网络访问与安全设置
本文介绍如何进行Serverless StarRocks实例的网络访问与安全设置。
网络访问类型
StarRocks支持阿里云VPC内网访问和公网访问方式。
阿里云内网VPC访问:您可以在阿里云StarRocks实例所在网络VPC内或者其它VPC访问和使用StarRocks实例。
公网访问:您可以通过公网访问和使用StarRocks实例。此时,阿里云VPC内仍然可以访问StarRocks实例。
重要StarRocks公网访问使用阿里云CLB功能,由此产生的网络费用按照CLB计费概述进行收费。
如果StarRocks实例开启了公网访问,则会自动在您的阿里云账户下创建一系列的CLB实例,这些CLB实例开启了删除保护功能,不能随意删除。
默认情况下,如果StarRocks实例开启了公网访问,则所有公网IP地址都可以访问StarRocks实例。您可以通过访问控制策略白名单对StarRocks实例进行安全限制。
网络类型设置
新创建的StarRocks实例默认使用内网域名,如果您有公网访问需求,您可以在目标实例的实例详情页面开启相应节点的公网访问。
FE节点:在实例详情页面的FE详情区域,单击开启公网。
BE节点:在实例详情页面的BE详情区域,单击开启公网。
网络域名类型
网络域名分为以下两类:
内网域名(支持当前VPC内访问,可跨vSwitch)
FE内网访问域名格式为:
fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}BE内网访问域名格式为:
be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}
公网域名
FE公网访问域名格式为:
fe-{srClusterId}.starrocks.aliyuncs.com:{port}BE公网访问域名格式为:
be-{srClusterId}.starrocks.aliyuncs.com:{port}
{srClusterId}:StarRocks实例ID。{port}:服务端口号。FE的查询端口和HTTP端口分别为9030、8030;BE的HTTP端口为8040。
网络安全设置
您可以通过设置网络安全白名单来限制StarRocks实例访问,以保证您的服务数据安全。网络安全设置包含VPC内网访问安全组白名单和公网访问控制策略白名单两部分。
VPC内网访问安全组白名单
在目标实例的实例详情页面,单击安全组ID。
在安全组规则页面,单击手动添加,添加相应的安全组规则。
具体操作信息,请参见添加安全组规则。
公网访问控制策略白名单
在实例详情页面的FE详情和BE详情区域,单击公网地址后面的公网白名单。
在CLB的访问控制页面,单击添加条目,添加相应的访问限制规则。