本文介紹網路訪問的類型劃分及設定方法,旨在指導您安全且高效地設定網路環境。
網路訪問類型
StarRocks支援阿里雲VPC內網訪問和公網訪問方式。
阿里雲內網VPC訪問:您可以在阿里雲StarRocks執行個體所在網路VPC內或者其它VPC訪問和使用StarRocks執行個體。
公網訪問:您可以通過公網訪問和使用StarRocks執行個體。此時,阿里雲VPC內仍然可以訪問StarRocks執行個體。
重要StarRocks公網訪問使用阿里雲CLB功能,由此產生的網路費用按照CLB計費概述進行收費。
如果StarRocks執行個體開啟了公網訪問,則會自動在您的阿里雲賬戶下建立一系列的CLB執行個體,這些CLB執行個體開啟了刪除保護功能,不能隨意刪除。
預設情況下,如果StarRocks執行個體開啟了公網訪問,則所有公網IP地址都可以訪問StarRocks執行個體。您可以通過存取控制策略白名單對StarRocks執行個體進行安全限制。
網路類型設定
新建立的StarRocks執行個體預設使用內網網域名稱,如果您有公網訪問需求,您可以在目標執行個體的執行個體詳情頁面開啟相應節點的公網訪問。
FE節點:在執行個體詳情頁面的網關資訊地區,單擊開啟公網。
BE/CN節點:在計算群組頁面,單擊目標計算群組操作列的管理,然後單擊開啟公網。
網路網域名稱類型
網路網域名稱分為以下兩類:
內網網域名稱(支援當前VPC內訪問,可跨vSwitch)
FE內網訪問網域名稱格式為:
fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}說明當外部客戶端訪問SLB時,實際上是通過SLB的網域名稱間接訪問服務執行個體,而不是直接存取。這是因為SLB會在其內部進行請求分發,以實現不同服務執行個體之間的負載平衡。
BE內網訪問網域名稱格式為:
be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}
公網網域名稱
FE公網訪問網域名稱格式為:
fe-{srClusterId}.starrocks.aliyuncs.com:{port}BE公網訪問網域名稱格式為:
be-{srClusterId}.starrocks.aliyuncs.com:{port}
{srClusterId}:StarRocks執行個體ID。{port}:服務連接埠號碼。FE的查詢連接埠和HTTP連接埠分別為9030、8030;BE的HTTP連接埠為8040。
網路安全設定
您可以通過設定網路安全白名單來限制StarRocks執行個體訪問,以保證您的服務資料安全。網路安全設定包含VPC內網訪問安全性群組白名單和公網存取控制策略白名單兩部分。
為防止被外部的使用者攻擊導致安全問題,授權對象禁止填寫為0.0.0.0/0。
公網存取控制策略白名單
在目標執行個體的執行個體詳情頁面的網關資訊地區,和目標計算群組的管理計算群組頁面,單擊公網地址後面的開啟公網。
單擊公網地址後面的公網白名單。
在CLB的存取控制頁面,單擊添加條目,添加相應的訪問限制規則。
具體操作資訊,請參見存取控制。
VPC內網訪問安全性群組白名單
在目標執行個體的執行個體詳情頁面的網關資訊地區,檢查網路類型,確認是否已啟用SLB。
如果網路類型顯示SLB,則表明已啟用SLB。
請在目標執行個體的執行個體詳情頁面的網關資訊地區,單擊查看SLB,跳轉到SLB控制台進行相應的存取控制配置。具體操作,請參見存取控制。
如果網路類型顯示PrivateZone,則表明SLB未開啟。
在目標執行個體的執行個體詳情頁面的安全配置地區,單擊安全性群組ID後面的內網白名單。
在彈出的內網白名單配置面板中,修改預設的白名單分組,或者單擊新增白名單分組,填寫名稱以及IP地址或IP段。
單擊確定。