检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
详细请参见VPC终端节点产品价格详情。 场景网络拓扑如下: 云下用户数据中心(IDC)通过云专线与云上VPC1建立连接。 云上VPC1通过终端节点访问VPC2中的云服务ECS(终端节点服务)。 云下IDC通过云上VPC1访问VPC2中的云服务ECS(终端节点服务)。 图1 场景拓扑 父主题:
终端节点用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。 在同一区域中,通过购买终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。 终端节点与终端节点服务一一对应,访问不同类型终端节点服务的终端节点存在差异: 访问“接口”型终端节点服务的终端节点:是具备私有IP地址的弹性网络接口,作为接口型终端节点服务的通信入口。
Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云的访问。 通过IAM,您可以在华为云账号中为员工创建IAM用户,并授权控制他们对华为云资源的访问范围。例如您的员工中有负责网站维护的人员,您希望他们拥有VPCEP的操作权限,但是
址。 访问控制 当“选择服务”的“类型”为“接口”时,则会出现该参数。 用于设置允许访问终端节点的IP地址或网段。 开启:只允许白名单列表中的IP地址或网段访问终端节点。 关闭:允许任何IP地址或网段访问终端节点。 白名单 当“选择服务”的“类型”为“接口”时,打开“访问控制”开关,则会出现该参数。
设置接口型终端节点的访问控制 介绍如何开启终端节点的访问控制功能,并通过白名单设置允许访问终端节点的IP地址或网段。 只有连接“接口”型终端节点服务的终端节点支持访问控制功能。 如果关闭访问控制功能,表示允许任何IP访问终端节点。 管理终端节点的标签 介绍如何管理终端节点的标签,包括查看、添加、编辑和删除标签。
策略与桶策略,可以对OBS的资源提供VPC粒度的权限控制。 一方面,设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源;另一方面,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,从而在请求来源和被访问资源两个角度保障了安全性。
管理终端节点的策略 终端节点策略是一种基于资源的策略,您可以附加到VPC终端节点,以控制哪些华为云主体可以使用该终端节点访问华为云云服务。 终端节点策略不会覆盖或替代基于身份的策略或基于资源的策略。例如,如果您目前已经使用网关类型的终端节点连接到OBS服务,还可以使用OBS桶策略
M用户,让员工拥有唯一安全凭证,并使用VPCEP资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将VPCEP资源委托给更专业、高效的其他华为账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果华为账号已经能满足您的要求,不需要创建独立的IA
当创建连接“接口”类型终端节点服务的终端节点时,则会出现该参数。 用于设置允许访问终端节点的IP地址或网段。 开启:只允许白名单列表中的IP地址或网段访问终端节点。 关闭:允许任何IP地址或网段访问终端节点。 白名单 - 当创建连接“接口”类型终端节点服务的终端节点时,则会出现该参数。
终端节点的ID,唯一标识。 service_type String 终端节点连接的终端节点服务类型。 gateway:由运维人员配置。用户无需创建,可直接使用。 interface:包括运维人员配置的云服务和用户自己创建的私有服务。 其中,运维人员配置的云服务无需创建,用户可直接使用。
点支持的服务,可以被终端节点连接和访问。 更多内容,请参考终端节点服务。 终端节点:用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。 根据终端节点访问的终端节点服务的类型,终端节点分为接口终端节点、网关终端节点。 接口终端节点:指访问“接口”型终端节点服务的终端节点
步骤二:添加白名单 操作场景 终端节点服务的权限管理用于控制是否允许跨账号的终端节点连接终端节点服务,通过设置终端节点服务的白名单实现。 在终端节点服务创建完成后,可以通过权限管理设置允许连接该终端节点服务的授权账号ID,支持添加或者移除白名单中的授权账号ID。 本操作指导您获取账号I
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
管理终端节点服务的连接审批 操作场景 如果您创建终端节点服务时开启了连接审批功能,则终端节点连接该终端节点服务需要进行审批,审批权由终端节点服务控制。 终端节点服务可以选择接受或拒绝终端节点的访问。 前提条件 已购买连接该终端节点服务的终端节点。 开启了终端节点服务的“连接审批”功能。
授权其他云服务访问桶 场景描述: 当同时设置了VPC1的终端节点策略与账号A的桶mybucket的桶策略后,由于双端固定的限制,其它云服务包括OBS就无法访问桶mybucket。若想要授权其它云服务能够访问桶mybucket,可以通过委托授权的方式。 其中VPC1的ID为:4da
终端节点的ID,唯一标识。 service_type String 终端节点连接的终端节点服务类型。 gateway:由运维人员配置,用户无需创建,可直接使用。 interface:包括运维人员配置的云服务和用户自己创建的私有服务。 其中,运维人员配置的云服务无需创建,用户可直接使用。
设置网关型终端节点的路由表 操作场景 如果您需要通过终端节点实现VPC与华为云上的服务建立安全稳定的私有连接,您可以在VPC中创建云服务的网关型终端节点并绑定路由表,系统自动将该云服务的下一跳路由指向网关型终端节点,实现对云服务的私网访问。 本节介绍在终端节点购买完成后,如何绑定/解绑路由表功能。
service_type String 终端节点连接的终端节点服务类型。 gateway:由运维人员配置。用户无需创建,可直接使用。 interface:包括运维人员配置的云服务和用户自己创建的私有服务。 其中,运维人员配置的云服务无需创建,用户可直接使用。 您可以通过查询公共终端节点服务列表,
介绍如何设置终端节点服务的连接审批功能,用于控制是否允许终端节点连接终端节点服务。 仅当开启了终端节点服务的“连接审批”功能时,才支持设置是否允许终端节点连接此终端节点服务。 管理终端节点服务的白名单 介绍如何管理终端节点服务的白名单,用于控制跨租户的终端节点连接终端节点服务。 终端节点需要与终端节点服务位于同一区域。
VPC终端节点支持将云服务或者用户私有服务配置为可被终端节点访问的终端节点服务。 终端节点服务包括“网关”和“接口”两种类型。 网关:由系统配置的云服务类别的终端节点服务,用户无需创建,可直接使用。 接口:包括由系统配置的云服务类别的终端节点服务,以及由用户私有服务创建的终端节点服务。前者用户无需创建,可直接使用;后者需要用户自行创建。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
