网络设置
私网连接(PrivateLink) 能够帮助你在 VPC 环境中,通过私网安全稳定地访问部署在其他 VPC 中的服务,大幅简化网络架构,同时避免通过公网访问服务所带来的安全风险。
SelectDB Cloud 仓库创建并运行在 SelectDB VPC 中,用户 VPC 内的应用系统或客户端,可通过 PrivateLink 跨 VPC 访问 SelectDB Cloud 仓库。用户也可以通过 PrivateLink 让 SelectDB Cloud 仓库连接自己的 VPC,集成其中的数据源(如 Hive Megastore、MySQL、Elasticsearch 等),做联邦分析或查询加速。PrivateLink 包括终端节点服务(Endpoint Service)与终端节点(Endpoint)两部分。
当用户需要在自己的私有网络中访问 SelectDB 时,SelectDB Cloud 会创建和管理 Endpoint Service,用户创建和管理 Endpoint。
说明 SelectDB Cloud 服务侧无额外费用,但用户需要向云厂商支付终端节点实例和流量费用。
当用户需要使用 SelectDB 访问自己的私有网络时,用户需要创建 Endpoint Service 并在 SelectDB Cloud 登记,随后 SelectDB Cloud 会创建 Endpoint 连接用户的 Endpoint Service。
说明 Endpoint Service 无额外费用,但用户需要向云厂商支付 Endpoint Service 后端挂载的负载均衡实例费用。
私有网络访问 SelectDB
新建终端节点(Endpoint),让你的私有网络中的数据应用(如报表、画像、日志分析)访问 SelectDB 云数据仓库。
同可用区连接
注意 由于云厂商限制 Endpoint 和 Endpoint Service 必须部署在一个可用区内才可以建立连接,你需要前往 Endpoint Service 所在的地域,通过服务 ID 或 服务名称找到 Endpoint Service,选择相同的可用区,创建 Endpoint。
跨可用区连接
注意 如果在创建 SelectDB Cloud 仓库时,没有用户业务所在的可用区可选,则可通过如下方案解决:用户可选择其中任意一个可用区(如可用区 1)创建 SelectDB Cloud 仓库,然后在用户 VPC 中新建一个位于可用区 1 的子网,并在其中创建连接 SelectDB Cloud 服务的终端节点。由于同一个 VPC 下的所有子网是免费互通的,因此用户在另一个可用区(如可用区 2)的应用系统/客户端,可以放心地通过可用区 1 的终端节点访问 SelectDB Cloud 服务。
通过私有网络访问 SelectDB 时,新建终端节点(Endpoint)在各朵云上略有不同,具体介绍如下。
阿里云
- 切到目标仓库,单击导航栏的 连接 ,在 私网连接 > 私有网络访问 SelectDB 中单击 新建连接,将用户的云主账号添加到 SelectDB Cloud 仓库的 Endpoint Service 的白名单内。
- 云主账号添加白名单成功后,表示此账号已获得连接访问 SelectDB Cloud 仓库的 Endpoint Service 的权限。SelectDB Cloud 仓库的 Endpoint Service 在等待用户的 Endpoint 连接过来。用户可以单击 下一步 ,进入到前往创建列表,列表会显示终端节点服务的信息,单击列表右下角的 前往创建 ,跳转到云厂商的 PrivateLink 产品控制台去创建 Endpoint。
- 在云厂商的 PrivateLink 产品控制台,用户需要确认当前地域与 SelectDB Cloud 仓库的 Endpoint Service 的地域相同(云厂商的 PrivateLink 产品限制),然后单击 创建终端节点 。
参数 | 说明 |
---|---|
节点名称 | 必填项。建议命名能够见名知意。 |
终端节点类型 | 必选项。选择“接口终端节点”。 |
终端节点服务 | 必选项。选择可用服务,通过“终端节点服务 ID”找到 SelectDB Cloud 仓库的 Endpoint Service,选中该记录。 |
专有网络 | 必选项。选择 VPC,也就是要连接 SelectDB Cloud 仓库的应用系统或客户端所在的 VPC。 |
安全组 | 必选项。选择预设的安全组。注意安全规则要放行 SelectDB Cloud 仓库用到的协议和端口,以及要连接 SelectDB Cloud 仓库的应用系统或客户端所在机器的 IP 地址。 |
可用区与交换机 | 必选项。选择与 SelectDB Cloud 仓库的 Endpoint Service 所在可用区相同的可用区(云厂商的 PrivateLink 产品限制),交换机也必须创建在该可用区,下拉框下方有创建交换机的指南。 |
- 终端节点创建完成后,状态从“创建中”变为“可用”,连接状态从“连接中”变为“已连接”,则表示该终端节点已经和 SelectDB Cloud 仓库的 Endpoint Service 连接成功了。
- 刷新 SelectDB Cloud 仓库的连接页面后,终端节点列表会出现该 Endpoint 的连接信息。
- 设置数据库账号 admin 的密码后,可以使用 WebUI 登录或其他方式(MySQL、JDBC、HTTP 等)连接 SelectDB Cloud 仓库。
注意
- 你所在网络需要连通该 Endpoint 所在的 VPC(例如使用 VPN、代理服务、专线等),才可以通过私网 WebUI 登录仓库。如果无法连通,建议改用公网 WebUI 登录仓库。
- SelectDB Cloud 产品中包含两套独立的账号,一套用于连接 SelectDB Cloud 仓库,即本文使用的账号。另一套用于登录控制台,请参考注册和登录章节。
腾讯云
- 切到目标仓库,单击导航栏的 连接 ,在 私网连接 > 私有网络访问 SelectDB 中单击 新建连接,将用户的云主账号 ID 以及 APPID 添加到 SelectDB Cloud 仓库的 Endpoint Service 的白名单内。
- 云主账号添加白名单成功后,表示此账号已获得连接访问 SelectDB Cloud 仓库的 Endpoint Service 的权限。SelectDB Cloud 仓库的 Endpoint Service 在等待用户的 Endpoint 连接过来。用户可以单击 下一步 ,进入到前往创建列表,列表会显示终端节点服务的信息,单击列表右下角的 前往创建 ,跳转到云厂商的 PrivateLink 产品控制台去创建 Endpoint。
- 在云厂商的 PrivateLink 产品控制台,用户需要确认当前地域与 SelectDB Cloud 仓库的 Endpoint Service 的地域相同(云厂商的 PrivateLink 产品限制),然后单击 新建 。
参数 | 说明 |
---|---|
名称 | 必填项。建议命名能够见名知意。 |
所属网络 | 必选项。选择 VPC,也就是要连接 SelectDB Cloud 仓库的应用系统或客户端所在的 VPC。 |
所属子网 | 必选项。选择终端节点所属的子网。 |
IP 地址 | 必选项。默认是自动分配,可选择手动填写。 |
对端账户类型 | 必选项。选择待连接的终端节点服务所属账户,这里是跨账号 VPC 间访问,因此应选择其他账户。 |
对端账户 UIN | 必填项。当对端账户类型选择其他账户时,请填写对端账户 UIN(也就是 SelectDB Cloud 服务侧账户 UIN,可在终端节点服务信息列表那一键复制后,粘贴到这里)、终端节点服务 ID(可在 SelectDB Cloud 终端节点服务信息列表那一键复制后,粘贴到这里),然后点击 验证。提示打勾了即表示可成功连接。 |
- 终端节点创建完成后,状态变为“可用”,则表示该终端节点已经和 SelectDB Cloud 仓库的 Endpoint Service 连接成功了。
- 刷新 SelectDB Cloud 仓库的连接页面后,终端节点列表会出现该 Endpoint 的连接信息。
- 设置数据库账号 admin 的密码后,可以使用 WebUI 登录或其他方式(MySQL、JDBC、HTTP 等)连接 SelectDB Cloud 仓库。
注意
- 你所在网络需要连通该 Endpoint 所在的 VPC(例如使用 VPN、代理服务、专线等),才可以通过私网 WebUI 登录仓库。如果无法连通,建议改用公网 WebUI 登录仓库。
- SelectDB Cloud 产品中包含两套独立的账号,一套用于连接 SelectDB Cloud 仓库,即本文使用的账号。另一套用于登录控制台,请参考注册和登录章节。
华为云
- 切到目标仓库,单击导航栏的 连接 ,在 私网连接 > 私有网络访问 SelectDB 中单击 新建连接,将用户的云主账号 ID 添加到 SelectDB Cloud 仓库的 Endpoint Service 的白名单内。
- 云主账号添加白名单成功后,表示此账号已获得连接访问 SelectDB Cloud 仓库的 Endpoint Service 的权限。SelectDB Cloud 仓库的 Endpoint Service 在等待用户的 Endpoint 连接过来。用户可以单击 下一步 ,进入到前往创建列表,列表会显示终端节点服务的信息,单击列表右下角的 前往创建 ,跳转到云厂商的 PrivateLink 产品控制台去创建 Endpoint。
- 在云厂商的 PrivateLink 产品控制台,用户需要确认当前地域与 SelectDB Cloud 仓库的 Endpoint Service 的地域相同(云厂商的 PrivateLink 产品限制),然后单击 购买终端节点 。
参数 | 说明 |
---|---|
区域 | 必选项。确认当前地域与 SelectDB Cloud 仓库的 Endpoint Service 的地域相同 |
服务类别 | 必选项。选择“按名称查找服务”。 |
服务名称 | 必填项。输入 SelectDB Cloud 仓库的服务名称进行验证,如验证成功则会提示已找到该服务。可以默认勾选 创建内网域名(通过内网域名访问终端节点) |
虚拟私有云 | 必选项。选择 VPC,也就是要连接 SelectDB Cloud 仓库的应用系统或客户端所在的 VPC。 |
子网 | 必选项。默认展示选择的 VPC 下的子网信息。 |
节点 IP | 必选项。默认选择自动分配 IP 地址,也可以选择手动指定 IP 地址。 |
访问控制 | 必选项。默认关闭。关闭访问控制开关,则表示允许任何 IP 访问该终端节点;开启访问控制开关,则只允许白名单列表中的 IP 访问该终端节点。 |
白名单 | 必填项。当开启访问控制开关时,需要填写 IP 白名单。支持至多 20 条。 |
- 终端节点创建完成后,状态变为“已接受”,表示该终端节点已经和 SelectDB Cloud 仓库的 Endpoint Service 连接成功了。
- 刷新 SelectDB Cloud 仓库的连接页面后,终端节点列表会出现该 Endpoint 的连接信息。
- 设置数据库账号 admin 的密码后,可以使用 WebUI 登录或其他方式(MySQL、JDBC、HTTP 等)连接 SelectDB Cloud 仓库。
注意
- 你所在网络需要连通该 Endpoint 所在的 VPC(例如使用 VPN、代理服务、专线等),才可以通过私网 WebUI 登录仓库。如果无法连通,建议改用公网 WebUI 登录仓库。
- SelectDB Cloud 产品中包含两套独立的账号,一套用于连接 SelectDB Cloud 仓库,即本文使用的账号。另一套用于登录控制台,请参考注册和登录章节。
SelectDB 访问私有网络
新建终端节点服务(Endpoint Service),让 SelectDB 访问你的私有网络中的数据库服务(如 Hive Metastore、MySQL、Elasticsearch)。
说明 SelectDB 访问私有网络产生的终端节点实例和流量费用,目前暂不对用户收取。
阿里云
- 登录 终端节点服务控制台 (opens in a new tab) 。
- 在左侧导航栏单击 终端节点服务,在页面单击 创建终端节点服务 ,选择与当前仓库同地域创建终端节点服务。
说明 阿里云 Elasticsearch 等一方产品的控制台中,提供了针对该产品的终端节点服务创建入口。
- 在弹出的 创建终端节点服务 对话框中,配置相关参数。
- 进入终端节点服务详情,添加 SelectDB 的云账号 ID 为白名单。
注意 可参考第 5 步获取 SelectDB 的云账号 ID 。
- 在 SelectDB Cloud 中 ,单击导航栏的 连接 ,在 私网连接 > SelectDB 访问私有网络 中单击 新建连接,填写终端节点服务的 ID、名称,并点击 登记 。
华为云
- 登录 VPC 终端节点控制台 (opens in a new tab)。
- 在左侧导航栏单击VPC 终端节点 - 终端节点服务 ,选择与当前仓库同地域创建终端节点服务。
- 在右上角单击 创建终端节点服务 ,选择与当前仓库同地域创建终端节点服务,并选择 VPC 与端口映射。
说明 华为云 Elasticsearch 等一方产品的控制台中,提供了针对该产品的终端节点服务创建入口。
- 进入终端节点服务详情,在 **权限管理-添加白名单记录 **中将 SelectDB 的云账号 ID 添加到白名单。
注意 可参考第 5 步获取 SelectDB 的云账号 ID 。
- 在 SelectDB Cloud 中 ,单击导航栏的 连接 ,在 私网连接 > SelectDB 访问私有网络 中单击 新建连接,填写终端节点服务的 ID、名称,并单击 登记 。
腾讯云
- 登录 私有连接控制台 (opens in a new tab)。
- 在左侧导航栏单击私有连接 - 终端节点服务 ,选择与当前仓库同地域创建终端节点服务。
- 在弹出的 新建终端节点服务 对话框中,配置相关参数。
参数名称 | 描述 |
---|---|
服务名称 | 自定义终端节点服务的名称,不能超过 80 个字符,只能使用中文、英文、数字、下划线、分隔符"-"、小数点。 |
所在地域 | 终端节点服务所在地域。与当前仓库同地域。 |
所属网络 | 选择所属 VPC。 |
服务类型 | 终端节点服务的类型,目前支持负载均衡(应用型内网 4 层 CLB)、MySQL 和 Redis。 |
后端服务 | 后端服务的实例 ID。 |
自动接受 | 指定终端节点服务是、否自动接受终端节点发起的连接请求,默认为否:当选择是自动接受时,终端节点服务默认接受所有连接的终端节点的请求,终端节点创建成功后,状态即为可用。当选择否不接受自动连接时,终端节点初始连接状态将为待接受,需要终端节点服务手动执行接受连接才能将状态从待接受变为可用。 |
- 进入终端节点服务详情,添加 SelectDB 的云账号 ID 为白名单。
注意 可参考第 5 步获取 SelectDB 的云账号 ID 。
- 在 SelectDB Cloud 中 ,单击导航栏的 连接 ,在 私网连接 > SelectDB 访问私有网络 中单击 新建连接,填写终端节点服务的 ID、名称,以及你的腾讯云账户 UIN,并点击 登记 。
公网连接
在连接页,切到 公网连接 Tab 中,可以配置管理公网连接。
添加 IP 白名单
在开始使用前,需要先将源端公网 IP 加入白名单,才可以通过公网访问 SelectDB Cloud 仓库。
单击 IP 白名单管理 , 进入列表页面单击 添加 IP 白名单 ,增加新的 IP 白名单。
注意 默认公网连接 IP 白名单同时设置了 IP 段 0.0.0.0/1 和 128.0.0.0/1,即对公网完全开放访问。建议用完后及时移除,降低安全风险。
访问仓库
添加 IP 白名单后,你可以在控制台单击 WebUI 登录 ,也可参考 连接方式 来查看更多连接仓库的方式。
将集群端口添加到访问控制白名单
在使用 Stream Load 方式导入数据的时候,你需要将集群端口添加到访问控制白名单,允许流出请求访问这些端口。点击集群端口详情查看具体端口。