如果您需要通过终端节点实现VPC与阿里云上的服务建立安全稳定的私有连接,您可以在VPC中创建云服务的网关终端节点并指定关联的路由表,系统自动将该云服务的下一跳路由指向网关终端节点,实现对云服务的私网访问。本文指导您如何创建和管理网关终端节点。
背景信息
终端节点包括接口终端节点和网关终端节点两种类型。终端节点都是由服务使用方创建和管理,通过与终端节点服务相关联,建立访问外部服务的私有访问连接。
接口终端节点:是一个具备私有IP地址的弹性网络接口ENI(Elastic Network Interface),作为访问阿里云云服务或者VPC终端节点服务的入口。更多信息,请参见创建接口终端节点。
网关终端节点:是一个虚拟网关设备,在VPC中创建云服务的网关终端节点并指定关联的路由表,系统自动在网关终端节点关联的路由表中添加目标网段为云服务地址段(云服务地址段以pl为前缀、后缀随机数表示)、下一跳指向网关终端节点的路由条目,实现对云服务的私网访问。
阿里云为网关终端节点云服务在每个地域都规划了全局唯一的云服务地址段(从100.64.0.0/10里分配),确保地址的唯一性,可以配合云企业网、VPC对等连接、VPN网关等产品实现跨地域访问网关终端节点的云服务。
使用限制
针对一种云服务,一个VPC只能绑定一个网关终端节点,一个VPC路由表只能关联一个网关终端节点。
针对不同的云服务,一个VPC可以绑定不同云服务的网关终端节点。一个VPC路由表可以关联不同云服务的网关终端节点。
当您在某个地域下首次创建不同云服务类型的网关终端节点时,系统将会为您自动创建一个对应的前缀列表,且该前缀列表不可修改也不可删除。更多信息,请参见查看前缀列表。
网关终端节点所属的阿里云账号ID需要添加到服务白名单中。具体操作,请参见添加和管理服务白名单。
当前,支持网关终端节点的云服务为对象存储OSS(Object Storage Service),关于OSS的更多信息,请参见什么是对象存储OSS。
OSS支持网关终端节点的地域如下表所示。
区域
网关终端节点支持的地域
亚太-中国
华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、华北6(乌兰察布)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港
亚太-其他
日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)
欧洲与美洲
德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚)
前提条件
您已经创建了用于绑定网关终端节点的VPC。具体操作,请参见创建和管理专有网络。
创建网关终端节点并查看路由条目
创建网关终端节点时,您需要指定要绑定网关终端节点的VPC和VPC需要访问的云服务。
- 登录专有网络管理控制台。
在顶部菜单栏处,选择要创建网关终端节点的地域。
在左侧导航栏,单击终端节点。
单击网关终端节点页签,然后单击创建终端节点。
在创建终端节点页面,配置以下参数信息,然后单击确定创建。
参数
说明
所属地域
选择要创建网关终端节点所属的地域。
节点名称
输入网关终端节点的名称。
终端节点类型
选择需要创建的终端节点类型,本文选择网关终端节点。
终端节点服务
您可以通过以下两种方式设置终端节点服务:
单击其他终端节点服务,然后输入云服务名称,例如com.aliyun.cn-beijing.oss。
单击选择可用服务,然后选择需要访问的云服务。
专有网络
选择需要创建网关终端节点的VPC。
路由表
选择与网关终端节点关联的路由表。
资源组
选择所属地资源组。
标签键
选择或输入完整的标签键。最多支持输入20个标签键。
标签键最多支持128个字符,不能以
aliyun或acs:开头,也不能包含http://或https://。标签值
选择或输入完整的标签值。最多支持输入20个标签值。
标签值最多支持128个字符,不能以
aliyun或acs:开头,也不能包含http://或https://。描述
输入终端节点的描述信息。
访问策略
输入访问策略。例如,输入以下访问策略:
{ "Statement": [ { "Action": "oss:*", "Effect": "Allow", "Principal": ["174649585760xxxx"], "Resource": ["acs:oss:*:*:examplebucket", "acs:oss:*:*:examplebucket/*"] } ], "Version": "1" }当前OSS支持通过访问策略控制VPC访问OSS的行为。更多操作,请参见教程示例:通过VPC Policy与Bucket Policy控制数据访问安全。
返回终端节点页面,单击网关终端节点页签,然后单击已创建的网关终端节点ID。
在关联的路由表页签,单击路由表ID。
选择页签,查看系统自动添加的路由条目。
创建成功后,系统会自动在选择的网关终端节点关联路由表中创建一条目标网段为云服务地址段、下一跳指向创建的网关终端节点的路由条目。
删除网关终端节点
您可以删除不需要的网关终端节点。删除网关终端节点前,您需要先解绑所有已关联的路由表,解绑后,系统会在解绑的路由表中删除指向网关终端节点的路由条目。
- 登录专有网络管理控制台。
在左侧导航栏,选择。
在顶部菜单栏处,选择网关终端节点所属的地域。
单击网关终端节点页签,找到目标网关终端节点ID,然后在操作列单击删除。
在删除终端节点对话框,单击确定。
更多操作
操作 | 步骤 |
添加网关终端节点关联的路由表 |
|
解绑网关终端节点关联的路由表 |
|
编辑网关终端节点的访问策略 |
|
编辑网关终端节点的名称 |
|
相关文档
CreateVpcGatewayEndpoint:创建网关终端节点。
AssociateRouteTablesWithVpcGatewayEndpoint:关联路由表与网关终端节点。
DissociateRouteTablesFromVpcGatewayEndpoint:解绑路由表与网关终端节点。
DeleteVpcGatewayEndpoint:删除网关终端节点。
GetVpcGatewayEndpointAttribute:查询网关终端节点的属性。
UpdateVpcGatewayEndpointAttribute:修改网关终端节点的配置信息。