产品功能
终端节点
VPC终端节点(VPC Endpoint),能够将VPC私密地连接到终端节点服务(云服务、用户私有服务),使VPC中的云资源无需弹性公网IP就能够访问终端节点服务,提高了访问效率,为您提供更加灵活、安全的组网方式。
VPC终端节点由“终端节点服务”和“终端节点”两种资源实例组成。终端节点用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。
在同一区域中,通过购买终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。
终端节点与终端节点服务一一对应,访问不同类型终端节点服务的终端节点存在差异:
- 访问“接口”型终端节点服务的终端节点:是具备私有IP地址的弹性网络接口,作为接口型终端节点服务的通信入口。
- 访问“网关”型终端节点服务的终端节点:是一个网关,在其上配置路由,用于将流量指向网关型终端节点服务。
相关操作请参见购买终端节点。
终端节点服务
VPC终端节点支持将云服务或者用户私有服务配置为可被终端节点访问的终端节点服务。
终端节点服务包括“网关型终端节点服务”和“接口型终端节点服务”两种类型。
- 网关型终端节点服务:由系统配置的云服务类别的终端节点服务,用户无需创建,可直接使用。
- 接口型终端节点服务:包括由系统配置的云服务类别的终端节点服务,以及由用户私有服务创建的终端节点服务。前者用户无需创建,可直接使用;后者需要用户自行创建。
相关操作请参见创建终端节点服务。
监控VPC终端节点
监控是保持VPC终端节点可靠性、可用性和性能的重要部分,通过监控,用户可以观察VPC终端节点资源。为使用户更好地掌握自己的VPC终端节点运行状态,公有云平台提供了云监控。您可以使用该服务监控您的VPC终端节点,执行自动实时监控、告警和通知操作,帮助您更好地了解VPC终端节点的各项性能指标。
相关操作请参见使用CES监控VPC终端节点。
查看审计日志
云审计服务是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。在您开启了云审计服务后,系统开始记录云资源的相关操作。云审计服务管理控制台保存最近7天的操作记录。
相关操作请参见查看审计日志。
白名单
终端节点服务通过设置终端节点服务的白名单控制是否允许跨账号的终端节点连接终端节点服务。
在终端节点服务创建完成后,可以通过权限管理设置允许连接该终端节点服务的授权账号ID,支持添加或者移除白名单中的授权账号ID。
- 如果白名单为空,则不支持跨账号的终端节点连接终端节点服务。
- 如果某一账号包含在终端节点服务的白名单中,则可以通过该账号创建连接终端节点服务的终端节点。
- 如果某一账号未包含在终端节点服务的白名单中,则无法通过该账号创建连接终端节点服务的终端节点。
连接“接口”型终端节点服务的终端节点支持访问控制功能。终端节点的访问控制功能支持通过白名单设置允许访问终端节点的IP。在购买终端节点时以及购买完成后,均可以开启或关闭终端节点的访问控制功能,也可以添加或删除白名单。
相关操作请参见管理终端节点服务的白名单。
连接管理
如果您创建终端节点服务时开启了连接审批功能,则终端节点连接该终端节点服务需要进行审批,审批权由终端节点服务控制,终端节点服务可以选择接受或拒绝终端节点的访问。
相关操作请参见管理终端节点服务的连接审批。
端口映射
- 协议:终端节点与终端节点服务支持的通信协议。
- 服务端口:终端节点服务绑定了后端资源,作为提供服务的端口。
- 终端端口:终端节点提供给用户,作为访问终端节点服务的端口。
相关操作请参见管理终端节点服务的端口映射。
权限管理
如果您需要对华为云上购买的云资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云的访问。
通过IAM,您可以在华为云账号中为员工创建IAM用户,并授权控制他们对华为云资源的访问范围。例如您的员工中有负责网站维护的人员,您希望他们拥有VPCEP的操作权限,但是不希望他们拥有删除其他云资源实例等高危操作的权限,那么您可以使用IAM为维护人员创建用户,通过授予仅能操作VPCEP,但是不允许操作其他云资源的权限策略,控制他们对云资源的使用范围。
相关操作请参见权限管理。
API
VPC终端节点提供自研的REST接口。
通过使用VPC终端节点所提供的接口,您可以完整的使用VPC终端节点的所有功能。VPC终端节点主要包括终端节点和终端节点服务两种资源对象。
VPC终端节点提供的具体API如下表所示。
|
子类型 |
说明 |
|---|---|
|
版本管理接口 |
VPC终端节点API版本查询接口,支持查询所有API或者指定API的版本号。 |
|
终端节点服务接口 |
终端节点服务接口,支持创建、修改、查询、删除终端节点服务、查询列表、查询白名单规则、添加或删除白名单规则、查询连接的终端节点、接受或拒绝终端节点等。 通过这些接口,您可以管理终端节点服务、根据自身业务状况设置规则,来向终端节点提供服务。 |
|
终端节点接口 |
终端节点接口,包括创建、查询、删除终端节点、查询列表,通过这些接口您可以管理终端节点来使用终端节点服务所提供的服务。 |
|
资源配额接口 |
VPC终端节点资源配额查询接口,支持查询VPC终端节点的终端节点服务和终端节点资源的配额。 |
|
TAG接口 |
VPC终端节点的标签管理接口,支持查询资源实例、批量添加或删除资源标签以及查询资源标签。 |
相关操作请参见API概览。
SDK
API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。目前SDK的语言支持:Java、Python、Go。您可以使用API或其他任意一种熟知的SDK。
相关操作请参见SDK概述。
