配置Serverless應(yīng)用公網(wǎng)或私網(wǎng)訪問
如果您需要通過公網(wǎng)或私網(wǎng)訪問Elasticsearch Serverless(簡(jiǎn)稱ES Serverless)服務(wù)的應(yīng)用或應(yīng)用的Kibana,需要開啟并配置Serverless應(yīng)用及Kibana的公網(wǎng)或私網(wǎng)訪問。開啟公網(wǎng)訪問需要設(shè)置訪問白名單,開啟私網(wǎng)訪問需要為應(yīng)用關(guān)聯(lián)終端節(jié)點(diǎn)并配置訪問白名單。
背景信息
公網(wǎng)訪問通過公共互聯(lián)網(wǎng)訪問Serverless應(yīng)用,訪問方式便捷,但可能存在網(wǎng)絡(luò)安全性較差、網(wǎng)絡(luò)不穩(wěn)定的現(xiàn)象。
私網(wǎng)訪問通過阿里云私網(wǎng)連接(PrivateLink)建立您的專有網(wǎng)絡(luò)VPC與Serverless應(yīng)用的私有連接,可以避免公網(wǎng)訪問帶來的潛在安全風(fēng)險(xiǎn)。關(guān)于PrivateLink的更多信息,請(qǐng)參見什么是私網(wǎng)連接。
開啟應(yīng)用私網(wǎng)訪問時(shí),需要?jiǎng)?chuàng)建并關(guān)聯(lián)至少一個(gè)Serverless托管的終端節(jié)點(diǎn),以實(shí)現(xiàn)VPC和ES Serverless服務(wù)的私網(wǎng)連接。
一個(gè)Serverless托管終端節(jié)點(diǎn)可以被多個(gè)應(yīng)用關(guān)聯(lián)。
您僅能在Serverless終端節(jié)點(diǎn)管理界面進(jìn)行修改及刪除操作,不支持在Privatelink控制臺(tái)進(jìn)行修改或刪除等操作。
由ES Serverless托管創(chuàng)建的privatelink終端節(jié)點(diǎn)所產(chǎn)生的實(shí)例及流量費(fèi)用,由阿里云ES作為服務(wù)提供方承擔(dān),用戶無需付費(fèi)。
操作步驟
配置公網(wǎng)訪問應(yīng)用
- 登錄阿里云Elasticsearch控制臺(tái)。
在左側(cè)導(dǎo)航欄,單擊Elasticsearch Serverless版本。
說明如果您所在的地域沒有Elasticsearch Serverless服務(wù),請(qǐng)?jiān)陧敳坎藛螜谇袚Q地域。
在Elasticsearch Serverless服務(wù)控制臺(tái)的左側(cè)導(dǎo)航欄,單擊應(yīng)用管理。
在應(yīng)用管理頁面,單擊目標(biāo)應(yīng)用名稱。
在應(yīng)用詳情頁,打開公網(wǎng)訪問應(yīng)用開關(guān)或公網(wǎng)訪問Kibana開關(guān)。
說明如果對(duì)應(yīng)開關(guān)已打開,單擊對(duì)應(yīng)開關(guān)后的白名單設(shè)置,修改白名單。
在彈出的對(duì)話框中,添加待訪問設(shè)備的白名單IP地址。
建議您根據(jù)下表匹配業(yè)務(wù)場(chǎng)景,獲取正確的IP地址,并將其添加至對(duì)應(yīng)白名單中。
場(chǎng)景
需獲取的IP地址
獲取方式
通過本地設(shè)備公網(wǎng)訪問Serverless應(yīng)用的Kibana服務(wù)。
本地設(shè)備的IP地址。
說明如果您的本地設(shè)備處在家庭網(wǎng)絡(luò)或公司局域網(wǎng)中,需要添加局域網(wǎng)的公網(wǎng)出口IP地址。
在本地設(shè)備的瀏覽器中訪問www.cip.cc,或在本地設(shè)備中執(zhí)行
curl cip.cc
。您還可以單擊添加當(dāng)前IP地址,將當(dāng)前設(shè)備的IP地址自動(dòng)添加到白名單中。使用該功能前必須先關(guān)閉本地代理。
客戶端通過公網(wǎng)訪問Serverless應(yīng)用。
客戶端的公網(wǎng)IP地址。
以獲取ECS實(shí)例的IP地址為例:
在左側(cè)導(dǎo)航欄單擊實(shí)例。
在頂部菜單欄選擇實(shí)例所在地域。
在ECS實(shí)例列表中查看目標(biāo)實(shí)例的公網(wǎng)IP地址或私網(wǎng)IP地址。
說明不支持公網(wǎng)IPv6地址。
IP白名單組最多支持200個(gè),每組白名單下的IP地址或者IP網(wǎng)段數(shù)量最多支持1000個(gè)。
支持配置單個(gè)IP地址(例如,192.168.0.1)、IP網(wǎng)段(例如,192.168.0.0/24)和多個(gè)IP地址,多個(gè)IP地址之間用英文逗號(hào)(,)隔開。
如果白名單為IP網(wǎng)段,您需要填寫的IP地址為掩碼計(jì)算后子網(wǎng)網(wǎng)段的第一個(gè)IP地址。
127.0.0.1
表示禁止所有IPv4地址訪問。0.0.0.0/0
表示允許所有IPv4地址訪問,該設(shè)置將降低應(yīng)用數(shù)據(jù)安全性,請(qǐng)謹(jǐn)慎使用。
單擊確定。
配置私網(wǎng)訪問應(yīng)用
- 登錄阿里云Elasticsearch控制臺(tái)。
在左側(cè)導(dǎo)航欄,單擊Elasticsearch Serverless版本。
說明如果您所在的地域沒有Elasticsearch Serverless服務(wù),請(qǐng)?jiān)陧敳坎藛螜谇袚Q地域。
在Elasticsearch Serverless服務(wù)控制臺(tái)的左側(cè)導(dǎo)航欄,單擊應(yīng)用管理。
在應(yīng)用管理頁面,單擊目標(biāo)應(yīng)用名稱。
在應(yīng)用詳情頁,打開私網(wǎng)訪問應(yīng)用開關(guān)或私網(wǎng)訪問Kibana開關(guān)。
說明如果對(duì)應(yīng)開關(guān)已打開,單擊對(duì)應(yīng)開關(guān)后的私網(wǎng)白名單設(shè)置修改私網(wǎng)訪問的白名單,或者單擊對(duì)應(yīng)開關(guān)后的私網(wǎng)訪問設(shè)置,修改應(yīng)用關(guān)聯(lián)的終端節(jié)點(diǎn)。
在彈出的對(duì)話框中,選擇已有的私網(wǎng)終端節(jié)點(diǎn)。
專有網(wǎng)絡(luò)根據(jù)選擇的私網(wǎng)終端節(jié)點(diǎn)自動(dòng)加載。
您也可以單擊私網(wǎng)終端節(jié)點(diǎn)文本框下的新建終端節(jié)點(diǎn),新建一個(gè)終端節(jié)點(diǎn)。
參數(shù)說明:
說明通過PrivateLink實(shí)現(xiàn)私網(wǎng)訪問需要通過RAM角色扮演(服務(wù)關(guān)聯(lián)角色)的方式訪問Privatelink等其他云服務(wù)的資源。如果您未創(chuàng)建過相關(guān)服務(wù)關(guān)聯(lián)角色,系統(tǒng)將自動(dòng)為您創(chuàng)建。更多信息,請(qǐng)參見ES Serverless服務(wù)關(guān)聯(lián)角色介紹。
參數(shù)
說明
終端節(jié)點(diǎn)名稱
輸入終端節(jié)點(diǎn)的名稱,創(chuàng)建后不允許修改。終端節(jié)點(diǎn)名稱需滿足以下條件:
長(zhǎng)度為2~128個(gè)字符。
以英文大小寫字母或中文開頭。
可包含數(shù)字、下劃線(_)和連字符(-)。
選擇專有網(wǎng)絡(luò)
選擇所屬地域下的專有網(wǎng)絡(luò)。
說明專有網(wǎng)絡(luò)是一種隔離的網(wǎng)絡(luò)環(huán)境,安全性和性能均高于傳統(tǒng)的經(jīng)典網(wǎng)絡(luò)。如果沒有合適的專有網(wǎng)絡(luò)VPC,您可前往專有網(wǎng)絡(luò)控制臺(tái)創(chuàng)建。
選擇交換機(jī)
選擇可用區(qū)和交換機(jī)。
交換機(jī)只顯示專有網(wǎng)絡(luò)中與所選可用區(qū)相同的交換機(jī)。
為實(shí)現(xiàn)業(yè)務(wù)的高可用和穩(wěn)定性保障,建議至少選擇兩個(gè)可用區(qū)。若沒有合適的交換機(jī),您可前往專有網(wǎng)絡(luò)控制臺(tái)創(chuàng)建。
僅支持部分可用區(qū),實(shí)際以控制臺(tái)為準(zhǔn)。
杭州:可用區(qū)G、H、I
北京:可用區(qū)G、H、I
上海:可用區(qū)B、G、F
深圳:可用區(qū)D、E、F
添加待訪問設(shè)備的白名單IP地址。
建議您根據(jù)下表匹配業(yè)務(wù)場(chǎng)景,獲取正確的IP地址,并將其添加至對(duì)應(yīng)白名單中。
場(chǎng)景
需獲取的IP地址
獲取方式
通過本地設(shè)備私網(wǎng)訪問Serverless應(yīng)用的Kibana服務(wù)。
本地設(shè)備的IP地址。
說明如果您的本地設(shè)備處在家庭網(wǎng)絡(luò)或公司局域網(wǎng)中,需要添加局域網(wǎng)的公網(wǎng)出口IP地址。
在本地設(shè)備的瀏覽器中訪問www.cip.cc,或在本地設(shè)備中執(zhí)行
curl cip.cc
。您還可以單擊添加當(dāng)前IP地址,將當(dāng)前設(shè)備的IP地址自動(dòng)添加到白名單中。使用該功能前必須先關(guān)閉本地代理。
客戶端通過私網(wǎng)訪問Serverless應(yīng)用。
客戶端的私網(wǎng)IP地址。
以獲取ECS實(shí)例的IP地址為例:
在左側(cè)導(dǎo)航欄單擊實(shí)例。
在頂部菜單欄選擇實(shí)例所在地域。
在ECS實(shí)例列表中查看目標(biāo)實(shí)例的公網(wǎng)IP地址或私網(wǎng)IP地址。
說明僅支持添加在固定私網(wǎng)網(wǎng)段的IP地址。例如,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,127.0.0.1,0.0.0.0/0等。
127.0.0.1
表示禁止所有IPv4地址訪問。0.0.0.0/0
表示允許所有IPv4地址訪問,該設(shè)置將降低應(yīng)用數(shù)據(jù)安全性,請(qǐng)謹(jǐn)慎使用。
白名單將添加到與專有網(wǎng)絡(luò)同名的私網(wǎng)白名單分組中,您可在添加完成后自行修改白名單。
單擊確認(rèn)。
管理公網(wǎng)或私網(wǎng)訪問配置
在應(yīng)用管理頁面的應(yīng)用列表中,單擊目標(biāo)應(yīng)用名稱,進(jìn)入目標(biāo)應(yīng)用詳情頁面。
項(xiàng)目 | 操作 |
修改白名單 |
說明 如果您僅需要增加私網(wǎng)訪問白名單,也可以通過添加應(yīng)用關(guān)聯(lián)的終端節(jié)點(diǎn)來實(shí)現(xiàn)。 |
添加應(yīng)用關(guān)聯(lián)的終端節(jié)點(diǎn) |
|
移除應(yīng)用關(guān)聯(lián)的終端節(jié)點(diǎn) |
|
管理終端節(jié)點(diǎn)
在Elasticsearch Serverless服務(wù)控制臺(tái)的左側(cè)導(dǎo)航欄,單擊VPC終端節(jié)點(diǎn),進(jìn)入VPC終端節(jié)點(diǎn)管理頁面。
項(xiàng)目 | 操作 |
查看終端節(jié)點(diǎn)信息 | 在VPC終端節(jié)點(diǎn)頁面:
|
新建終端節(jié)點(diǎn) |
說明 創(chuàng)建完成后,終端節(jié)點(diǎn)的狀態(tài)為創(chuàng)建中,預(yù)計(jì)等待1-3分鐘節(jié)點(diǎn)狀態(tài)變?yōu)?b data-tag="uicontrol" id="6e8e97a355r8u" class="uicontrol">可用。 |
修改終端節(jié)點(diǎn)信息 | 在VPC終端節(jié)點(diǎn)頁面,單擊目標(biāo)終端節(jié)點(diǎn)操作列上的修改,修改終端節(jié)點(diǎn)的名稱和交換機(jī),終端節(jié)點(diǎn)的專有網(wǎng)絡(luò)不允許修改。 |
刪除終端節(jié)點(diǎn) | 在VPC終端節(jié)點(diǎn)頁面,單擊目標(biāo)終端節(jié)點(diǎn)操作列上的刪除,刪除終端節(jié)點(diǎn)。 說明 如果終端節(jié)點(diǎn)被一個(gè)或多個(gè)應(yīng)用關(guān)聯(lián),不允許直接刪除,需要先在應(yīng)用中移除該終端節(jié)點(diǎn)。具體操作,請(qǐng)參見移除應(yīng)用關(guān)聯(lián)的終端節(jié)點(diǎn)。 |
相關(guān)文檔
您可以通過以下幾種方式訪問Serverless應(yīng)用:
說明用戶名:在應(yīng)用詳情頁的基本信息區(qū)域查看和復(fù)制。
用戶密碼:創(chuàng)建應(yīng)用時(shí)輸入的密碼。如果您忘記了密碼,可以在應(yīng)用詳情頁的基本信息區(qū)域,單擊用戶密碼后的修改,修改用戶密碼。