體。
如果您使用RAM使用者管理VPC,請確保已使用阿里雲帳號為該RAM使用者授予VPC相關的許可權(AliyunVPCReadOnlyAccess),否則會因為沒有許可權而無法擷取相關的VPC資訊。
- 登入Table Store控制台。
在概覽頁面,單擊執行個體名稱或在操作列單擊執行個體管理。
在網路管理頁簽,單擊綁定VPC。
在綁定VPC對話方塊,選擇VPC以及VPC下的交換器,並填寫VPC名稱。
VPC名稱只能包含字母和數字,必須以字母開頭,並且長度限制在3-16個字元之間。
單擊確定。
綁定成功後,在網路管理頁簽的VPC列表中可以查看已綁定的VPC資訊。該VPC中的ECS執行個體可以通過VPC地址訪問綁定的Tablestore執行個體。
綁定成功後,您可根據需要完成相關操作。
操作
描述
查看VPC執行個體列表
單擊VPC操作列的VPC執行個體列表即可查看VPC ID、執行個體名稱、VPC名稱和VPC網域名稱資訊。
解除執行個體和VPC的綁定關係
如果不再使用該VPC訪問Tablestore,您可以解除執行個體和VPC的綁定關係。解除綁定關係後,在該VPC內的ECS執行個體無法再通過VPC地址訪問Tablestore,如仍需訪問請再次綁定。
重要解除綁定VPC後,將無法繼續通過該VPC網域名稱訪問Tablestore執行個體,請謹慎操作。
單擊VPC操作列的解除綁定。
在解除綁定VPC對話方塊,確認已知曉相關風險點。
單擊確定。
步驟二:(可選)更改網路訪問類型
Tablestore預設允許通過經典網網域名稱、VPC網域名稱或者控制台進行訪問。如果要控制執行個體的網路存取權限,您可以更改執行個體網路類型為限定控制台或綁定VPC訪問或者限定綁定VPC訪問。
限制執行個體網路類型後,將不允許使用公網或者經典網訪問執行個體,只支援VPC或控制台訪問,請謹慎操作。
- 登入Table Store控制台。
在概覽頁面,單擊執行個體名稱或在操作列單擊執行個體管理。
在網路管理頁簽的網路存取控制地區,根據實際網路安全需求選擇訪問類型。
說明您可以選擇訪問類型為自訂後,自訂配置允許的網路類型和允許的來源類型。
如果只能允許通過控制台或者同地區的VPC內訪問Tablestore執行個體資源,請選擇訪問類型為限定控制台或綁定VPC訪問。
如果只允許通過綁定的VPC訪問Tablestore執行個體資源,請選擇訪問類型為限定綁定VPC訪問。
在風險提示對話方塊,仔細閱讀操作風險並選中複選框進行確認,單擊確定。
更改網路訪問類型後,後續在VPC中訪問Tablestore資源時,只能使用執行個體綁定VPC的VPC訪問地址。
步驟三:在VPC中訪問Tablestore資源
使用TablestoreSDK或者命令列工具在同一個VPC的ECS執行個體中通過VPC網域名稱訪問Tablestore資源。
更多許可權控制操作
您可以通過以下方式進一步限制使用者訪問資源的許可權。
如果為RAM使用者授予權限原則,您可以控制使用者訪問指定資源的許可權,例如IP地址、HTTPS協議、訪問時間、TLS版本等。更多資訊,請參見通過RAM Policy為RAM使用者授權和自訂RAM Policy。
通過為執行個體配置Instance Policy,您可以控制使用者訪問Tablestore執行個體的許可權,例如所處VPC、IP地址、TLS版本等。更多資訊,請參見為執行個體配置Instance Policy和Instance Policy許可權說明。
對於企業帳號,通過資來源目錄的管控策略,您可以控制資源訪問邊界,例如TLS版本、只能建立非公網訪問的執行個體。更多資訊,請參見通過Control Policy授權和自訂Control Policy。