网络端点

更新时间: 2024-02-27 14:55:45

本文介绍网络端点的概念、配置和常见用法。

基础介绍

网络端点(Network Access Endpoint)是 IDaaS EIAM 实例进行网络访问的载体,分为专属端点和共享端点。专属端点需要购买后才可使用(专属端点计费说明),共享端点可以免费使用。

专属端点

专属端点是您的 EIAM 实例独享的网络端点,本质上是您的 EIAM 实例持有您 VPC 中的一个 ENI,您可以针对该 ENI 设置安全组规则或网络配置,从而实现 EIAM 实例的专属私网访问专属公网访问

专属私网访问

EIAM 实例通过私网连接到您的阿里云 VPC 后,无需开放公网端口即可实现 AD/LDAP/应用的数据同步以及 AD/LDAP 的委托认证。

下面以 AD 为例,展示针对不同网络规划的支持方式,以供您参考。

AD 和 ENI 属于同一个阿里云 VPC

如果您的 AD 域服务器和 EIAM 持有的 ENI 同属于一个阿里云 VPC,此时您需要采用如下网络 ACL 方式:

  • AD 域服务器所属安全组放行 ENI 的 IP。

image..png

AD 和 ENI 属于不同阿里云 VPC

如果您的 AD 域服务器和 EIAM 持有的 ENI 同属于不同的阿里云 VPC,此时您需要采用如下网络 ACL 方式:

  • 通过 CEN 连通不同的阿里云 VPC。

  • AD 域服务器所属的安全组放行 ENI 的 IP。

image..png

AD 属于线下 IDC 或其它云服务厂商

如果您的 AD 与服务器属于自己的线下 IDC 或者其它云服务厂商,此时您需要采用如下网络 ACL 方式:

  • 通过专线(VPN 等)拉通阿里云侧 VPC 和 AD 域服务器所属的 IDC 或其它云服务厂商。

  • AD 域服务器所在的防火墙放行 ENI 的 IP。

image..png

专属公网访问

EIAM 实例通过私网连接到您的阿里云 VPC 后,您可以为 EIAM 所持有的 ENI 绑定弹性公网 IP 或者为您的阿里云 VPC 绑定公网 NAT 网关,从而让 EIAM 实例可以使用您的公网 IP 访问公网。您可以将此公网 IP 作为企业微信的可信 IP,从而满足企业微信的相关要求。

共享端点

共享端点是 EIAM 实例进行网络访问时默认使用的网络端点,所有 EIAM 实例共用。仅支持访问公网。

两种端点的对比

以下是专属端点和共享端点的能力对比。

能力项

专属端点

共享端点

使用专属 IP 访问私网

支持

不支持

使用专属 IP 访问公网

支持

不支持

使用共用 IP 访问公网

不支持

支持

网络端点资源所有权(ENI、安全组等)

您的阿里云主账号

IDaaS 团队

是否默认即可使用

是否免费

网络端点支持情况

下表是目前各功能模块的网络端点支持情况。各模块默认使用共享端点,如需变更需手动切换。

功能模块

专属端点-私网访问

专属端点-公网访问

共享端点-公网访问

钉钉入方向身份提供方

不支持

不支持

支持

钉钉出方向身份提供方

不支持

不支持

支持

AD 入方向身份提供方

支持

支持

支持

LDAP 入方向身份提供方

支持

支持

支持

企业微信入方向身份提供方

不支持

支持

不支持

应用市场应用

暂不支持

暂不支持

支持

SAML 应用

暂不支持

暂不支持

支持

OIDC 应用

暂不支持

暂不支持

支持

自研应用

暂不支持

暂不支持

支持

添加专属端点

在【个性化 - 网络端点】中即可进入网络端点管理页面。

第一步:创建服务关联角色(SLR)

访问网络端点页面或添加专属端点时,如当前不存在服务关联角色,需要先创建IDaaS EIAM 服务关联角色。阿里云主账号或拥有 AliyunIDaaSEiamFullAccess 权限的阿里云用户才可执行此操作。

image..png

第二步:升级或升配实例

当实例的专属端点数量少于专属端点配额时,您才可以创建专属端点。专属端点配额需单独购买。

  • 针对免费版或试用版实例,请升级实例,在购买页中提高专属端点数量。

  • 针对企业版实例,请升配实例,在购买页中提高专属端点数量。

说明

目前每个 EIAM 实例最多支持 1 个专属端点。

第三步:选择资源

在【网络端点】页面中点击【添加专属端点】,开始添加流程。

填写专属端点名称,并选择希望连接的地域、专用网络、交换机等信息。

重要

添加专属端点后,不支持修改地域、专有网络、交换机等信息,请确认后填写。

image..png

  • 显示名称:专属端点的显示名称,仅在控制台中展示。

  • 地域(Region):选择希望连接的专有网络所在的地域。

  • 专有网络(VPC):选择当前地域下的专有网络。如果您需要私网访问 AD/LDAP/应用等服务,请选择这些服务所在的或可以访问这些服务的专有网络。

  • 交换机(vSwitch):选择当前专有网络下的交换机。交换机的可用 IP 数需大于 2 个,且不可使用 33 网段。最多选择 2 个交换机。

重要

强烈建议选择 2 个不同可用区的交换机,以增强容灾能力。

确认无误后,点击【确定】即可开始添加专属端点。

image..png

添加完成后,还需进行如下配置,才可正式使用专属端点:

授权私网访问

在【个性化 - 网络端点】页面中,在需要专属私网访问的专属端点中点击【授权私网访问】。

image..png

第一步:获取访问规则

在弹窗中访问规则,复制【授权对象】。授权对象中聚合了当前专属端点的所有专属私网出口 IP。

image..png

第二步:配置安全组访问规则

点击【前往添加】按钮,前往【云服务器 ECS - 安全组】,在页面中选择需要私网访问的服务所在的安全组。

说明

请注意,以 AD 为例,需要选择的是 AD 域服务器所在的属于您的安全组(不同网络规划的支持方式请见专属私网访问),而非由 EIAM 创建的安全组。

进入安全组,在【访问规则 - 入方向】中点击【手动添加】。

image..png

在新增的访问规则中填写如下内容并保存:

  • 授权策略:允许。

  • 优先级:1。

  • 协议类型:自定义 TCP。

  • 端口范围:填写您的服务的端口范围。如果连接的是 AD/LDAP,一般使用 389 或 636。

  • 授权对象:在上一步中复制的专属私网出口 IP 地址。

image..png

第三步:切换专属端点访问

以 AD 为例,前往【身份提供方】页面,点击【修改】按钮修改基础配置。

image..png

在【网络配置 - 网络端点】中,选择【专属端点】,在下拉框中选择已配置安全组访问规则的专属端点。

点击【确认】时,该实例将立即进行校验:使用该专属端点的专属私网出口 IP(即弹性网卡主私网 IP)访问该 AD 服务,如果弹性网卡(最多两张)均能访问成功,则校验通过,立即切换为专属端点;如果任一弹性网卡访问失败,则校验不通过,提示错误信息。

重要

校验通过将立即切换为专属端点进行访问,建议提前使用测试环境进行验证。

重要

付费实例到期释放或退订时,专属端点将立即不可用,并在一天后自动被删除。如需使用共享端点或其他专属端点,需手动切换。建议在删除前修改您的服务中的网络访问白名单配置。

image..png

配置专属公网出口 IP

有两种方式配置专属公网出口 IP,实现 EIAM 实例通过您指定的 IP 访问公网,请选择下述两种方案中选择一种进行配置。您可以将此公网 IP 作为企业微信的可信 IP,从而满足企业微信的相关校验。

方案一:通过弹性公网 IP 配置

重要

由于托管弹性网卡(ENI)产品逻辑变更,自 2024 年 4 月 1 日起,专属端点所使用的 ENI 将无法手动绑定/解绑弹性公网 IP(EIP),请及时使用公网 NAT 网关的方式配置专属公网出口 IP,并解绑专属端点所使用的 EIP。如未及时解绑,专属端点仍可通过 EIP 访问公网,但需删除专属端点才可解绑 EIP。

在【个性化 - 网络端点】页面中,在需要专属公网访问的专属端点中查看【专有网络地域】,确认【弹性网卡 ID】。

image..png

在【专有网络 - 弹性公网 IP】中,选择和【专有网络地域】相同的地域下的弹性公网 IP,点击【绑定资源】,开始绑定流程。如无可用资源请提前创建弹性公网 IP。

image..png

【实例类型】选择【辅助弹性网卡】,选择专属端点绑定的弹性网卡 ID(建议一个弹性网卡绑定一个弹性公网 IP),点击【确定】。

image..png

绑定成功后,专属端点即可支持公网访问能力。您可以在在【个性化 - 网络端点】页面的【专属公网出口 IP】中查看当前专属使用的公网 IP。

image..png

方案二:通过公网 NAT 网关配置

在【个性化 - 网络端点】页面中,在需要专属公网访问的专属端点中查看【专有网络地域】。

image..png

在【专有网络 - 公网 NAT 网关】中,选择和【专有网络地域】相同的地域下的公网 NAT 网关,点击【立即绑定】弹性公网 IP,开始绑定流程。如无可用资源请提前创建公网 NAT 网关。

image..png

您可以从已有的弹性公网 IP 中选择,也可以直接新购并绑定弹性公网 IP。

image..png

绑定成功后,专属端点即可支持公网访问能力。您可以在在【个性化 - 网络端点】页面的【专属公网出口 IP】中查看当前专属使用的公网 IP。

image..png

切换专属端点访问

以 AD 为例,前往【身份提供方】页面,点击【修改】按钮修改基础配置。

image..png

在【网络配置 - 网络端点】中,选择【专属端点】,在下拉框中选择已配置专属公网出口 IP 的专属端点。

点击【确认】时,该实例将立即进行校验:使用该专属端点的专属公网出口 IP(即弹性网卡或公网 NAT 网关的公网 IP)访问该 AD 服务,如果弹性网卡(最多两张)均能访问成功,则校验通过,立即切换为专属端点;如果任一弹性网卡访问失败,则校验不通过,提示错误信息。

您可以点击专属公网出口 IP 中的【立即查看】查看所使用的网关 IP。

重要

校验通过将立即切换为专属端点进行访问,建议提前使用测试环境进行验证。

重要

付费实例到期释放或退订时,专属端点将立即不可用,并在一天后自动被删除。如需使用共享端点或其他专属端点,需手动切换。建议在删除前修改您的服务中的网络访问白名单配置。

image..png

修改专属端点

专属端点仅支持修改显示名称。如需修改其他信息,需删除后重新配置。

image..png

删除专属端点

有两种方式删除专属端点:

  • 当实例中没有模块(身份提供方、应用)使用专属端点功能时,管理员可以手动删除

  • 付费实例到期释放、退订时,IDaaS 强制自动删除

删除专属端点时,IDaaS 将会释放由 IDaaS 在您的账号下创建的对应资源,包括:

  • 弹性网卡

  • 云产品托管安全组

删除专属端点后,资源和数据不可恢复,专属端点立即不可使用。如果您需要删除 AliyunServiceRoleForEiam 服务关联角色,需删除所有 EIAM 实例。

重要

删除专属端点后,如需使用共享端点或其他专属端点,需手动在身份提供方/应用中切换。建议在删除前修改您的服务中的网络访问白名单配置。

阿里云首页 应用身份服务 (IDaaS) 相关技术圈