本文介紹網路訪問的類型劃分及設定方法,旨在指導您安全且高效地設定網路環境。
網路訪問類型
StarRocks支援阿里雲VPC內網訪問和公網訪問方式。
-
阿里雲內網VPC訪問:您可以在阿里雲StarRocks執行個體所在網路VPC內或者其它VPC訪問和使用StarRocks執行個體。
-
公網訪問:您可以通過公網訪問和使用StarRocks執行個體。此時,阿里雲VPC內仍然可以訪問StarRocks執行個體。
重要-
StarRocks公網訪問使用阿里雲CLB功能,由此產生的網路費用按照CLB計費概述進行收費。
-
如果StarRocks執行個體開啟了公網訪問,則會自動在您的阿里雲賬戶下建立一系列的CLB執行個體,這些CLB執行個體開啟了刪除保護功能,不能隨意刪除。
-
預設情況下,如果StarRocks執行個體開啟了公網訪問,則所有公網IP地址都可以訪問StarRocks執行個體。您可以通過存取控制策略白名單對StarRocks執行個體進行安全限制。
-
網路類型設定
新建立的StarRocks執行個體預設使用內網網域名稱,如果您有公網訪問需求,您可以在目標執行個體的实例详情頁面開啟相應節點的公網訪問。
-
FE節點:在实例详情頁面的网关信息地區,單擊开启公网。
-
BE/CN節點:在计算组頁面,單擊目標計算群組操作列的管理,然後單擊开启公网。
網路網域名稱類型
網路網域名稱分為以下兩類:
-
內網網域名稱(支援當前VPC內訪問,可跨vSwitch)
-
FE內網訪問網域名稱格式為:
fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}說明當外部客戶端訪問SLB時,實際上是通過SLB的網域名稱間接訪問服務執行個體,而不是直接存取。這是因為SLB會在其內部進行請求分發,以實現不同服務執行個體之間的負載平衡。
-
BE內網訪問網域名稱格式為:
be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}
-
-
公網網域名稱
-
FE公網訪問網域名稱格式為:
fe-{srClusterId}.starrocks.aliyuncs.com:{port} -
BE公網訪問網域名稱格式為:
be-{srClusterId}.starrocks.aliyuncs.com:{port}
-
-
{srClusterId}:StarRocks執行個體ID。 -
{port}:服務連接埠號碼。FE的查詢連接埠和HTTP連接埠分別為9030、8030;BE的HTTP連接埠為8040。
網路安全設定
您可以通過設定網路安全白名單來限制StarRocks執行個體訪問,以保證您的服務資料安全。網路安全設定包含VPC內網訪問安全性群組白名單和公網存取控制策略白名單兩部分。
為防止被外部的使用者攻擊導致安全問題,授權對象禁止填寫為0.0.0.0/0。
-
公網存取控制策略白名單
-
在目標執行個體的实例详情頁面的网关信息地區,和目標計算群組的管理计算组頁面,單擊公网地址後面的开启公网。
-
單擊公网地址後面的公网白名单。
-
在CLB的访问控制頁面,單擊添加條目,添加相應的訪問限制規則。
具體操作資訊,請參見存取控制。
-
-
VPC內網訪問安全性群組白名單
在目標執行個體的实例详情頁面的网关信息地區,檢查网络类型,確認是否已啟用SLB。
重要如果您的執行個體從PrivateZone類型切換至SLB訪問,原有的安全性群組內網白名單將不再生效。啟用SLB後,內網訪問通過SLB轉寄,安全性群組白名單無法限制經由SLB的流量。您需要將安全性群組內網白名單中的條目手動遷移至CLB的存取控制中,以確保內網訪問安全性原則持續生效。
-
如果网络类型顯示SLB,則表明已啟用SLB。
請在目標執行個體的实例详情頁面的网关信息地區,單擊查看 SLB,跳轉到SLB控制台進行相應的存取控制配置。具體操作,請參見存取控制。
-
如果网络类型顯示PrivateZone,則表明SLB未開啟。
-
在目標執行個體的实例详情頁面的安全配置地區,單擊安全组 ID後面的内网白名单。
-
在彈出的内网白名单配置面板中,修改預設的白名單分組,或者單擊新增白名单分组,填寫名稱以及IP地址或IP段。
-
單擊确定。
-
-