网络端点

基础介绍

网络端点（Network Access Endpoint）是 IDaaS EIAM 实例进行网络访问的载体，分为专属端点和共享端点。专属端点需要购买后才可使用（专属端点计费说明），共享端点可以免费使用。

专属端点

专属端点是您的 EIAM 实例独享的网络端点，本质上是您的 EIAM 实例持有您 VPC 中的一个 ENI，您可以针对该 ENI 设置安全组规则或网络配置，从而实现 EIAM 实例的专属私网访问或专属公网访问。

专属私网访问

EIAM 实例通过私网连接到您的阿里云 VPC 后，无需开放公网端口即可实现 AD/LDAP/应用的数据同步以及 AD/LDAP 的委托认证。

下面以 AD 为例，展示针对不同网络规划的支持方式，以供您参考。

AD 和 ENI 属于同一个阿里云 VPC

如果您的 AD 域服务器和 EIAM 持有的 ENI 同属于一个阿里云 VPC，此时您需要采用如下网络 ACL 方式：

• AD 域服务器所属安全组放行 ENI 的 IP。

AD 和 ENI 属于不同阿里云 VPC

如果您的 AD 域服务器和 EIAM 持有的 ENI 同属于不同的阿里云 VPC，此时您需要采用如下网络 ACL 方式：

• 通过 CEN 连通不同的阿里云 VPC。

• AD 域服务器所属的安全组放行 ENI 的 IP。

AD 属于线下 IDC 或其它云服务厂商

如果您的 AD 与服务器属于自己的线下 IDC 或者其它云服务厂商，此时您需要采用如下网络 ACL 方式：

• 通过专线（VPN 等）拉通阿里云侧 VPC 和 AD 域服务器所属的 IDC 或其它云服务厂商。

• AD 域服务器所在的防火墙放行 ENI 的 IP。

专属公网访问

EIAM 实例通过私网连接到您的阿里云 VPC 后，您可以为 EIAM 所持有的 ENI 绑定弹性公网 IP 或者为您的阿里云 VPC 绑定公网 NAT 网关，从而让 EIAM 实例可以使用您的公网 IP 访问公网。您可以将此公网 IP 作为企业微信的可信 IP，从而满足企业微信的相关要求。

共享端点

共享端点是 EIAM 实例进行网络访问时默认使用的网络端点，所有 EIAM 实例共用。仅支持访问公网。

两种端点的对比

以下是专属端点和共享端点的能力对比。

网络端点支持情况

下表是目前各功能模块的网络端点支持情况。各模块默认使用共享端点，如需变更需手动切换。

添加专属端点

在【个性化 - 网络端点】中即可进入网络端点管理页面。

第一步：创建服务关联角色（SLR）

访问网络端点页面或添加专属端点时，如当前不存在服务关联角色，需要先创建IDaaS EIAM 服务关联角色。阿里云主账号或拥有 AliyunIDaaSEiamFullAccess 权限的阿里云用户才可执行此操作。

第二步：升级或升配实例

当实例的专属端点数量少于专属端点配额时，您才可以创建专属端点。专属端点配额需单独购买。

• 针对免费版或试用版实例，请升级实例，在购买页中提高专属端点数量。

• 针对企业版实例，请升配实例，在购买页中提高专属端点数量。

第三步：选择资源

在【网络端点】页面中点击【添加专属端点】，开始添加流程。

填写专属端点名称，并选择希望连接的地域、专用网络、交换机等信息。

• 显示名称：专属端点的显示名称，仅在控制台中展示。

• 地域（Region）：选择希望连接的专有网络所在的地域。

• 专有网络（VPC）：选择当前地域下的专有网络。如果您需要私网访问 AD/LDAP/应用等服务，请选择这些服务所在的或可以访问这些服务的专有网络。

• 交换机（vSwitch）：选择当前专有网络下的交换机。交换机的可用 IP 数需大于 2 个，且不可使用 33 网段。最多选择 2 个交换机。

确认无误后，点击【确定】即可开始添加专属端点。

添加完成后，还需进行如下配置，才可正式使用专属端点：

• 如需实现专属私网访问，请授权私网访问

• 如需实现专属公网访问，请配置专属公网出口 IP

授权私网访问

在【个性化 - 网络端点】页面中，在需要专属私网访问的专属端点中点击【授权私网访问】。

第一步：获取访问规则

在弹窗中访问规则，复制【授权对象】。授权对象中聚合了当前专属端点的所有专属私网出口 IP。

第二步：配置安全组访问规则

点击【前往添加】按钮，前往【云服务器 ECS - 安全组】，在页面中选择需要私网访问的服务所在的安全组。

进入安全组，在【访问规则 - 入方向】中点击【手动添加】。

在新增的访问规则中填写如下内容并保存：

• 授权策略：允许。

• 优先级：1。

• 协议类型：自定义 TCP。

• 端口范围：填写您的服务的端口范围。如果连接的是 AD/LDAP，一般使用 389 或 636。

• 授权对象：在上一步中复制的专属私网出口 IP 地址。

第三步：切换专属端点访问

以 AD 为例，前往【身份提供方】页面，点击【修改】按钮修改基础配置。

在【网络配置 - 网络端点】中，选择【专属端点】，在下拉框中选择已配置安全组访问规则的专属端点。

点击【确认】时，该实例将立即进行校验：使用该专属端点的专属私网出口 IP（即弹性网卡主私网 IP）访问该 AD 服务，如果弹性网卡（最多两张）均能访问成功，则校验通过，立即切换为专属端点；如果任一弹性网卡访问失败，则校验不通过，提示错误信息。

配置专属公网出口 IP

有两种方式配置专属公网出口 IP，实现 EIAM 实例通过您指定的 IP 访问公网，请选择下述两种方案中选择一种进行配置。您可以将此公网 IP 作为企业微信的可信 IP，从而满足企业微信的相关校验。

方案一：通过弹性公网 IP 配置

在【个性化 - 网络端点】页面中，在需要专属公网访问的专属端点中查看【专有网络地域】，确认【弹性网卡 ID】。

在【专有网络 - 弹性公网 IP】中，选择和【专有网络地域】相同的地域下的弹性公网 IP，点击【绑定资源】，开始绑定流程。如无可用资源请提前创建弹性公网 IP。

【实例类型】选择【辅助弹性网卡】，选择专属端点绑定的弹性网卡 ID（建议一个弹性网卡绑定一个弹性公网 IP），点击【确定】。

绑定成功后，专属端点即可支持公网访问能力。您可以在在【个性化 - 网络端点】页面的【专属公网出口 IP】中查看当前专属使用的公网 IP。

方案二：通过公网 NAT 网关配置

在【个性化 - 网络端点】页面中，在需要专属公网访问的专属端点中查看【专有网络地域】。

在【专有网络 - 公网 NAT 网关】中，选择和【专有网络地域】相同的地域下的公网 NAT 网关，点击【立即绑定】弹性公网 IP，开始绑定流程。如无可用资源请提前创建公网 NAT 网关。

您可以从已有的弹性公网 IP 中选择，也可以直接新购并绑定弹性公网 IP。

绑定成功后，专属端点即可支持公网访问能力。您可以在在【个性化 - 网络端点】页面的【专属公网出口 IP】中查看当前专属使用的公网 IP。

切换专属端点访问

以 AD 为例，前往【身份提供方】页面，点击【修改】按钮修改基础配置。

在【网络配置 - 网络端点】中，选择【专属端点】，在下拉框中选择已配置专属公网出口 IP 的专属端点。

点击【确认】时，该实例将立即进行校验：使用该专属端点的专属公网出口 IP（即弹性网卡或公网 NAT 网关的公网 IP）访问该 AD 服务，如果弹性网卡（最多两张）均能访问成功，则校验通过，立即切换为专属端点；如果任一弹性网卡访问失败，则校验不通过，提示错误信息。

您可以点击专属公网出口 IP 中的【立即查看】查看所使用的网关 IP。

修改专属端点

专属端点仅支持修改显示名称。如需修改其他信息，需删除后重新配置。

删除专属端点

有两种方式删除专属端点：

• 当实例中没有模块（身份提供方、应用）使用专属端点功能时，管理员可以手动删除

• 付费实例到期释放、退订时，IDaaS 强制自动删除

删除专属端点时，IDaaS 将会释放由 IDaaS 在您的账号下创建的对应资源，包括：

• 弹性网卡

• 云产品托管安全组

删除专属端点后，资源和数据不可恢复，专属端点立即不可使用。如果您需要删除 AliyunServiceRoleForEiam 服务关联角色，需删除所有 EIAM 实例。