全部產品
Search
文件中心

Virtual Private Cloud:網關終端節點

更新時間:Oct 25, 2024

如果您需要通過終端節點實現VPC與阿里雲上的服務建立安全穩定的私人串連,您可以在VPC中建立雲端服務的網關終端節點並指定關聯的路由表,系統自動將該雲端服務的下一跳路由指向網關終端節點,實現對雲端服務的私網訪問。本文指導您如何建立和管理網關終端節點。

背景資訊

終端節點包括介面終端節點和網關終端節點兩種類型。終端節點都是由服務使用方建立和管理,通過與終端節點服務相關聯,建立訪問外部服務的私人訪問串連。

  • 介面終端節點:是一個具備私人IP地址的彈性網路介面ENI(Elastic Network Interface),作為訪問阿里雲雲端服務或者VPC終端節點服務的入口。更多資訊,請參見建立介面終端節點

  • 網關終端節點:是一個虛擬網關裝置,在VPC中建立雲端服務的網關終端節點並指定關聯的路由表,系統自動在網關終端節點關聯的路由表中添加目標網段為雲端服務位址區段(雲端服務位址區段以pl為首碼、尾碼隨機數表示)、下一跳指向網關終端節點的路由條目,實現對雲端服務的私網訪問。網關終端節點

    阿里雲為網關終端節點雲端服務在每個地區都規划了全域唯一的雲端服務位址區段(從100.64.0.0/10裡分配),確保地址的唯一性,可以配合雲企業網、VPC對等串連、VPN網關等產品實現跨地區訪問網關終端節點的雲端服務。

使用限制

  • 針對一種雲端服務,一個VPC只能綁定一個網關終端節點,一個VPC路由表只能關聯一個網關終端節點。

  • 針對不同的雲端服務,一個VPC可以綁定不同雲端服務的網關終端節點。一個VPC路由表可以關聯不同雲端服務的網關終端節點。

  • 當您在某個地區下首次建立不同雲端服務類型的網關終端節點時,系統將會為您自動建立一個對應的首碼列表,且該首碼列表不可修改也不可刪除。更多資訊,請參見查看首碼列表

  • 網關終端節點所屬的阿里雲帳號ID需要添加到服務白名單中。具體操作,請參見添加和管理服務白名單

  • 當前,支援網關終端節點的雲端服務為Object Storage Service(Object Storage Service),關於OSS的更多資訊,請參見什麼是Object Storage Service

  • OSS支援網關終端節點的地區如下表所示。

    地區

    網關終端節點支援的地區

    亞太地區

    華東1(杭州)華東2(上海)華北1(青島)華北2(北京)華北3(張家口)華北5(呼和浩特)華南1(深圳)華北6(烏蘭察布)華南2(河源)華南3(廣州)西南1(成都)中國香港日本(東京)新加坡澳大利亞(雪梨)馬來西亞(吉隆坡)印尼(雅加達)

    歐美地區

    德國(法蘭克福)英國(倫敦)美國(矽谷)美國(維吉尼亞)

前提條件

您已經建立了用於綁定網關終端節點的VPC。具體操作,請參見建立和管理專用網路

建立網關終端節點並查看路由條目

建立網關終端節點時,您需要指定要綁定網關終端節點的VPC和VPC需要訪問的雲端服務。

  1. 登入專用網路管理主控台
  2. 在頂部功能表列處,選擇要建立網關終端節點的地區。

  3. 在左側導覽列,單擊終端節點

  4. 單擊網關終端節點頁簽,然後單擊建立終端節點

  5. 建立終端節點頁面,配置以下參數資訊,然後單擊確定建立

    參數

    說明

    所屬地區

    選擇要建立網關終端節點所屬的地區。

    節點名稱

    輸入網關終端節點的名稱。

    終端節點類型

    選擇需要建立的終端節點類型,本文選擇網關終端節點

    終端節點服務

    您可以通過以下兩種方式設定終端節點服務:

    • 單擊其他終端節點服務,然後輸入雲端服務名稱,例如com.aliyun.cn-beijing.oss

    • 單擊選擇可用服務,然後選擇需要訪問的雲端服務。

    專用網路

    選擇需要建立網關終端節點的VPC。

    路由表

    選擇與網關終端節點關聯的路由表。

    資源群組

    選擇所屬地資源群組。

    標籤鍵

    選擇或輸入完整的標籤鍵。最多支援輸入20個標籤鍵。

    標籤鍵最多支援128個字元,不能以aliyunacs:開頭,也不能包含http://https://

    標籤值

    選擇或輸入完整的標籤值。最多支援輸入20個標籤值。

    標籤值最多支援128個字元,不能以aliyunacs:開頭,也不能包含http://https://

    描述

    輸入終端節點的描述資訊。

    存取原則

    輸入存取原則。例如,輸入以下存取原則:

    {
      "Statement":
        [
          {
            "Action": "oss:*",
            "Effect": "Allow",
            "Principal": ["174649585760xxxx"],
            "Resource": ["acs:oss:*:*:examplebucket",
                         "acs:oss:*:*:examplebucket/*"]
          }
        ],
      "Version": "1"
    }

    當前OSS支援通過存取原則控制VPC訪問OSS的行為。更多操作,請參見教程樣本:通過VPC Policy與Bucket Policy控制資料訪問安全

  6. 返回終端節點頁面,單擊網關終端節點頁簽,然後單擊已建立的網關終端節點ID。

  7. 關聯的路由表頁簽,單擊路由表ID。

  8. 選擇路由條目列表 > 自訂路由條目頁簽,查看系統自動添加的路由條目。

    路由條目列表

    建立成功後,系統會自動在選擇的網關終端節點關聯路由表中建立一條目標網段為雲端服務位址區段、下一跳指向建立的網關終端節點的路由條目。

刪除網關終端節點

您可以刪除不需要的網關終端節點。刪除網關終端節點前,您需要先解除綁定所有已關聯的路由表,解除綁定後,系統會在解除綁定的路由表中刪除指向網關終端節點的路由條目。

  1. 登入專用網路管理主控台
  2. 在左側導覽列,選擇終端節點 > 網關終端節點

  3. 在頂部功能表列處,選擇網關終端節點所屬的地區。

  4. 單擊網關終端節點頁簽,找到目標網關終端節點ID,然後在操作列單擊刪除

  5. 刪除終端節點對話方塊,單擊確定

更多操作

操作

步驟

添加網關終端節點關聯的路由表

  1. 網關終端節點頁面,找到要添加關聯路由表的網關終端節點,然後單擊網關終端節點的執行個體ID。

  2. 關聯的路由表頁簽,單擊關聯路由表

  3. 關聯路由表對話方塊,選擇需要關聯的路由表,然後單擊確定

    系統會自動在關聯路由表選中建立一條目標網段為雲端服務位址區段、下一跳指向該網關終端節點的路由條目。

解除綁定網關終端節點關聯的路由表

  1. 網關終端節點頁面,找到要解除綁定關聯路由表的網關終端節點,然後單擊網關終端節點的執行個體ID。

  2. 關聯的路由表頁簽,找到目標路由表ID,然後在操作列單擊解除關聯

  3. 解除關聯對話方塊,單擊確定

    系統會在解除綁定的路由表中刪除指向網關終端節點的路由條目。

編輯網關終端節點的存取原則

  1. 網關終端節點頁面,找到要編輯存取原則的網關終端節點,然後單擊網關終端節點的執行個體ID。

  2. 單擊存取原則頁簽,然後單擊編輯存取原則

  3. 編輯存取原則對話方塊,編輯存取原則,然後單擊確定

編輯網關終端節點的名稱

  1. 網關終端節點頁面,找到要編輯名稱的網關終端節點,然後單擊網關終端節點的執行個體ID。

  2. 基本資料地區,找到執行個體名稱,然後單擊編輯

  3. 在彈出的對話方塊,修改執行個體名稱,然後單擊確定

相關文檔