检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如图1所示,云下IDC希望不通过公网的方式访问云上VPC1、VPC2内的资源(ELB、ECS)以及其他云服务(OBS、DNS)。 图1 云下IDC访问华为云服务(业务需求) 方案架构 结合用户业务需求分析,不仅需要实现云下用户数据中心与华为云上互通,同时要不借助公网访问云上VPC内的资源和其他云服务。
步骤二:购买连接OBS的终端节点 操作场景 为了实现用户本地数据中心节点通过终端节点访问OBS服务,需要购买连接OBS服务的终端节点。 前提条件 终端节点要连接的终端节点服务已经存在。 操作步骤 进入终端节点列表页。 在“终端节点”列表页,单击“购买终端节点”。 进入“购买终端节点”页面。
详细请参见VPC终端节点产品价格详情。 场景网络拓扑如下: 云下用户数据中心(IDC)通过云专线与云上VPC1建立连接。 云上VPC1通过终端节点访问VPC2中的云服务ECS(终端节点服务)。 云下IDC通过云上VPC1访问VPC2中的云服务ECS(终端节点服务)。 图1 场景拓扑 父主题:
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
一方面,设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源;另一方面,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,从而在请求来源和被访问资源两个角度保障了安全性。 背景信息 VPC终端节点访问控制遵循最小权限原则,如果终端节点策略没有显式“Allo
failed:失败 deleting:删除中 ip String 访问所连接的终端节点服务的IP。 仅当同时满足如下条件时,返回该参数: 当查询连接interface类型终端节点服务的终端节点时。 终端节点服务启用“连接审批”功能,且已经“接受”连接审批。 “status”可以是“accepted
终端节点用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。 在同一区域中,通过购买终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。 终端节点与终端节点服务一一对应,访问不同类型终端节点服务的终端节点存在差异: 访问“接口”型终端节点服务的终端节点:是具备私有IP地址
图1 给用户授权VPCEP权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予VPC终端节点权限“VPCEndpoint Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限:
String 访问所连接的终端节点服务的IP。 创建终端节点时,可以指定访问所连接的终端节点服务的IP,目前只支持IPv4类型 。 创建连接Interface类型终端节点服务的终端节点时,此参数必选。 whitelist 否 Array of strings 添加用于控制访问终端节点的白名单。
false:不需要审批,创建的终端节点连接直接为accepted状态。 true:需要审批,创建的终端节点连接为pendingAcceptance状态, 需要终端节点服务所属用户审核后方可使用。 status String 终端节点服务的状态。 creating:创建中 available:可连接 failed:失败
终端节点删除后无法恢复,请谨慎操作。 设置接口型终端节点的访问控制 介绍如何开启终端节点的访问控制功能,并通过白名单设置允许访问终端节点的IP地址或网段。 只有连接“接口”型终端节点服务的终端节点支持访问控制功能。 如果关闭访问控制功能,表示允许任何IP访问终端节点。 管理终端节点的标签 介绍如何
何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 VPCEP部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使
表示该终端节点默认允许被完全访问。 目前部分华为云云服务已支持终端节点策略,具体以控制台实际显示为准。如果云服务不支持终端节点策略,则表示服务允许被完全访问。 当您为私有终端节点服务创建终端节点时,该终端节点允许被完全访问。 设置终端节点的策略 用户在购买终端节点时可以选择开启策略,详细请参见购买终端节点。
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
查询终端节点服务概要 功能介绍 查询终端节点服务的概要信息, 此接口是供创建终端节点的用户来查询需要连接的终端节点服务信息。 此接口既可以方便其他用户查询到您的终端节点服务概要信息, 又可以避免您的终端节点服务的细节信息暴露给其他用户。 调用方法 请参见如何调用API。 URI GET /v1/{p
管理终端节点服务的白名单 设置终端节点的访问控制 连接管理 如果您创建终端节点服务时开启了连接审批功能,则终端节点连接该终端节点服务需要进行审批,审批权由终端节点服务控制。 终端节点服务可以选择接受或拒绝终端节点的访问。 支持区域: 全部 管理终端节点服务的连接审批 端口映射 端口映射定义了
strings 访问所连接的终端节点服务的域名。 当“enable_dns”为true时,该参数可见。 ip String 访问所连接的终端节点服务的IP。 仅当同时满足如下条件时,返回该参数: 当查询连接interface类型终端节点服务的终端节点时。 终端节点服务启用“连接审批”功能,且已经“接受”连接审批。
终端节点服务类型。 gateway:由运维人员配置。用户无需创建,可直接使用。 interface:包括运维人员配置的云服务和用户自己创建的私有服务。 其中,运维人员配置的云服务无需创建, 用户可直接使用。 您可以通过创建终端节点创建访问Gateway和Interface类型终端节点服务的终端节点。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
