本文介绍网络端点的概念、配置和常见用法。
基础介绍
网络端点(Network Access Endpoint)是IDaaS EIAM实例进行网络访问的载体,分为专属端点和共享端点。专属端点需要购买后才可使用(专属端点计费说明),共享端点可以免费使用。
专属端点
专属端点是您的EIAM实例独享的网络端点,本质上是您的EIAM实例持有您VPC中的一个ENI,您可以针对该ENI设置安全组规则或网络配置,从而实现EIAM实例的专属私网访问或专属公网访问。
专属私网访问
EIAM实例通过私网连接到您的阿里云VPC后,无需开放公网端口即可实现AD/LDAP/应用的数据同步以及AD/LDAP的委托认证。
下面以AD为例,展示针对不同网络规划的支持方式,以供您参考。
AD和ENI属于同一个阿里云VPC
如果您的AD域服务器和EIAM持有的ENI同属于一个阿里云VPC,此时您需要采用如下网络ACL方式:
AD域服务器所属安全组放行ENI的IP。
AD和ENI属于不同阿里云VPC
如果您的AD域服务器和EIAM持有的ENI同属于不同的阿里云VPC,此时您需要采用如下网络ACL方式:
通过CEN连通不同的阿里云VPC。
AD域服务器所属的安全组放行ENI的IP。
AD属于线下IDC或其它云服务厂商
如果您的AD与服务器属于自己的线下IDC或者其它云服务厂商,此时您需要采用如下网络ACL方式:
通过专线(VPN等)拉通阿里云侧VPC和AD域服务器所属的IDC或其它云服务厂商。
AD域服务器所在的防火墙放行ENI的IP。
专属公网访问
EIAM实例通过私网连接到您的阿里云VPC后,您可以为EIAM所持有的ENI绑定弹性公网IP或者为您的阿里云VPC绑定公网NAT网关,从而让EIAM实例可以使用您的公网IP访问公网。您可以将此公网IP作为企业微信的可信IP,从而满足企业微信的相关要求。
共享端点
共享端点是EIAM实例进行网络访问时默认使用的网络端点,所有EIAM实例共用。仅支持访问公网。
两种端点的对比
以下是专属端点和共享端点的能力对比。
能力项 | 专属端点 | 共享端点 |
使用专属IP访问私网 | 支持 | 不支持 |
使用专属IP访问公网 | 支持 | 不支持 |
使用共用IP访问公网 | 不支持 | 支持 |
网络端点资源所有权(ENI、安全组等) | 您的阿里云主账号 | IDaaS团队 |
是否默认即可使用 | 否 | 是 |
是否免费 | 否 | 是 |
网络端点支持情况
下表是目前各功能模块的网络端点支持情况。各模块默认使用共享端点,如需变更需手动切换。
功能模块 | 专属端点-私网访问 | 专属端点-公网访问 | 共享端点-公网访问 |
钉钉入方向身份提供方 | 不支持 | 不支持 | 支持 |
钉钉出方向身份提供方 | 不支持 | 不支持 | 支持 |
AD入方向身份提供方 | 支持 | 支持 | 支持 |
LDAP入方向身份提供方 | 支持 | 支持 | 支持 |
企业微信入方向身份提供方 | 不支持 | 支持 | 不支持 |
应用市场应用 | 暂不支持 | 暂不支持 | 支持 |
SAML应用 | 暂不支持 | 暂不支持 | 支持 |
OIDC应用 | 暂不支持 | 暂不支持 | 支持 |
自研应用 | 暂不支持 | 暂不支持 | 支持 |
添加专属端点
在个性化-网络端点中即可进入网络端点管理页面。
第一步:创建服务关联角色(SLR)
访问网络端点页面或添加专属端点时,如当前不存在服务关联角色,需要先创建IDaaS EIAM服务关联角色。阿里云主账号或拥有AliyunIDaaSEiamFullAccess权限的阿里云用户才可执行此操作。
第二步:升级或升配实例
当实例的专属端点数量少于专属端点配额时,您才可以创建专属端点。专属端点配额需单独购买。
目前每个EIAM实例最多支持1个专属端点。
第三步:选择资源
在网络端点页面中单击添加专属端点,开始添加流程。
填写专属端点名称,并选择希望连接的地域、专用网络、交换机等信息。
添加专属端点后,不支持修改地域、专有网络、交换机等信息,请确认后填写。
显示名称:专属端点的显示名称,仅在控制台中展示。
地域(Region):选择希望连接的专有网络所在的地域。
专有网络(VPC):选择当前地域下的专有网络。如果您需要私网访问AD/LDAP/应用等服务,请选择这些服务所在的或可以访问这些服务的专有网络。
交换机(vSwitch):选择当前专有网络下的交换机。交换机的可用IP数需大于2个,且不可使用33网段。最多选择2个交换机。
强烈建议选择2个不同可用区的交换机,以增强容灾能力。
确认无误后,单击确定即可开始添加专属端点。
添加完成后,还需进行如下配置,才可正式使用专属端点:
如需实现专属私网访问,请授权私网访问
如需实现专属公网访问,请配置专属公网出口IP
授权私网访问
在页面中,在需要专属私网访问的专属端点中单击授权私网访问。
第一步:获取访问规则
在弹窗中访问规则,复制授权对象。授权对象中聚合了当前专属端点的所有专属私网出口IP。
第二步:配置安全组访问规则
单击前往添加,前往,在页面中选择需要私网访问的服务所在的安全组。
以AD为例,需要选择的是AD域服务器所在的属于您的安全组(不同网络规划的支持方式请见专属私网访问),而非由EIAM创建的安全组。
进入安全组,在中单击手动添加。
在新增的访问规则中填写如下内容并保存:
授权策略:允许。
优先级:1。
协议类型:自定义TCP。
端口范围:填写您的服务的端口范围。如果连接的是AD/LDAP,一般使用389或636。
授权对象:在上一步中复制的专属私网出口IP地址。
第三步:切换专属端点访问
以AD为例,前往身份提供方页面,单击修改,即可修改基础配置。
在网络配置-网络端点中,选择专属端点,在下拉框中选择已配置安全组访问规则的专属端点。
单击确认时,该实例将立即进行校验:使用该专属端点的专属私网出口IP(即弹性网卡主私网IP)访问该AD服务,如果弹性网卡(最多两张)均能访问成功,则校验通过,立即切换为专属端点;如果任一弹性网卡访问失败,则校验不通过,提示错误信息。
校验通过将立即切换为专属端点进行访问,建议提前使用测试环境进行验证。且付费实例到期释放或退订时,专属端点将立即不可用,并在一天后自动被删除。如需使用共享端点或其他专属端点,需手动切换。建议在删除前修改您的服务中的网络访问白名单配置。
配置专属公网出口 IP
通过公网NAT网关配置,实现EIAM实例通过您指定的IP访问公网,您可以将此公网IP作为企业微信的可信IP,从而满足企业微信的相关校验。
第一步:查看专属网络地域
在页面中,在需要专属公网访问的专属端点中查看专有网络地域。
第二步:绑定弹性公网IP
在专有网络-公网NAT网关中,选择和专有网络地域相同的地域下的公网NAT网关,单击立即绑定弹性公网IP,开始绑定流程。如无可用资源请提前创建公网NAT网关。
您可以从已有的弹性公网IP中选择,也可以直接新购并绑定弹性公网IP。
绑定成功后,如果您当前实例下没有SNAT条目,请参考创建和管理SNAT条目,之后专属端点即可支持公网访问能力。
您可以在个性化-网络端点页面的查看专属公网出口IP中查看当前专属使用的公网IP。
切换专属端点访问
以AD为例,前往身份提供方页面,单击修改,即可修改基础配置。
在网络配置-网络端点中,选择专属端点,在下拉框中选择已配置专属公网出口IP的专属端点。
单击确认时,该实例将立即进行校验:使用该专属端点的专属公网出口IP(即弹性网卡或公网NAT网关的公网IP)访问该AD服务,如果弹性网卡(最多两张)均能访问成功,则校验通过,立即切换为专属端点;如果任一弹性网卡访问失败,则校验不通过,提示错误信息。
您可以单击专属公网出口IP中的立即查看查看所使用的网关IP。
校验通过将立即切换为专属端点进行访问,建议提前使用测试环境进行验证。且付费实例到期释放或退订时,专属端点将立即不可用,并在一天后自动被删除。如需使用共享端点或其他专属端点,需手动切换。建议在删除前修改您的服务中的网络访问白名单配置。
修改专属端点
专属端点仅支持修改显示名称。如需修改其他信息,需删除后重新配置。
删除专属端点
有两种方式删除专属端点:
当实例中没有模块(身份提供方、应用)使用专属端点功能时,管理员可以手动删除
付费实例到期释放、退订时,IDaaS强制自动删除
删除专属端点时,IDaaS将会释放由IDaaS在您的账号下创建的对应资源,包括:
弹性网卡
云产品托管安全组
删除专属端点后,资源和数据不可恢复,专属端点立即不可使用。如果您需要删除AliyunServiceRoleForEiam服务关联角色,需删除所有EIAM实例。
删除专属端点后,如需使用共享端点或其他专属端点,需手动在身份提供方或应用中切换。建议在删除前修改您的服务中的网络访问白名单配置。