创建和管理终端节点
终端节点(Endpoint)可以与终端节点服务相关联,以建立通过专有网络 VPC(Virtual Private Cloud)私网访问外部服务的网络连接。本文为您介绍如何创建和管理终端节点。
背景信息
私网连接能够实现VPC与阿里云上的服务建立安全稳定的私有连接,避免通过公网访问服务带来的潜在安全风险。您可以通过创建终端节点,并且将终端节点与终端节点服务相关联,以建立通过VPC私网访问外部服务的网络连接。
使用限制
目前,仅部分地域支持私网连接。更多信息,请参见支持私网连接的地域和可用区。
私网连接默认不支持创建反向终端节点,如需使用,请联系客户经理申请。
支持反向终端节点的服务只能由阿里云和生态合作伙伴提供,无法自己创建。
任务
前提条件
创建终端节点前,请确保满足以下条件:
首次使用时,请登录私网连接服务开通页面根据提示开通私网连接服务。
您已经创建了终端节点服务,且终端节点服务至少添加了一个服务资源。具体操作,请参见创建和管理终端节点服务。
您已经创建了用于访问终端节点服务的VPC,且在已创建的终端节点服务对应的可用区创建了交换机。具体操作,请参见创建专有网络和交换机。
您已经创建了安全组。
如果终端节点类型为接口终端节点时,您可以根据自己的实际业务和安全要求配置安全组规则。建议配置的安全组规则如下:
默认开放ICMP协议,用于Ping ECS服务器等操作。
默认入方向开放SSH 22端口和RDP 3389端口,用于访问云服务器 ECS(Elastic Compute Service)实例。
可选开放入方向HTTP 80端口和HTTPS 443端口,用于终端节点所在的VPC通过HTTP协议或者HTTPS协议访问终端节点服务所在的VPC。
如果终端节点类型为反向终端节点时,入方向安全规则必须全部放行,即入方向开放全部协议、任意端口和任意地址段。
具体操作,请参见创建安全组。
创建终端节点
- 登录终端节点控制台。
在顶部菜单栏处,选择终端节点所在的地域。
首次使用私网连接时,在终端节点页面,单击开通私网连接服务。
在弹出的对话框中,选择私网连接服务协议,然后单击开通私网连接服务。
在终端节点页面,您可以通过以下三种方式创建终端节点。
在接口终端节点页签下,单击创建终端节点。
在反向终端节点页签下,单击创建终端节点。
在网关终端节点页签下,单击创建终端节点。
说明接口终端节点是指服务使用方通过接口终端节点访问服务提供方提供的服务。
反向终端节点是指服务提供方的服务通过反向终端节点访问服务使用方网络中的资源。
网关终端节点是一个虚拟网关设备,在VPC中创建云服务的网关终端节点并指定关联的路由表,系统自动将该云服务的下一跳路由指向网关终端节点,实现对云服务的私网访问。关于网关终端节点的更多信息,请参见网关终端节点。
终端节点由服务使用方创建和管理,终端节点服务由服务提供方创建和管理。
在创建终端节点页面,根据以下信息配置终端节点,然后单击确定创建。
以下仅表示接口终端节点和反向终端节点的配置信息,网关终端节点的详细配置信息,请参见创建网关终端节点并查看路由条目。
配置
说明
节点名称
输入自定义终端节点的名称。
终端节点类型
根据需要输入终端节点类型。终端节点有以下两种类型:
接口终端节点:正向访问,表示服务使用方通过接口终端节点访问服务提供方提供的服务。
反向终端节点:反向访问,表示服务提供方提供的服务通过反向终端节点访问服务使用方网络中的资源。
终端节点服务
您可以通过以下两种方式设置终端节点服务:
单击通过服务实例名称添加,然后输入终端节点服务的名称。
单击选择可用服务,然后选择目标终端节点服务。
说明一个终端节点仅支持关联一个终端节点服务。
专有网络
选择需要创建终端节点的VPC。
安全组
选择要与终端节点网卡关联的安全组,安全组可以管控VPC到终端节点网卡的数据通信。
说明终端节点网卡是终端节点VPC访问终端节点服务的入口。
可用区与交换机
选择终端节点服务对应的可用区,然后选择该可用区内的交换机。系统会自动在每个交换机下创建一个终端节点网卡。
单可用区:支持只选择终端节点服务对应的一个可用区。
单击一个可用区与交换机后的
图标。在弹出的提示框中单击确定。
多可用区:支持选择终端节点服务对应的多个可用区。默认需要选择两个可用区和交换机。如果您需要选择更多可用区,请单击添加交换机。
说明选择多个可用区,能够保证应用在任何一个可用区出现故障时都能够快速切换到其他可用区,从而实现业务的高可用性和稳定性。避免因为某个可用区的故障而出现服务中断或数据丢失的情况。
资源组
选择终端节点所属的资源组。
描述
输入终端节点的描述信息。
关联角色创建须知
首次创建终端节点时,系统将会为您自动创建一个服务关联角色,以完成相应功能。更多信息,请参见服务关联角色。
查看访问服务的域名或IP
创建完终端节点后,当终端节点类型为接口终端节点时,您可以通过终端节点域名、终端节点可用区域名或IP地址访问终端节点服务中的服务资源。
- 登录终端节点控制台。
在顶部菜单栏处,选择终端节点所在的地域。
在终端节点页面的接口终端节点页签下,找到目标终端节点,单击终端节点的实例ID。
在终端节点详情页面,您可以查看访问终端节点服务的终端节点域名、资源组、终端节点可用区域名和IP地址等信息。
说明当终端节点类型为反向终端节点时,没有终端节点域名和终端节点可用区域名。
修改终端节点
您可以修改终端节点的名称和描述信息。
删除终端节点
删除终端节点前,请先删除终端节点中的终端节点网卡。具体操作,请参见删除终端节点网卡。
您可以删除不需要的终端节点,删除终端节点后,该终端节点所属VPC将不能通过私网连接访问终端节点服务,请谨慎操作。
- 登录终端节点控制台。
在顶部菜单栏处,选择终端节点所在的地域。
在终端节点页面,找到目标终端节点,然后在操作列单击删除。
在删除终端节点对话框,单击确定。
(可选)标记终端节点
随着终端节点实例数量的增多,会加大您对终端节点实例的管理难度。通过标签将终端节点实例进行分组管理,有助于您搜索和筛选实例。
标签是您为实例分配的标记,每个标签都由一对键值对(Key-Value)组成。标签的使用说明如下:
一个实例的每条标签的标签键(Key)必须唯一。
一个实例最多可以绑定20个标签。
不支持未绑定实例的空标签存在,标签必须绑定在实例上。
不同地域中的标签信息不互通。
例如,在华东1(杭州)地域创建的标签在华东2(上海)地域不可见。
您可以修改标签的键和值,也可以删除实例的标签。如果删除实例,则绑定在该实例上的标签也会被删除。
在顶部菜单栏处,选择终端节点所在的地域。
在终端节点页面,找到目标终端节点实例,将鼠标悬停在标签列的
图标上,然后在气泡框中单击绑定。- 在编辑标签对话框,根据以下信息配置标签,然后单击确定。
配置 说明 标签键 标签的标签键,支持选择已有标签键或输入新的标签键。 标签键最多支持64个字符,不能以
aliyun或acs:开头,不能包含http://或https://。标签值 标签的标签值,支持选择已有标签值或输入新的标签值。 标签值最多支持128个字符,不能以
aliyun或acs:开头,不能包含http://或https://。 返回终端节点页面,单击标签筛选,在标签筛选对话框中根据标签键和标签值来筛选终端节点实例。
相关文档
CreateVpcEndpoint:创建终端节点。
ListVpcEndpoints:查询终端节点。
UpdateVpcEndpointAttribute:修改终端节点的属性。
DeleteVpcEndpoint:删除终端节点。