网络端点有哪些概念/配置和常见用法 -

本文介绍网络端点的概念、配置和常见用法。

基础介绍

网络端点（Network Access Endpoint）是IDaaS EIAM实例进行网络访问的载体，分为专属端点和共享端点。专属端点需要购买后才可使用（专属端点计费说明），共享端点可以免费使用。

专属端点

专属端点是您的EIAM实例独享的网络端点，本质上是您的EIAM实例持有您VPC中的一个ENI，您可以针对该ENI设置安全组规则或网络配置，从而实现EIAM实例的专属私网访问或专属公网访问。

专属私网访问

EIAM实例通过私网连接到您的阿里云VPC后，无需开放公网端口即可实现AD/LDAP/应用的数据同步以及AD/LDAP的委托认证。下面以AD为例，展示针对不同网络规划的支持方式，以供您参考。

AD和ENI属于同一个阿里云VPC

如果您的AD域服务器和EIAM持有的ENI同属于一个阿里云VPC，此时您需要采用如下网络ACL方式：

AD域服务器所属安全组放行ENI的IP。

AD和ENI属于不同阿里云VPC

如果您的AD域服务器和EIAM持有的ENI同属于不同的阿里云VPC，此时您需要采用如下网络ACL方式：

通过CEN连通不同的阿里云VPC。
AD域服务器所属的安全组放行ENI的IP。

AD属于线下IDC或其它云服务厂商

如果您的AD与服务器属于自己的线下IDC或者其它云服务厂商，此时您需要采用如下网络ACL方式：

通过专线（VPN等）拉通阿里云侧VPC和AD域服务器所属的IDC或其他云服务厂商。
AD域服务器所在的防火墙放行ENI的IP。

专属公网访问
EIAM实例通过私网连接到您的阿里云VPC后，您可以为EIAM所持有的ENI绑定弹性公网IP或者为您的阿里云VPC绑定公网NAT网关，从而让EIAM实例可以使用您的公网IP访问公网。您可以将此公网IP作为企业微信的可信IP，从而满足企业微信的相关要求。

共享端点

共享端点是EIAM实例进行网络访问时默认使用的网络端点，所有EIAM实例共用。仅支持访问公网。

两种端点的对比

以下是专属端点和共享端点的能力对比。

能力项	专属端点	共享端点
使用专属IP访问私网	支持	不支持
使用专属IP访问公网	支持	不支持
使用共用IP访问公网	不支持	支持
网络端点资源所有权（ENI、安全组等）	您的阿里云主账号	IDaaS团队
是否默认即可使用	否	是
是否免费	否	是

网络端点支持情况

下表是目前各功能模块的网络端点支持情况。各模块默认使用共享端点，如需变更需手动切换。

功能模块	专属端点-私网访问	专属端点-公网访问	共享端点-公网访问
钉钉入方向身份提供方	不支持	不支持	支持
钉钉出方向身份提供方	不支持	不支持	支持
AD入方向身份提供方	支持	支持	支持
LDAP入方向身份提供方	支持	支持	支持
企业微信入方向身份提供方	不支持	支持	不支持
应用市场应用	暂不支持	暂不支持	支持
SAML应用	暂不支持	暂不支持	支持
OIDC应用	暂不支持	暂不支持	支持
自研应用	暂不支持	暂不支持	支持

添加专属端点

在网络端点页签中执行以下操作：

创建服务关联角色（SLR）
访问网络端点页面或添加专属端点时，如当前不存在服务关联角色，需要先创建IDaaS EIAM服务关联角色。阿里云主账号或拥有AliyunIDaaSEiamFullAccess权限的阿里云用户才可执行此操作。
升级或升配实例
当实例的专属端点数量少于专属端点配额时，您才可以创建专属端点。专属端点配额需单独购买。
1. 针对免费版或试用版实例，请升级实例，在购买页中购买专属端点数量。
2. 针对企业版实例，请升配实例，在购买页中购买专属端点数量。
说明
目前每个EIAM实例最多支持1个专属端点。
选择资源
1. 单击添加专属端点，并填写相关信息。
  - 显示名称：专属端点的显示名称，仅在控制台中展示。
  - 选择地域：选择希望连接的专有网络所在的地域。
  - 选择专有网络：选择当前地域下的专有网络。如果您需要私网访问AD/LDAP/应用等服务，请选择这些服务所在的或可以访问这些服务的专有网络。
  - 选择交换机：选择当前专有网络下的交换机。交换机的可用IP数需大于2个，且不可使用33网段。最多选择2个交换机。
  重要
  - 添加专属端点后，不支持修改地域、专有网络、交换机等信息，请确认后填写。
  - 强烈建议选择2个不同可用区的交换机，以增强容灾能力。
2. 确认无误后，单击确定即可开始添加专属端点。
  添加完成后，还需进行如下配置，才可正式使用专属端点：
  1. 如需实现专属私网访问，请授权私网访问。
  2. 如需实现专属公网访问，请配置专属公网出口IP。

授权私网访问

在网络端点页签中，单击目标专属端点下的授权私网访问。
获取访问规则。在授权私网访问弹窗中，复制授权对象。授权对象中聚合了当前专属端点的所有专属私网出口IP。
配置安全组访问规则。单击前往添加，前往云服务器ECS > 安全组，在页面中选择需要私网访问的服务所在的安全组。
说明
以AD为例，需要选择的是AD域服务器所在的属于您的安全组（不同网络规划的支持方式请见专属私网访问），而非由EIAM创建的安全组。
1. 单击安全组ID/名称，进入安全组。在安全组详情 > 入方向中单击手动添加。
2. 在新增的访问规则中填写如下内容并保存：
  - 授权策略：允许。
  - 优先级：1。
  - 协议类型：自定义TCP。
  - 端口范围：填写您的服务的端口范围。如果连接的是AD/LDAP，一般使用389或636。
  - 授权对象：在上一步中复制的专属私网出口IP地址。

配置专属公网出口 IP

通过公网NAT网关配置，实现EIAM实例通过您指定的IP访问公网，您可以将此公网IP作为企业微信的可信IP，从而满足企业微信的相关校验。

查看专属网络地域
在网络端点页签中，查看目标专属端点下的专有网络地域。
绑定弹性公网IP
1. 在专有网络-公网NAT网关中，选择和专有网络地域相同的地域下的公网NAT网关，单击立即绑定弹性公网IP，开始绑定流程。
  如无可用资源请提前创建公网NAT网关。详情请参见：创建公网NAT网关。
2. 您可以从已有的弹性公网IP中选择，也可以直接新购并绑定弹性公网IP。
3. 绑定成功后，进入公网NAT网关页面，单击实例ID/名称。
  如果您当前实例下没有SNAT条目，请参考创建和管理SNAT条目，之后专属端点即可支持公网访问能力。
  警告
  未配置SNAT条目将导致专属端点无法通过公网访问。
在网络端点页签下的专属公网出口IP，单击点击查看即可查看当前专属端点使用的公网IP。

切换专属端点访问

进入身份提供方页面，单击目标身份提供方下的修改，即可修改基础配置（以AD为例）。
配置专属端点。在网络配置 > 网络端点中。
1. 选择专属端点类型。
2. 从下拉框选取已绑定专属公网出口IP的端点（支持弹性网卡或公网NAT网关的IP）。
提交校验。单击确定后，系统将立即验证：
1. 校验要求：所有关联的弹性网卡（最多2张）均需能成功访问AD服务。
2. 若校验通过：自动切换至专属端点。
3. 若校验失败：提示错误信息，需检查网络连通性。

您可以单击专属公网出口IP中的立即查看所使用的网关IP。

重要

校验通过将立即切换为专属端点进行访问，建议提前使用测试环境进行验证。且付费实例到期释放或退订时，专属端点将立即不可用，并在一天后自动被删除。如需使用共享端点或其他专属端点，需手动切换。建议在删除前修改您的服务中的网络访问白名单配置。

修改专属端点

专属端点仅支持修改显示名称。如需修改其他信息，需删除后重新配置。