终端节点(Endpoint)由服务使用方创建和维护,可以与终端节点服务相关联,从而建立通过PrivateLink私网访问外部服务的网络连接。一个终端节点只能关联一个终端节点服务,本文为您介绍如何创建和管理终端节点。
背景信息
私网连接能够实现VPC与终端节点服务之间建立安全稳定的私有连接,避免通过公网访问服务带来的潜在安全风险。支持连接的终端节点服务包括阿里云服务、其他终端节点服务和该账号下的可用终端节点服务。
使用限制
目前,仅部分地域支持私网连接。更多信息,请参见支持私网连接的地域和可用区。
支持反向终端节点的服务只能由阿里云和生态合作伙伴提供,默认不支持自己创建,如需自己创建,请联系客户经理申请。
前提条件
创建终端节点前,请确保满足以下条件:
首次使用时,请登录私网连接服务开通页面根据提示开通私网连接服务。开通私网连接服务之前,请确保您的账户余额>0美元。
您已经创建了终端节点服务,且终端节点服务至少添加了一个服务资源。具体操作,请参见创建和管理终端节点服务。
您已经创建了用于访问终端节点服务的VPC,且在已创建的终端节点服务对应的可用区创建了交换机。具体操作,请参见创建专有网络和交换机。
您已经创建了安全组。
具体操作,请参见创建安全组。
如果终端节点类型为接口终端节点时,您可以根据自己的实际业务和安全要求配置安全组规则。建议配置的安全组规则如下:
默认入开放ICMP协议,用于Ping ECS服务器等操作。
默认入方向开放SSH 22端口和RDP 3389端口,用于访问云服务器 ECS(Elastic Compute Service)实例。
(可选)开放入方向HTTP 80端口和HTTPS 443端口,用于终端节点所在的VPC通过HTTP协议或者HTTPS协议访问终端节点服务所在的VPC。
如果终端节点类型为反向终端节点时,入方向安全规则必须全部放行,即入方向开放全部协议、任意端口和任意地址段。
创建终端节点
- 登录终端节点控制台。
在顶部菜单栏处,选择终端节点所在的地域。
在终端节点页面,您可以通过以下三种方式创建终端节点。
在接口终端节点页签下,单击创建终端节点。
在反向终端节点页签下,单击创建终端节点。
在网关终端节点页签下,单击创建终端节点。
说明接口终端节点:正向访问,指服务使用方通过接口终端节点访问服务提供方提供的服务。
反向终端节点:反向访问,指服务提供方的服务通过反向终端节点访问服务使用方网络中的资源。
网关终端节点:是一个虚拟网关设备,在VPC中创建云服务的网关终端节点并指定关联的路由表,系统自动将该云服务的下一跳路由指向网关终端节点,实现对云服务的私网访问。关于网关终端节点的更多信息,请参见网关终端节点。
终端节点由服务使用方创建和管理,终端节点服务由服务提供方创建和管理。
在创建终端节点页面,根据以下信息配置终端节点,然后单击确定创建。
以下仅表示接口终端节点和反向终端节点的配置信息,网关终端节点的详细配置信息,请参见创建网关终端节点并查看路由条目。
创建接口终端节点
配置
说明
所属地域
选择终端节点所属地域。
节点名称
输入自定义终端节点的名称。
终端节点类型
选择接口终端节点。
终端节点服务
支持通过以下三种方式选择终端节点服务:
单击阿里云服务,然后输入目标终端节点服务名称。
单击其他终端节点服务,然后输入终端节点服务的名称,单击点击验证,验证服务合法性。
说明服务提供方需要给服务使用方添加白名单之后,验证才能通过,具体操作,请参见添加和管理服务白名单。
单击选择可用服务,然后选择或输入目标终端节点服务名称或ID。
专有网络
选择需要创建终端节点的VPC。
安全组
选择要与终端节点网卡关联的安全组,安全组可以管控VPC到终端节点网卡的数据通信。
终端节点网卡是终端节点VPC访问终端节点服务的入口。
说明一个终端节点默认最多支持添加5个安全组。
可用区与交换机
选择终端节点服务对应的可用区,然后选择该可用区内的交换机。系统会自动在每个交换机下创建一个终端节点网卡。
单可用区:支持只选择终端节点服务对应的一个可用区。
单击一个可用区与交换机后的图标。
在弹出的提示框中单击确定。
多可用区:支持选择终端节点服务对应的多个可用区。默认需要选择两个可用区和交换机。如果您需要选择更多可用区,请单击添加交换机。
说明选择多个可用区,能够保证应用在任何一个可用区出现故障时都能够快速切换到其他可用区,从而实现业务的高可用性和稳定性。避免因为某个可用区的故障而出现服务中断或数据丢失的情况。
资源组
选择终端节点所属的资源组。
标签
选择或输入标签键与标签值。
描述
输入终端节点的描述信息。
访问策略
选择访问策略。
默认策略:默认完全访问。
自定义策略:支持自行录入策略。
说明该参数仅终端节点服务选择阿里云服务时需要配置。目前支持配置访问策略的阿里云服务有操作审计(ActionTrail)。
关联角色创建须知
首次创建终端节点时,系统将会为您自动创建一个服务关联角色,以完成相应功能。更多信息,请参见服务关联角色。
创建反向终端节点
配置
说明
所属地域
选择终端节点所属地域。
节点名称
输入自定义终端节点的名称。
终端节点类型
选择反向终端节点。
终端节点服务
您可以通过以下两种方式选择终端节点服务:
单击其他终端节点服务,然后输入终端节点服务的名称,单击点击验证,验证服务合法性。
说明服务提供方需要给服务使用方添加白名单之后,验证才能通过,具体操作,请参见添加和管理服务白名单。
单击选择可用服务,然后选择或输入目标终端节点服务名称或ID。
说明一个终端节点仅支持关联一个终端节点服务。
专有网络
选择需要创建终端节点的VPC。
安全组
选择要与终端节点网卡关联的安全组,安全组可以管控VPC到终端节点网卡的数据通信。终端节点网卡是终端节点VPC访问终端节点服务的入口。
重要反向终端节点的安全组必须入方向全部放行。
可用区与交换机
选择终端节点服务对应的可用区,然后选择该可用区内的交换机。系统会自动在每个交换机下创建一个终端节点网卡。
单可用区:支持只选择终端节点服务对应的一个可用区。
单击一个可用区与交换机后的图标。
在弹出的提示框中单击确定。
多可用区:支持选择终端节点服务对应的多个可用区。默认需要选择两个可用区和交换机。如果您需要选择更多可用区,请单击添加交换机。
说明选择多个可用区,能够保证应用在任何一个可用区出现故障时都能够快速切换到其他可用区,从而实现业务的高可用性和稳定性。避免因为某个可用区的故障而出现服务中断或数据丢失的情况。
资源组
选择终端节点所属的资源组。
标签
选择或输入标签键与标签值。
描述
输入终端节点的描述信息。
关联角色创建须知
首次创建终端节点时,系统将会为您自动创建一个服务关联角色,以完成相应功能。更多信息,请参见服务关联角色。
查看接口终端节点策略
若接口终端节点连接的终端节点服务为阿里云服务或其他终端节点服务,创建完接口终端节点之后,您可通过以下方式查看终端节点策略。
- 登录终端节点控制台。
在顶部菜单栏处选择目标地域。
在终端节点页面的接口终端节点页签下,单击目标终端节点的实例ID。
在终端节点详情页面,单击访问策略页签,查看策略详情。
修改接口终端节点策略
若接口终端节点连接的终端节点服务为阿里云服务或其他终端节点服务,创建完接口终端节点之后,您可以修改接口终端节点策略。
- 登录终端节点控制台。
在顶部菜单栏处选择目标地域。
在终端节点页面的接口终端节点页签下,单击目标终端节点的实例ID。
在终端节点详情页面,单击访问策略页签。
单击编辑访问策略,在弹出的对话框中编辑完成之后,单击确定。
查看访问服务的域名或IP
创建完终端节点后,当终端节点类型为接口终端节点时,您可以通过终端节点域名、终端节点可用区域名或IP地址访问终端节点服务中的服务资源。
- 登录终端节点控制台。
在顶部菜单栏处,选择终端节点所在的地域。
在终端节点页面的接口终端节点页签下,找到目标终端节点,单击终端节点的实例ID。
在终端节点详情页面,您可以查看访问终端节点服务的终端节点域名、资源组、终端节点可用区域名和IP地址等信息。
说明当终端节点类型为反向终端节点时,没有终端节点域名和终端节点可用区域名。
修改终端节点
您可以修改终端节点的名称和描述信息。
删除终端节点
删除终端节点前,请先删除终端节点中的终端节点网卡。具体操作,请参见删除终端节点网卡。
您可以删除不需要的终端节点,删除终端节点后,该终端节点所属VPC将不能通过私网连接访问终端节点服务,请谨慎操作。
- 登录终端节点控制台。
在顶部菜单栏处,选择终端节点所在的地域。
在终端节点页面,找到目标终端节点,然后在操作列单击删除。
在删除终端节点对话框,单击确定。
(可选)标记终端节点
随着终端节点实例数量的增多,会加大您对终端节点实例的管理难度。通过标签将终端节点实例进行分组管理,有助于您搜索和筛选实例。
标签是您为实例分配的标记,每个标签都由一对键值对(Key-Value)组成。标签的使用说明如下:
一个实例的每条标签的标签键(Key)必须唯一。
一个实例最多可以绑定20个标签。
不支持未绑定实例的空标签存在,标签必须绑定在实例上。
不同地域中的标签信息不互通。
例如,在华东1(杭州)地域创建的标签在华东2(上海)地域不可见。
您可以修改标签的键和值,也可以删除实例的标签。如果删除实例,则绑定在该实例上的标签也会被删除。
在顶部菜单栏处,选择终端节点所在的地域。
在终端节点页面,找到目标终端节点实例,将鼠标悬停在标签列的图标上,然后在气泡框中单击绑定。
在编辑标签对话框,根据以下信息配置标签,然后单击确定。
配置
说明
标签键
标签的标签键,支持选择已有标签键或输入新的标签键。
标签键最多支持64个字符,不能以
aliyun
或acs:
开头,不能包含http://
或https://
。标签值
标签的标签值,支持选择已有标签值或输入新的标签值。
标签值最多支持128个字符,不能以
aliyun
或acs:
开头,不能包含http://
或https://
。返回终端节点页面,单击标签筛选,在标签筛选对话框中根据标签键和标签值来筛选终端节点实例。
相关文档
介绍类:
控制台操作类:
API类:
CreateVpcEndpoint:创建终端节点。
ListVpcEndpoints:查询终端节点
UpdateVpcEndpointAttribute:修改终端节点的属性。
DeleteVpcEndpoint:删除终端节点。