如果您需要通过公网或私网访问Elasticsearch Serverless(简称ES Serverless)服务的应用或应用的Kibana,需要开启并配置Serverless应用及Kibana的公网或私网访问。开启公网访问需要设置访问白名单,开启私网访问需要为应用关联终端节点并配置访问白名单。
背景信息
公网访问通过公共互联网访问Serverless应用,访问方式便捷,但可能存在网络安全性较差、网络不稳定的现象。
私网访问通过阿里云私网连接(PrivateLink)建立您的专有网络VPC与Serverless应用的私有连接,可以避免公网访问带来的潜在安全风险。关于PrivateLink的更多信息,请参见什么是私网连接。
开启应用私网访问时,需要创建并关联至少一个Serverless托管的终端节点,以实现VPC和ES Serverless服务的私网连接。
一个Serverless托管终端节点可以被多个应用关联。
您仅能在Serverless终端节点管理界面进行修改及删除操作,不支持在Privatelink控制台进行修改或删除等操作。
由ES Serverless托管创建的privatelink终端节点所产生的实例及流量费用,由阿里云ES作为服务提供方承担,用户无需付费。
操作步骤
配置公网访问应用
- 登录阿里云Elasticsearch控制台。
在左侧导航栏,单击Elasticsearch Serverless版本。
说明如果您所在的地域没有Elasticsearch Serverless服务,请在顶部菜单栏切换地域。
在Elasticsearch Serverless服务控制台的左侧导航栏,单击应用管理。
在应用管理页面,单击目标应用名称。
在应用详情页,打开公网访问应用开关或公网访问Kibana开关。
说明如果对应开关已打开,单击对应开关后的白名单设置,修改白名单。
在弹出的对话框中,添加待访问设备的白名单IP地址。
建议您根据下表匹配业务场景,获取正确的IP地址,并将其添加至对应白名单中。
场景
需获取的IP地址
获取方式
通过本地设备公网访问Serverless应用的Kibana服务。
本地设备的IP地址。
说明如果您的本地设备处在家庭网络或公司局域网中,需要添加局域网的公网出口IP地址。
在本地设备的浏览器中访问www.cip.cc,或在本地设备中执行
curl cip.cc。您还可以单击添加当前IP地址,将当前设备的IP地址自动添加到白名单中。使用该功能前必须先关闭本地代理。
客户端通过公网访问Serverless应用。
客户端的公网IP地址。
以获取ECS实例的IP地址为例:
登录ECS管理控制台。
在左侧导航栏单击实例。
在顶部菜单栏选择实例所在地域。
在ECS实例列表中查看目标实例的公网IP地址或私网IP地址。
说明不支持公网IPv6地址。
IP白名单组最多支持200个,每组白名单下的IP地址或者IP网段数量最多支持1000个。
支持配置单个IP地址(例如,192.168.0.1)、IP网段(例如,192.168.0.0/24)和多个IP地址,多个IP地址之间用英文逗号(,)隔开。
如果白名单为IP网段,您需要填写的IP地址为掩码计算后子网网段的第一个IP地址。
127.0.0.1表示禁止所有IPv4地址访问。0.0.0.0/0表示允许所有IPv4地址访问,该设置将降低应用数据安全性,请谨慎使用。
单击确定。
配置私网访问应用
- 登录阿里云Elasticsearch控制台。
在左侧导航栏,单击Elasticsearch Serverless版本。
说明如果您所在的地域没有Elasticsearch Serverless服务,请在顶部菜单栏切换地域。
在Elasticsearch Serverless服务控制台的左侧导航栏,单击应用管理。
在应用管理页面,单击目标应用名称。
在应用详情页,打开私网访问应用开关或私网访问Kibana开关。
说明如果对应开关已打开,单击对应开关后的私网白名单设置修改私网访问的白名单,或者单击对应开关后的私网访问设置,修改应用关联的终端节点。
在弹出的对话框中,选择已有的私网终端节点。
专有网络根据选择的私网终端节点自动加载。
您也可以单击私网终端节点文本框下的新建终端节点,新建一个终端节点。
参数说明:
说明通过PrivateLink实现私网访问需要通过RAM角色扮演(服务关联角色)的方式访问Privatelink等其他云服务的资源。如果您未创建过相关服务关联角色,系统将自动为您创建。更多信息,请参见ES Serverless服务关联角色介绍。
参数
说明
终端节点名称
输入终端节点的名称,创建后不允许修改。终端节点名称需满足以下条件:
长度为2~128个字符。
以英文大小写字母或中文开头。
可包含数字、下划线(_)和连字符(-)。
选择专有网络
选择所属地域下的专有网络。
说明专有网络是一种隔离的网络环境,安全性和性能均高于传统的经典网络。如果没有合适的专有网络VPC,您可前往专有网络控制台创建。
选择交换机
选择可用区和交换机。
交换机只显示专有网络中与所选可用区相同的交换机。
为实现业务的高可用和稳定性保障,建议至少选择两个可用区。若没有合适的交换机,您可前往专有网络控制台创建。
仅支持部分可用区,实际以控制台为准。
杭州:可用区G、H、I
北京:可用区G、H、I
上海:可用区B、G、F
深圳:可用区D、E、F
添加待访问设备的白名单IP地址。
建议您根据下表匹配业务场景,获取正确的IP地址,并将其添加至对应白名单中。
场景
需获取的IP地址
获取方式
通过本地设备私网访问Serverless应用的Kibana服务。
本地设备的IP地址。
说明如果您的本地设备处在家庭网络或公司局域网中,需要添加局域网的公网出口IP地址。
在本地设备的浏览器中访问www.cip.cc,或在本地设备中执行
curl cip.cc。您还可以单击添加当前IP地址,将当前设备的IP地址自动添加到白名单中。使用该功能前必须先关闭本地代理。
客户端通过私网访问Serverless应用。
客户端的私网IP地址。
以获取ECS实例的IP地址为例:
登录ECS管理控制台。
在左侧导航栏单击实例。
在顶部菜单栏选择实例所在地域。
在ECS实例列表中查看目标实例的公网IP地址或私网IP地址。
说明仅支持添加在固定私网网段的IP地址。例如,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,127.0.0.1,0.0.0.0/0等。
127.0.0.1表示禁止所有IPv4地址访问。0.0.0.0/0表示允许所有IPv4地址访问,该设置将降低应用数据安全性,请谨慎使用。
白名单将添加到与专有网络同名的私网白名单分组中,您可在添加完成后自行修改白名单。
单击确认。
管理公网或私网访问配置
在应用管理页面的应用列表中,单击目标应用名称,进入目标应用详情页面。
项目 | 操作 |
修改白名单 |
说明 如果您仅需要增加私网访问白名单,也可以通过添加应用关联的终端节点来实现。 |
添加应用关联的终端节点 |
|
移除应用关联的终端节点 |
|
管理终端节点
在Elasticsearch Serverless服务控制台的左侧导航栏,单击VPC终端节点,进入VPC终端节点管理页面。
项目 | 操作 |
查看终端节点信息 | 在VPC终端节点页面:
|
新建终端节点 |
说明 创建完成后,终端节点的状态为创建中,预计等待1-3分钟节点状态变为可用。 |
修改终端节点信息 | 在VPC终端节点页面,单击目标终端节点操作列上的修改,修改终端节点的名称和交换机,终端节点的专有网络不允许修改。 |
删除终端节点 | 在VPC终端节点页面,单击目标终端节点操作列上的删除,删除终端节点。 说明 如果终端节点被一个或多个应用关联,不允许直接删除,需要先在应用中移除该终端节点。具体操作,请参见移除应用关联的终端节点。 |
相关文档
您可以通过以下几种方式访问Serverless应用:
说明用户名:在应用详情页的基本信息区域查看和复制。
用户密码:创建应用时输入的密码。如果您忘记了密码,可以在应用详情页的基本信息区域,单击用户密码后的修改,修改用户密码。