配置私有网络中的资源

配置私有网络资源的核心目的在于为云组件(例如ElasticSearch、AnalyticDB(ADB)和OSS Bucket)创建专属的隔离环境。这样设计的目的是确保百炼平台的服务应用程序能够在安全的网络环境中顺畅地进行数据读写操作,同时避免了与平台上的其他云组件发生不必要的数据交互或资源共享,从而增强了数据的安全性和服务的稳定性。

前提条件

已联系百炼平台服务人员开通百炼安全存储业务空间。该业务空间与在百炼中确认连接中的业务空间一致。

1. 配置OSS存储

1.1 创建Bucket

在上传文件(Object)到OSS之前,您需要创建一个用于存储文件的存储空间(Bucket)。

  1. 登录OSS管理控制台

  2. 在左侧导航栏,单击Bucket 列表,进入Bucket 列表页面。

  3. 单击创建 Bucket。在创建 Bucket面板,配置以下各项参数,其余参数保持默认值即可。

    参数名称

    参数取值

    Bucket 名称

    输入bailian-safe-workspace-oss-access

    地域

    选择有地域属性华北2 (北京)

  4. 单击完成创建

    image

1.2 设置Bucket对百炼可操作

基于安全规范要求,百炼只能访问客户授权过且设定了特定标签的Bucket。在授权百炼访问Bucket之前,需要对Bucket设置百炼可以访问的特定标签。

  1. Bucket 列表页面,单击刚才创建的Bucket名称“bailian-safe-workspace-oss-access”。

  2. 在左侧导航栏,选择Bucket 配置 > Bucket 标签

  3. Bucket 标签页面,单击创建标签

  4. 单击image添加标签,并输入以下值配置Bucket标签。

    • 标签名称:输入bailian-safe-workspace-oss-access

    • 标签值:输入ReadAndWrite

      image

  5. 单击保存,完成设置。

1.3 创建跨域规则

跨域访问是由浏览器实施的一种安全策略,核心在于遵循同源策略,这是一项旨在防范恶意脚本的重要安全机制,确保网页只能访问与其来源相同的资源。依据这一原则,未经特殊配置,浏览器会阻止页面向不同源的服务器(如阿里云对象存储OSS)发起请求,以保护用户数据和系统安全。然而,通过正确配置跨源资源共享(CORS)规则,我们可以授权特定来源的请求访问OSS跨域资源,从而规避浏览器的跨域限制,实现安全可控的数据交互。

  1. Bucket 列表页面,单击刚才创建的Bucket名称“bailian-safe-workspace-oss-access”。

  2. 在左侧导航栏,选择数据安全 > 跨域设置

  3. 单击创建规则,配置以下参数,其它参数保持默认即可。

    参数名称

    参数取值

    来源

    输入*bailian.console.aliyun.com

    允许Methods

    选择GETPOSTPUTDELETE

  4. 单击确定,完成创建。

1.4 配置OSS

  1. 登录阿里云百炼大模型服务平台

  2. 鼠标悬停于页面右上角头像,再在下拉菜单中选择主账号管理

  3. 在左侧导航栏中,选择业务空间管理

  4. 查找到已经创建的百炼安全存储业务空间,在操作列单击管理百炼安全存储空间

  5. 选择资源配置页签,在OSS配置区域配置以下参数。

    参数名称

    参数取值

    Bucket

    选择刚才创建的Bucket“bailian-safe-workspace-oss-access”。

  6. 单击保存,完成配置。

    重要
    • 如果OSSBucket停止服务,将导致百炼安全存储空间、知识库、审计日志、历史记录等模块不可用,需要恢复OSSBucket才能恢复服务。

    • 如果OSSBucket被释放,将造成百炼安全存储空间不可用,且无法恢复,需要重新创建一个新的安全存储空间。

2. 配置ADB存储

2.1 购买ADB资源

  1. 登录云原生数据仓库AnalyticDB PostgreSQL版控制台

  2. 单击页面右上角的购买实例,配置以下各项参数,其余参数保持默认值即可。

    image

    参数名称

    参数取值

    商品类型

    请按实际业务需求选择。

    地域和可用区

    地域:选择“华北2(北京)”。

    可用区:请在“华北2可用区G”、“华北2可用区H”、“华北2可用区I”中任选其一。

    引擎版本

    选择“6.0 标准版”。

    实例系列

    建议选择“高可用版”。

    向量引擎优化

    选择“开启”。

    专有网络(VPC)

    选择与配置终端节点并发起连接中相同的专有网络和交换机。

    专有网络交换机

  3. 单击立即购买

2.2 配置ADB

  1. 登录阿里云百炼大模型服务平台

  2. 鼠标悬停于页面右上角头像,再在下拉菜单中选择主账号管理

  3. 在左侧导航栏中,选择业务空间管理

  4. 查找到已经创建的百炼安全存储业务空间,在操作列单击管理百炼安全存储空间

  5. 首次配置ADB,需要授权阿里云百炼平台访问您的ADB对象存储资源、使用该权限访问、读取、写入和调用对象存储的数据和服务。

    选择资源配置页签,在ADB配置区域单击去授权,在弹出的ADB服务关联角色对话框中单击确定授权

    image

  6. 配置以下参数。

    参数名称

    参数取值

    向量存储

    选择刚才购买的ADB资源。

  7. 单击保存,完成配置。

3. 配置ES存储

3.1 购买ElasticSearch存储

  1. 登录阿里云Elasticsearch控制台

  2. 在左侧导航栏,单击Elasticsearch实例

  3. 单击创建,配置以下参数,其余参数保持默认即可。

    参数名称

    参数取值

    商品类型

    按实际业务需求选择。

    地域和可用区

    地域:选择“华北2(北京)”。

    可用区:请在“北京可用区H”、“北京可用区G”或“北京可用区L”中任选其一。

    image

    可用区数量

    选择“两个可用区”。

    专有网络

    选择与配置终端节点并发起连接中相同的专有网络和交换机。

    虚拟交换机

    实例类型

    选择“内核增强版”。

    Elasticsearch版本

    选择“7.10”。

    登录名

    默认值“elastic”。

    登录密码

    自定义设置。

    请将密码记录到安全的地方,后续“配置ES”时会用到。

  4. 单击立即购买,进入确认订单页面,确认实例配置无误后,选中服务协议,单击立即开通

  5. Elasticsearch实例页面的顶部菜单栏,选择“华北2(北京)”,在实例列表中查看已创建的ES实例。

    实例创建后,需要一段时间才能生效。时间长短与您的集群规格、数据结构和大小等相关,一般在小时级别。您可以在实例列表的状态列,查看实例状态。

3.2 配置ES

  1. 登录阿里云百炼大模型服务平台

  2. 鼠标悬停于页面右上角头像,再在下拉菜单中选择主账号管理

  3. 在左侧导航栏中,选择业务空间管理

  4. 查找到已经创建的百炼安全存储业务空间,在操作列单击管理百炼安全存储空间

  5. 选择资源配置页签,在ES配置区域单击配置,配置以下参数。

    参数名称

    参数取值

    私网域名

    1. 登录阿里云Elasticsearch控制台

    2. 在左侧导航栏,选择Elasticsearch实例

    3. 单击刚才创建的ES实例,进入详情页面。

    4. 私网地址对应的值即为需要获取的私网域名。

    image

    私网地址

    可用区需要全部配置,对应的IP地址为ElasticSearch在专有网络内的地址,请参考以下操作获取:

    1. 登录ECS实例。

      1. 登录ECS管理控制台

      2. 在左侧导航栏,选择实例与镜像 > 实例

      3. 在页面左侧顶部,选择ECS所在的地域“华北2(北京)”。

        image

      4. 实例页面,找到ECS实例,单击操作列对应的远程连接

      5. 在弹出的远程连接对话框中,单击展开其他登录方式,再在通过VNC远程连接中单击立即登录

        image

      6. root用户登录ECS实例。

    2. 查询私网域名对应的IP地址。

      1. 输入dig,单击复制命令输入

        说明

        如果未安装dig,请执行以下命令安装dig命令。

        yum install -y bind-utils

        等待程序安装完成,再执行dig命令查询私网域名对应的IP地址。

      2. 复制粘贴命令对话框中,输入刚获取的私网域名。

      3. 确认无误后,单击确定

        image

      4. “ANSWER SECTION”中,ES域名解析后的IP地址即为需要获取的私网地址。

        image

    账号

    输入elastic

    密码

    刚才“购买ElasticSearch存储”时设置的密码。

  6. 单击保存。

    image

  7. 保存成功后,单击连通性测试进行ES的访问可达性测试。

    等待界面提示“连通性测试成功”,单击我已知晓,完成所有配置。

    image

    重要
    • 如果ES停止计费,将导致百炼安全存储空间、知识库、审计日志、历史记录等模块不可用。需要给ES续费才能恢复服务。

    • 如果ES被释放,将造成百炼安全存储空间不可用,且无法恢复。需要重新创建一个新的安全存储空间。

验证结果

配置前,百炼安全存储空间不可用。

image

配置完成后,百炼安全存储空间可用。