您可以通过配置实例私网连接,实现不同VPC间的网络互通,避免通过公网访问服务带来的潜在安全风险。本文为您介绍如何配置Elasticsearch的私网连接功能。
背景信息
由于2020年10月起,阿里云Elasticsearch网络架构的调整,导致Elasticsearch的部分功能因网络调整受限。而Elasticsearch的私网连接功能借助于PrivateLink能力,能够打通Elasticsearch服务VPC和用户VPC,从而解决了部分网络互通问题。
通过PrivateLink实现私网访问,您需要创建终端节点服务和终端节点。
- 终端节点服务
终端节点服务是可以被其他VPC通过创建终端节点建立私网连接的服务。终端节点服务由服务提供方创建和管理。
- 终端节点
终端节点可以与终端节点服务相关联,以建立通过VPC私网访问外部服务的网络连接。终端节点由阿里云Elasticsearch服务账号自动创建和管理。
目前受网络架构调整影响,阿里云Elasticsearch通过配置实例私网连接支持的功能如下。
| 功能 | 场景说明 | 相关文档 |
|---|---|---|
| Watcher | 阿里云Elasticsearch的X-Pack功能支持依据查询条件监测系统信息,对外提供报警服务。 | |
| 阿里云Elasticsearch安全特性 | 阿里云Elasticsearch的X-Pack功能支持多种集群级别安全特性配置,例如:单点登录、LDAP和用户认证等。 | |
| 自定义插件访问外部词库 | 自定义插件动态访问外部网络词库。 | 上传与安装自定义插件 |
| reindex | 通过reindex方式跨集群迁移数据。 | |
| Elasticsearch迁移 | 自建Elasticsearch迁移至阿里云。 | 通过实例私网打通将自建Elasticsearch数据迁移至阿里云 |
注意 实例私网连接方案是新网络架构下X-Pack Watcher、reindex、LDAP和AD(Active Directory)身份认证等功能受限的唯一解决方案,为保证功能使用不受影响,请严格按照文档配置。
前提条件
- 已创建阿里云Elasticsearch实例,具体操作请参见创建阿里云Elasticsearch实例。
- 已在用户VPC下创建了ECS服务,并部署了相关应用,详细信息请参见使用向导创建实例。
说明
- ECS服务器即后端服务器,主要接收通过负载均衡实例所转发的请求,在创建时需要选择下文使用限制中的地域和可用区,并且需要与负载均衡实例部署在同一地域且同一VPC下。
- 如果您的VPC下已经配置了PrivateLink终端节点服务、成功添加了SLB服务资源,并且后端服务器健康检查正常,则直接完成阿里云Elasticsearch实例上的私网互通配置,并获取终端节点域名,用于其他服务配置即可。详情请参见步骤四:配置阿里云Elasticsearch私网互通和(可选)步骤五:查看终端节点域名。
使用限制
PrivateLink仅支持部分地域私网连接,具体请参见下表。更多信息请参见支持私网连接的地域和可用区。
| 地域 | 可用区 |
|---|---|
| 华东1(杭州) | 可用区F、可用区G、可用区H、可用区I、可用区J、可用区K |
| 华东2(上海) | 可用区B、可用区E、可用区F、可用区G、可用区L |
| 华北1(青岛) | 可用区B、可用区C |
| 华北2(北京) | 可用区C、可用区D、可用区E、可用区F、可用区G、可用区H、可用区I、可用区K |
| 华北3(张家口) | 可用区A、可用区B、可用区C |
| 华南1(深圳) | 可用区D、可用区E、可用区F |
| 中国(香港) | 可用区B、可用区C、可用区D |
| 日本(东京) | 可用区A、可用区B |
| 新加坡 | 可用区A、可用区B、可用区C |
| 澳大利亚(悉尼) | 可用区B |
| 马来西亚(吉隆坡) | 可用区A、可用区B |
| 印度尼西亚(雅加达) | 可用区A、可用区B |
| 德国(法兰克福) | 可用区A、可用区B |
| 英国(伦敦) | 可用区A、可用区B |
| 美国(硅谷) | 可用区A、可用区B |
| 美国(弗吉尼亚) | 可用区A、可用区B |
| 印度(孟买) | 可用区A、可用区B |
注意事项
- 2020年10月及之后创建的实例均处于新网络架构下,支持配置实例私网连接功能;2020年10月之前创建的实例均处于旧网络架构下(包括金融云和政务云),均不支持配置实例私网连接功能。
- 由于无法感知到第三方产品的变化,本文中涉及的第三方产品的相关操作或截图可能更新不及时,使用时请以实际界面为准。
操作流程
步骤一:创建支持PrivateLink功能的负载均衡实例
- 在购买页面,根据以下信息配置支持私网连接的CLB实例,然后单击立即购买并完成支付。本文创建的负载均衡实例的具体配置如下。
步骤二:配置负载均衡实例
- 在配置页面,按需配置监听信息和后端服务器信息,并进行健康检查和配置审核。具体操作和详细信息请参见配置实例,相关配置说明如下。
表 1. 协议&监听配置 
参数 说明 示例值 选择负载均衡协议 支持TCP、UDP、HTTP和HTTPS。 TCP 监听端口 用来接收请求并向后端服务器进行请求转发的负载均衡系统的前端协议和端口。 8080 监听名称 可自定义,如果不填写,则系统默认为协议_端口。 默认 高级配置 按需配置。 默认 表 2. 后端服务器配置 参数 说明 示例值 请选择将监听请求转发至哪类后端服务器 支持虚拟服务器组、默认服务器组和主备服务器组。 默认服务器组 已添加服务器 单击继续添加,在我的服务器面板中,选中已经创建的ECS实例,并配置权重。 说明 权重越大,转发的请求消息越多,默认值为100。选中已经创建的ECS实例,配置权重为100。 端口 ECS实例上开放的用来接收请求的后端端口,在同一个负载实例内可重复。 说明 添加服务器后,您才可以配置后端协议端口。8080
步骤三:创建终端节点服务
- 单击创建终端节点服务,在服务创建页面,按需选择创建终端节点服务配置。具体操作和详细说明请参见创建和管理终端节点服务。本文使用的配置说明如下。
参数 说明 选择服务资源 选择要承载流量的可用区,然后选择与终端节点服务关联的负载均衡实例。负载均衡实例作为服务资源与终端节点服务关联,关联的负载均衡实例将接受来自您服务的用户的网络访问,终端节点服务的可用区与服务资源所在的主可用区一致。 可以作为服务资源的负载均衡实例必须满足以下两个条件:- 网络类型为专有网络。
- 功能特性为支持PrivateLink。
自动接受终端节点连接 选择是否自动接受终端节点的连接请求,建议选择是,取值含义如下: - 是:终端节点服务将自动接受终端节点的连接请求,通过终端节点能够访问服务。
- 否:终端节点连接将处于已断开状态,等待服务管理员进行处理:
- 如果服务管理员接受该终端节点对应的终端节点服务连接,通过终端节点将能够访问服务。
- 如果服务管理员拒绝该终端节点对应的终端节点服务连接,通过终端节点无法访问服务。
说明- 如果您的终端节点服务开启了自动接受连接,创建成功后,终端节点连接状态显示已连接。当状态为已连接时,支持拒绝连接。
- 如果您的终端节点服务未开启自动接受连接,则终端节点状态显示未连接,支持允许连接。
是否支持同可用区优先 选择是否支持同可用区优先,建议选择是。 描述 输入终端节点服务的描述信息,描述长度为2~256个字符,但是不能以http://和https://开头。
步骤四:配置阿里云Elasticsearch私网互通
- 在配置实例私网连接面板,单击+添加私网连接,选择步骤三中创建的终端节点服务和目标访问可用区,并选中系统提示信息。
- 单击确认,终端节点服务主动连接终端节点,连接成功后会显示已连接。
说明- 如果您的终端节点服务开启了自动接受连接,创建成功后,终端节点连接状态显示已连接。当状态为已连接时,支持拒绝连接。
- 如果您的终端节点服务未开启自动接受连接,则终端节点状态显示未连接,支持允许连接。
完成以上配置后,您已经打通了Elasticsearch服务VPC与用户VPC,如果您还需要获取终端节点域名用于其他服务的配置,例如Watcher、单点登录和LDAP等,可参见(可选)步骤五:查看终端节点域名进行获取。
(可选)步骤五:查看终端节点域名
终端节点域名是终端节点服务与终端节点访问通道,您可以通过以下操作获取终端节点域名:
- 在配置实例私网连接面板中,单击目标终端节点ID。
- 在终端节点连接页签,单击目标终端节点ID前的
图标,即可查看终端节点对应的域名。