配置私有網絡資源的核心目的在于為云組件(例如ElasticSearch、AnalyticDB(ADB)和OSS Bucket)創建專屬的隔離環境。這樣設計的目的是確保百煉平臺的服務應用程序能夠在安全的網絡環境中順暢地進行數據讀寫操作,同時避免了與平臺上的其他云組件發生不必要的數據交互或資源共享,從而增強了數據的安全性和服務的穩定性。
前提條件
已聯系百煉平臺服務人員開通百煉安全存儲業務空間。該業務空間與在百煉中確認連接中的業務空間一致。
1. 配置OSS存儲
1.1 創建Bucket
在上傳文件(Object)到OSS之前,您需要創建一個用于存儲文件的存儲空間(Bucket)。
登錄OSS管理控制臺。
在左側導航欄,單擊Bucket 列表,進入Bucket 列表頁面。
單擊創建 Bucket。在創建 Bucket面板,配置以下各項參數,其余參數保持默認值即可。
參數名稱
參數取值
Bucket 名稱
輸入
bailian-safe-workspace-oss-access。地域
選擇
有地域屬性、華北2 (北京)。單擊完成創建。
1.2 設置Bucket對百煉可操作
基于安全規范要求,百煉只能訪問客戶授權過且設定了特定標簽的Bucket。在授權百煉訪問Bucket之前,需要對Bucket設置百煉可以訪問的特定標簽。
在Bucket 列表頁面,單擊剛才創建的Bucket名稱“bailian-safe-workspace-oss-access”。
在左側導航欄,選擇。
在Bucket 標簽頁面,單擊創建標簽。
單擊
添加標簽,并輸入以下值配置Bucket標簽。標簽名稱:輸入
bailian-safe-workspace-oss-access。標簽值:輸入
ReadAndWrite。
單擊保存,完成設置。
1.3 創建跨域規則
跨域訪問是由瀏覽器實施的一種安全策略,核心在于遵循同源策略,這是一項旨在防范惡意腳本的重要安全機制,確保網頁只能訪問與其來源相同的資源。依據這一原則,未經特殊配置,瀏覽器會阻止頁面向不同源的服務器(如阿里云對象存儲OSS)發起請求,以保護用戶數據和系統安全。然而,通過正確配置跨源資源共享(CORS)規則,我們可以授權特定來源的請求訪問OSS跨域資源,從而規避瀏覽器的跨域限制,實現安全可控的數據交互。
在Bucket 列表頁面,單擊剛才創建的Bucket名稱“bailian-safe-workspace-oss-access”。
在左側導航欄,選擇。
單擊創建規則,配置以下參數,其它參數保持默認即可。
參數名稱
參數取值
來源
輸入
*bailian.console.aliyun.com。允許Methods
選擇
GET、POST、PUT、DELETE。單擊確定,完成創建。
1.4 配置OSS
登錄阿里云百煉大模型服務平臺。
鼠標懸停于頁面右上角頭像,再在下拉菜單中選擇主賬號管理。
在左側導航欄中,選擇業務空間管理。
查找到已經創建的百煉安全存儲業務空間,在操作列單擊管理百煉安全存儲空間。
選擇資源配置頁簽,在OSS配置區域配置以下參數。
參數名稱
參數取值
Bucket
選擇剛才創建的Bucket“bailian-safe-workspace-oss-access”。
單擊保存,完成配置。
重要如果OSS的Bucket停止服務,將導致百煉安全存儲空間、知識庫、審計日志、歷史記錄等模塊不可用,需要恢復OSS的Bucket才能恢復服務。
如果OSS的Bucket被釋放,將造成百煉安全存儲空間不可用,且無法恢復,需要重新創建一個新的安全存儲空間。
2. 配置ADB存儲
2.1 購買ADB資源
單擊頁面右上角的購買實例,配置以下各項參數,其余參數保持默認值即可。
參數名稱
參數取值
商品類型
請按實際業務需求選擇。
地域和可用區
地域:選擇“華北2(北京)”。
可用區:請在“華北2可用區G”、“華北2可用區H”、“華北2可用區I”中任選其一。
引擎版本
選擇“6.0 標準版”。
實例系列
建議選擇“高可用版”。
向量引擎優化
選擇“開啟”。
專有網絡(VPC)
選擇與配置終端節點并發起連接中相同的專有網絡和交換機。
專有網絡交換機
單擊立即購買。
2.2 配置ADB
登錄阿里云百煉大模型服務平臺。
鼠標懸停于頁面右上角頭像,再在下拉菜單中選擇主賬號管理。
在左側導航欄中,選擇業務空間管理。
查找到已經創建的百煉安全存儲業務空間,在操作列單擊管理百煉安全存儲空間。
首次配置ADB,需要授權阿里云百煉平臺訪問您的ADB對象存儲資源、使用該權限訪問、讀取、寫入和調用對象存儲的數據和服務。
選擇資源配置頁簽,在ADB配置區域單擊去授權,在彈出的ADB服務關聯角色對話框中單擊確定授權。
配置以下參數。
參數名稱
參數取值
向量存儲
選擇剛才購買的ADB資源。
單擊保存,完成配置。
3. 配置ES存儲
3.1 購買ElasticSearch存儲
在左側導航欄,單擊Elasticsearch實例。
單擊創建,配置以下參數,其余參數保持默認即可。
參數名稱
參數取值
商品類型
按實際業務需求選擇。
地域和可用區
地域:選擇“華北2(北京)”。
可用區:請在“北京可用區H”、“北京可用區G”或“北京可用區L”中任選其一。
可用區數量
選擇“兩個可用區”。
專有網絡
選擇與配置終端節點并發起連接中相同的專有網絡和交換機。
虛擬交換機
實例類型
選擇“內核增強版”。
Elasticsearch版本
選擇“7.10”。
登錄名
默認值“elastic”。
登錄密碼
自定義設置。
請將密碼記錄到安全的地方,后續“配置ES”時會用到。
單擊立即購買,進入確認訂單頁面,確認實例配置無誤后,選中服務協議,單擊立即開通。
在Elasticsearch實例頁面的頂部菜單欄,選擇“華北2(北京)”,在實例列表中查看已創建的ES實例。
實例創建后,需要一段時間才能生效。時間長短與您的集群規格、數據結構和大小等相關,一般在小時級別。您可以在實例列表的狀態列,查看實例狀態。
3.2 配置ES
登錄阿里云百煉大模型服務平臺。
鼠標懸停于頁面右上角頭像,再在下拉菜單中選擇主賬號管理。
在左側導航欄中,選擇業務空間管理。
查找到已經創建的百煉安全存儲業務空間,在操作列單擊管理百煉安全存儲空間。
選擇資源配置頁簽,在ES配置區域單擊配置,配置以下參數。
參數名稱
參數取值
私網域名
在左側導航欄,選擇Elasticsearch實例。
單擊剛才創建的ES實例,進入詳情頁面。
私網地址對應的值即為需要獲取的私網域名。
私網地址
可用區需要全部配置,對應的IP地址為ElasticSearch在專有網絡內的地址,請參考以下操作獲取:
登錄ECS實例。
登錄ECS管理控制臺。
在左側導航欄,選擇。
在頁面左側頂部,選擇ECS所在的地域“華北2(北京)”。
在實例頁面,找到ECS實例,單擊操作列對應的遠程連接。
在彈出的遠程連接對話框中,單擊展開其他登錄方式,再在通過VNC遠程連接中單擊立即登錄。
以root用戶登錄ECS實例。
查詢私網域名對應的IP地址。
輸入dig,單擊復制命令輸入。
說明如果未安裝dig,請執行以下命令安裝dig命令。
yum install -y bind-utils
等待程序安裝完成,再執行dig命令查詢私網域名對應的IP地址。
在復制粘貼命令對話框中,輸入剛獲取的私網域名。
確認無誤后,單擊確定。
“ANSWER SECTION”中,ES域名解析后的IP地址即為需要獲取的私網地址。
賬號
輸入
elastic。密碼
剛才“購買ElasticSearch存儲”時設置的密碼。
單擊保存。
保存成功后,單擊連通性測試進行ES的訪問可達性測試。
等待界面提示“連通性測試成功”,單擊我已知曉,完成所有配置。
重要如果ES停止計費,將導致百煉安全存儲空間、知識庫、審計日志、歷史記錄等模塊不可用。需要給ES續費才能恢復服務。
如果ES被釋放,將造成百煉安全存儲空間不可用,且無法恢復。需要重新創建一個新的安全存儲空間。
驗證結果
配置前,百煉安全存儲空間不可用。
配置完成后,百煉安全存儲空間可用。