本文介绍网络访问的类型划分及设置方法,旨在指导您安全且高效地设置网络环境。
网络访问类型
StarRocks支持阿里云VPC内网访问和公网访问方式。
阿里云内网VPC访问:您可以在阿里云StarRocks实例所在网络VPC内或者其它VPC访问和使用StarRocks实例。
公网访问:您可以通过公网访问和使用StarRocks实例。此时,阿里云VPC内仍然可以访问StarRocks实例。
重要StarRocks公网访问使用阿里云CLB功能,由此产生的网络费用按照CLB计费概述进行收费。
如果StarRocks实例开启了公网访问,则会自动在您的阿里云账户下创建一系列的CLB实例,这些CLB实例开启了删除保护功能,不能随意删除。
默认情况下,如果StarRocks实例开启了公网访问,则所有公网IP地址都可以访问StarRocks实例。您可以通过访问控制策略白名单对StarRocks实例进行安全限制。
网络类型设置
新创建的StarRocks实例默认使用内网域名,如果您有公网访问需求,您可以在目标实例的实例详情页面开启相应节点的公网访问。
FE节点:在实例详情页面的FE详情区域,单击开启公网。
BE节点:在计算组页面,单击操作列的管理,然后单击开启公网。
网络域名类型
网络域名分为以下两类:
内网域名(支持当前VPC内访问,可跨vSwitch)
FE内网访问域名格式为:
fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}说明当外部客户端访问SLB时,实际上是通过SLB的域名间接访问服务实例,而不是直接访问。这是因为SLB会在其内部进行请求分发,以实现不同服务实例之间的负载均衡。
BE内网访问域名格式为:
be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}
公网域名
FE公网访问域名格式为:
fe-{srClusterId}.starrocks.aliyuncs.com:{port}BE公网访问域名格式为:
be-{srClusterId}.starrocks.aliyuncs.com:{port}
{srClusterId}:StarRocks实例ID。{port}:服务端口号。FE的查询端口和HTTP端口分别为9030、8030;BE的HTTP端口为8040。
网络安全设置
您可以通过设置网络安全白名单来限制StarRocks实例访问,以保证您的服务数据安全。网络安全设置包含VPC内网访问安全组白名单和公网访问控制策略白名单两部分。
公网访问控制策略白名单
在目标实例的实例详情页面的FE详情和BE详情区域,单击公网地址后面的开启公网。
单击公网地址后面的公网白名单。
在CLB的访问控制页面,单击添加条目,添加相应的访问限制规则。
具体操作信息,请参见添加IP条目。
VPC内网访问安全组白名单
2024年10月24日之后创建的实例:
在目标实例的实例详情页面,单击安全组ID后面的内网白名单。
在弹出的在内网白名单配置面板中,修改默认的白名单分组,或者单击新增白名单分组,填写名称以及IP地址或IP段。
单击确定。
2024年10月24日之前创建的实例:请前往传统型负载均衡CLB控制台,查找StarRocks实例所依赖的CLB实例,并进行相应的访问控制配置。具体操作,请参见访问控制。