配置实例私网连接
您可以通过配置实例私网连接,实现不同VPC间的网络互通,避免通过公网访问服务带来的潜在安全风险。本文为您介绍如何配置Elasticsearch的私网连接功能。
背景信息
2020年10月阿里云Elasticsearch调整网络架构,导致处于新网络架构下的Elasticsearch实例的部分功能受限。Elasticsearch的私网连接功能借助PrivateLink能力,能够打通Elasticsearch服务VPC和用户VPC,解决了部分网络互通问题。
阿里云Elasticsearch通过实例私网连接支持的功能如下。
功能 | 场景说明 | 相关文档 |
Watcher | 阿里云Elasticsearch的X-Pack功能支持依据查询条件监测系统信息,对外提供报警服务。 | |
阿里云Elasticsearch安全特性 | 阿里云Elasticsearch的X-Pack功能支持多种集群级别安全特性配置,例如:单点登录、LDAP和用户认证等。 | |
自定义插件访问外部词库 | 自定义插件动态访问外部网络词库。 | |
reindex | 通过reindex方式跨集群迁移数据。 | |
Elasticsearch迁移 | 自建Elasticsearch迁移至阿里云。 |
实例私网连接是解决新网络架构下X-Pack Watcher、reindex、LDAP和AD(Active Directory)身份认证等功能受限的唯一方案,为保证功能使用不受影响,请严格按照文档配置。
2020年10月及之后创建的实例处于新网络架构下,支持实例私网连接功能。2020年10月之前创建的实例处于旧网络架构下(包括金融云和政务云),不支持实例私网连接功能。
前提条件
已创建阿里云Elasticsearch实例,具体操作请参见创建阿里云Elasticsearch实例。
说明Elasticsearch实例须为2020年10月及之后创建的实例。
已在用户VPC下创建了ECS服务,并部署了相关应用,详细信息请参见自定义购买实例。
说明ECS服务器即后端服务器,主要接收通过负载均衡实例所转发的请求,在创建ECS时需要选择下文地域限制中的地域和可用区。
ECS服务需要与负载均衡实例部署在同一地域且同一VPC下。
地域限制
PrivateLink仅支持部分地域私网连接,具体请参见下表。更多信息请参见支持私网连接的地域和可用区。
地域 | 可用区 |
华东1(杭州) | 可用区F、可用区G、可用区H、可用区I、可用区J、可用区K |
华东2(上海) | 可用区B、可用区E、可用区F、可用区G、可用区L |
华北1(青岛) | 可用区B、可用区C |
华北2(北京) | 可用区C、可用区D、可用区E、可用区F、可用区G、可用区H、可用区I、可用区K |
华北3(张家口) | 可用区A、可用区B、可用区C |
华南1(深圳) | 可用区D、可用区E、可用区F |
中国(香港) | 可用区B、可用区C、可用区D |
日本(东京) | 可用区A、可用区B |
新加坡 | 可用区A、可用区B、可用区C |
澳大利亚(悉尼) | 可用区B |
马来西亚(吉隆坡) | 可用区A、可用区B |
印度尼西亚(雅加达) | 可用区A、可用区B |
德国(法兰克福) | 可用区A、可用区B |
英国(伦敦) | 可用区A、可用区B |
美国(硅谷) | 可用区A、可用区B |
美国(弗吉尼亚) | 可用区A、可用区B |
印度(孟买) | 可用区A、可用区B |
名词解释
通过PrivateLink实现私网访问,您需要创建终端节点服务和终端节点。
名词 | 描述 |
终端节点服务 | 终端节点服务是可以被其他VPC通过创建终端节点建立私网连接的服务。 说明 终端节点服务由服务提供方创建和管理。具体操作,请参见步骤一:创建并配置负载均衡实例和步骤二:创建终端节点服务。 |
终端节点 | 终端节点可以与终端节点服务相关联,以建立通过VPC私网访问外部服务的网络连接。 说明 终端节点由阿里云Elasticsearch服务账号自动创建和管理。具体操作,请参见步骤三:配置阿里云Elasticsearch私网互通。 |
操作步骤
步骤一:创建并配置负载均衡实例
创建支持PrivateLink功能的负载均衡实例。
在实例管理页面,单击创建传统型负载均衡。
在负载均衡SLB购买页面配置实例,实例类型选择私网,然后单击立即购买,购买CLB实例。
更多信息,请参见创建和管理CLB实例。
配置负载均衡实例。
在实例管理页面,单击目标实例操作列下的监听配置向导。
在负载均衡业务配置向导页面,按需配置监听信息和后端服务器信息,并进行健康检查和配置审核。
步骤二:创建终端节点服务
在顶部菜单栏处,选择要创建终端节点服务的地域。
终端节点服务需要与负载均衡实例在同一地域。
单击创建终端节点服务。
在创建终端节点服务页面,服务资源选择步骤一中创建的负载均衡实例,按需配置其他参数,单击确定创建,创建终端节点服务。
更多详细信息,请参见创建终端节点服务。
步骤三:配置阿里云Elasticsearch私网互通
- 登录阿里云Elasticsearch控制台。
- 在左侧导航栏,单击Elasticsearch实例。
- 进入目标实例。
- 在顶部菜单栏处,选择资源组和地域。
- 在Elasticsearch实例中单击目标实例ID。
在左侧导航栏,选择。
在集群网络设置区域,单击配置实例私网连接右侧的修改。
在配置实例私网连接面板,单击添加私网连接,选择步骤二中创建的终端节点服务,完成其他配置后单击确认。
终端节点服务和连接终端节点连接成功后终端节点连接状态会变为已连接,表明您已经打通了Elasticsearch服务VPC与用户VPC。
说明如果终端节点连接状态显示未连接,在操作列单击允许连接。
(可选)查看终端节点域名。
您可以获取终端节点域名用于其他服务的配置,例如Watcher、单点登录和LDAP等。
在配置实例私网连接面板中,单击目标终端节点ID。
在终端节点连接页签,单击目标终端节点ID前的
图标,可查看终端节点对应的域名。
