购买终端节点_VPC终端节点 VPCEP_用户指南_终端节点管理_华为云

(1)

用户指南

文档版本 07

发布日期 2022-01-30

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 ^{终端节点服务管理}

1.1 终端节点服务简介

VPC终端节点支持将云服务或者用户私有服务配置为可被终端节点访问的终端节点服务。

终端节点服务包括“网关”和“接口”两种类型。

● 网关：由系统配置的云服务类别的终端节点服务，用户无需创建，可直接使用。

● 接口：包括由系统配置的云服务类别的终端节点服务，以及由用户私有服务创建的终端节点服务。前者用户无需创建，可直接使用；后者需要用户自行创建。

说明

系统在不同区域支持的云服务不同，具体以管理控制台可配置的“服务列表”为准。

仅“拉美-墨西哥城一”、“拉美-圣保罗一”和“拉美-圣地亚哥”区域支持“网关”类型的 OBS终端节点服务。

本章节介绍如何创建并管理由用户私有服务创建的“接口型”的终端节点服务，如表

1-1所示。

(5)

表1-1 终端节点服务管理说明

操作说明使用限制

创建终端节点服务

介绍如何将用户私有服务创

建为终端节点服务。 ● 终端节点服务属于区域级资源，在创建时需要设置区域和项目。

● 每个租户支持创建20个终端节点服务。

● 支持创建为终端节点服务的用户私有服务包括：

– 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。

– 云服务器：作为服务器使用。

– 裸金属服务器：作为服务器使用。

● 一个终端节点服务仅支持对应一个后端资源实例。

查看终端节点服务

介绍如何查看终端节点服务的详细信息。

无。

删除终端节点服务

介绍如何删除创建的终端节

点服务。 ● 终端节点服务删除后无法恢

复，请谨慎操作。

● 仅支持删除用户创建的私有服务的终端节点服务。

● 当终端节点服务被“已接受”

或者“创建中”状态的终端节点连接时，无法删除。

管理终端节点服务的连接审批

介绍如何设置终端节点服务的连接审批功能，用于控制是否允许终端节点连接终端节点服务。

仅当开启了终端节点服务的“连接审批”功能时，才支持设置是否允许终端节点连接此终端节点服务。

管理终端节点服务的白名单

介绍如何管理终端节点服务的白名单，用于控制跨租户的终端节点连接终端节点服务。

● 终端节点需要与终端节点服务位于同一区域。

● 在设置前，需要获取终端节点所属的帐号ID。

查看终端节点服务的端口映射

介绍如何查看终端节点与终端节点服务通信的端口映射，包括支持的协议、服务端口以及终端端口。

● 在创建终端节点服务时，设置端口映射关系。

● 终端节点服务创建完成后，仅支持查看端口映射。

管理终端节点服务的标签

介绍如何管理终端节点服务的标签，包括查看、添加、

编辑和删除标签。

支持为终端节点服务创建10个标签。

(6)

1.2 创建终端节点服务

操作场景

终端节点服务包括“网关”和“接口”两种类型。

● 网关：由系统配置的云服务类别的终端节点服务，用户无需创建，可直接使用。

● 接口：包括由系统配置的云服务类别的终端节点服务，以及由用户私有服务创建的终端节点服务。前者用户无需创建，可直接使用；后者需要用户自行创建。

本节介绍将用户私有服务创建为接口型终端节点服务的操作指导。

约束与限制

● 终端节点服务属于区域级资源，在创建时需要设置区域和项目。

● 每个租户支持创建20个终端节点服务。

● 支持创建为终端节点服务的用户私有服务包括：

– 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。

– 云服务器：作为服务器使用。

– 裸金属服务器：作为服务器使用。

● 一个终端节点服务仅支持对应一个后端资源实例。

前提条件

在同一VPC内，已经完成后端资源的创建。

操作步骤

1. 登录管理控制台。

2. 在管理控制台左上角单击“ ”图标，选择区域和项目。

3. 单击“服务列表”中的“网络 > VPC终端节点”，进入“终端节点”页面。

4. 在左侧导航栏选择“VPC终端节点 > 终端节点服务”，单击“创建终端节点服务”。

进入“创建终端节点服务”页面。

(7)

图1-1 创建终端节点服务

5. 根据界面提示配置参数，参数说明如表1 终端节点服务配置参数所示。

表1-2 终端节点服务配置参数

参数说明

区域终端节点服务所在区域。

不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。

名称可选参数。

终端节点服务的名称。

长度不超过16个字符，允许输入大小写字母、数字、下划线、

中划线。

● 如果您不填写该参数，系统生成的终端节点服务的名称为 {region}.{service_id}。

● 如果您填写该参数，系统生成的终端节点服务的名称为 {region}.{Name}.{service_id}。

虚拟私有云终端节点服务所属虚拟私有云。

服务类型终端节点服务的类型，此处仅支持设置为“接口”类型。

连接审批连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。

可选择开启或关闭连接审批。

若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批，详细内容请参见管理终端节点服务的连接审批。

(8)

参数说明

端口映射终端节点服务与终端节点建立连接关系，进行通信，支持TCP 协议。

● 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。

● 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。

服务端口和终端端口取值范围1～65535，单次操作最多添加 50条端口映射。

说明通过“终端端口 → 服务端口”的方式进行访问。

后端资源类型实际提供服务的后端资源。

可创建为终端节点服务的后端资源包括：

● 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。

● 云服务器：作为服务器使用。

● 裸金属服务器：作为服务器使用。

此处选择“弹性负载均衡”。

说明

终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/17的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。

选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡。

说明

弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

选择云服务器 “后端资源类型”选择为“云服务器”时，会出现该参数，在列表中选择需要提供服务的云服务器。

选择裸金属服

务器 “后端资源类型”选择为“裸金属服务器”时，会出现该参数，在列表中选择需要提供服务的裸金属服务器。

标签可选参数。

终端节点服务的标识，包括键和值。可以为终端节点服务创建 10个标签。

标签的命名规则请参考表1-3。

说明如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。

预定义标签的详细内容，请参见预定义标签简介。

描述终端节点服务描述内容。

(9)

表1-3 终端节点服务标签命名规则

参数规则

键 ● 不能为空。

● 对于同一资源键值唯一。

● 长度不超过36个字符。

● 取值为不包含“=”、“*”、“<”、“>”、“\”、

“,”、“|”、“/”的所有Unicode字符，且首尾字符不能为空格。

值 ● 不能为空。

● 取值为不包含“=”、“*”、“<”、“>”、“\”、

6. 单击“立即创建”。

7. 返回终端节点服务列表可查看创建的终端节点服务。

图1-2 终端节点服务列表

1.3 查看终端节点服务

操作场景

本节介绍如何查看终端节点服务的详细信息。

通过本操作可以查看终端节点服务的名称、ID、后端资源类型、后端服务名称、虚拟私有云、状态、连接审批、服务类型、创建时间等详细信息。

操作步骤

4. 在左侧导航栏选择“VPC终端节点 > 终端节点服务”，进入“终端节点服务”页面。

在终端节点服务列表右上角的过滤和搜索框可以快速定位终端节点服务：

– 通过终端节点服务的“名称”或者“ID”进行搜索：

i. 在过滤框中选择“名称”或者“ID”。

ii. 在搜索框中输入关键字。

iii. 单击“ ”开始搜索。

(10)

搜索完成后，终端节点服务列表中显示包含关键字的终端节点服务。

– 通过终端节点服务预先设置的标签进行搜索：

i. 在“标签搜索”中单击“ ”展开标签搜索区域。

ii. 输入标签“键”和“值”。

直接输入或者在下拉框中选择标签的“键”和“值”。

最多支持设置10组标签用于搜索终端节点服务。

iii. 单击“搜索”开始搜索。

搜索完成后，终端节点服务列表中显示设置了指定标签的终端节点服务。

若设置多组标签，则显示设置了所有指定标签的终端节点服务。

5. 单击要查看的终端节点服务名称，您可以查看终端节点服务的基本信息。

图1-3 终端节点服务详情

终端节点服务详情中涉及的参数如表1-4所示。

表1-4 参数说明

页签参数名称说明

基本信息名称终端节点服务名称。

ID 终端节点服务ID。

后端资源类型提供服务的后端资源类型。

后端资源名称提供服务的后端资源名称。

虚拟私有云终端节点服务所属VPC。

状态终端节点服务状态。

连接审批终端节点服务是否开启连接审批。

服务类型终端节点服务类型。

创建时间终端节点服务创建时间。

连接管理终端节点ID 终端节点的ID。

报文标识终端节点ID的标识，用来识别是哪个终端节点。

(11)

状态终端节点的状态。

关于终端节点的各个状态，请查看终端节点服务和终端节点有哪些状态？。

拥有者终端节点创建者的帐号ID。

创建时间终端节点的创建时间。

操作终端节点服务对终端节点的连接审

批，可选择“接受”或“拒绝”。

权限管理授权帐号ID 连接访问终端节点的授权帐号ID或者

*。

若“授权帐号ID”列为“*”，表示所有用户均可访问该终端节点服务。

操作对连接访问终端节点的授权帐号进行操作，支持将授权帐号从白名单中删除。

端口映射协议终端节点服务与终端节点进行通信支

持的协议。

服务端口终端节点服务提供服务的端口。

终端端口终端节点访问终端节点服务的端口。

标签键终端节点服务的标签“键”。

值终端节点服务的标签“值”。

操作对终端节点服务标签进行操作，可选择“编辑”或“删除”标签。

1.4 删除终端节点服务

操作场景

本节介绍如何删除终端节点服务。

说明

终端节点服务删除后无法恢复，请谨慎操作。

约束与限制

● 您只能删除由用户私有服务创建的终端节点服务，无权删除系统配置的终端节点服务。

● 当终端节点服务下存在状态为“已接受”、“创建中”的终端节点时，无法直接删除。

(12)

终端节点服务下终端节点的状态，请参见终端节点服务和终端节点有哪些状态？。

操作步骤

4. 在左侧导航栏选择“VPC终端节点 > 终端节点服务”。

5. 单击待删除的终端节点服务所在行“操作”栏下的“删除”按钮。

图1-4 删除终端节点服务

6. 在弹出的对话框中单击“是”，删除终端节点服务。

1.5 管理终端节点服务的连接审批

操作场景

如果您创建终端节点服务时开启了连接审批功能，则终端节点连接该终端节点服务需要进行审批，审批权由终端节点服务控制。

终端节点服务可以选择接受或拒绝终端节点的访问。

前提条件

已购买连接该终端节点服务的终端节点。

操作步骤

5. 单击需要操作的终端节点服务名称。

6. 选择“连接管理”页签。

(13)

图1-5 连接管理

7. 根据实际需求，对列表中的连接审批进行“接受”或“拒绝”操作。

– 单击“接受”，表示允许终端节点连接终端节点服务。

– 单击“拒绝”，表示拒绝终端节点连接终端节点服务。

1.6 管理终端节点服务的白名单

操作场景

终端节点服务的权限管理用于控制是否允许跨帐号的终端节点连接终端节点服务，通过设置终端节点服务的白名单实现。

在终端节点服务创建完成后，可以通过权限管理设置允许连接该终端节点服务的授权帐号ID，支持添加或者移除白名单中的授权帐号ID。

● 如果白名单为空，则不支持跨帐号的终端节点连接终端节点服务。

● 如果某一帐号包含在终端节点服务的白名单中，则可以通过该帐号创建连接终端节点服务的终端节点。

● 如果某一帐号未包含在终端节点服务的白名单中，则无法通过该帐号创建连接终端节点服务的终端节点。

本节介绍添加或删除终端节点服务白名单记录的操作指导。

添加白名单

5. 在“终端节点服务”页面，单击需要添加白名单的终端节点服务名称。

6. 在该终端节点服务的“权限管理”页签，单击“添加白名单记录”。

7. 根据提示配置参数，输入授权用户的帐号ID，添加白名单。

图1-6 添加白名单记录

(14)

说明

● 本帐号默认在自身帐号的终端节点服务的白名单中。

● “domain_id”表示授权用户的帐号ID，例如

“1564ec50ef2a47c791ea5536353ed4b9”。

● 添加“*”到白名单，表示所有用户可访问。

删除白名单

5. 在“终端节点服务”页面，单击需要删除白名单的终端节点服务名称。

6. 在该终端节点服务的“权限管理”页签，单击对应授权帐号ID“操作”栏下的

“删除”，即可删除对应的白名单记录。

如果要删除多个白名单记录，可以勾选待删除的授权帐号ID，单击上方的“删除”。

7. 在弹出的对话框中单击“是”，删除终端节点服务的白名单记录。

1.7 查看终端节点服务的端口映射

操作场景

当终端节点服务创建成功后，您可以查看已添加的端口映射。

端口映射定义了终端节点与终端节点服务之间通信所支持的协议及端口号，在创建终端节点服务时设置，包括：

● 协议：终端节点与终端节点服务支持的通信协议。

● 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。

● 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。

操作步骤

5. 单击需要操作的终端节点服务。

6. 选择“端口映射”页签。

可查看终端节点服务已设置的端口映射。

图1-7 端口映射

(15)

1.8 管理终端节点服务的标签

操作场景

当终端节点服务创建成功后，您可以查看已添加的标签，还可以添加、编辑以及删除标签。

标签是终端节点服务的标识，包括键和值。可以为终端节点服务创建10个标签。

说明

如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。

添加标签

本操作用于为已创建的终端节点服务添加标签。

5. 单击需要操作的终端节点服务的名称，进入终端节点服务“基本信息”页面。

6. 选择“标签”页签，显示终端节点服务的标签列表。

7. 单击“添加标签”。

8. 在“添加标签”对话框中，输入“标签键”和“标签值”。

参数取值如表1-5所示。

表1-5 终端节点服务标签命名规则

参数规则

● 取值为不包含“=”、“*”、“<”、“>”、“\”、

9. 单击“确定”，完成终端节点服务标签的添加。

(16)

编辑标签

本操作用于修改终端节点服务已添加标签的“值”。

7. 在待编辑标签所在行的“操作”列，单击“编辑”。

8. 根据需要修改标签的“值”。

说明

仅支持编辑已添加标签的“值”。

9. 单击“确定”，完成标签的编辑。

删除标签

本操作用于删除终端节点服务已添加的标签。

注意

删除标签后无法恢复，请谨慎操作。

7. 在待删除标签所在行的“操作”列，单击“删除”。

8. 单击“是”，完成标签的删除。

(17)

2 ^{终端节点管理}

2.1 终端节点简介

终端节点用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。

在同一区域中，通过购买终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。

本章节介绍如何购买并管理终端节点，如表2-1所示。

表2-1 终端节点管理说明

操作说明使用限制

购买终端节点介绍如何购买连接终端节点

服务的终端节点。 ● 终端节点属于区域级资源，在创建时需要设置区域和项目。

● 每个租户支持购买50个终端节点。

● 购买时需要保证所连接的终端节点服务已经存在，且与终端节点服务位于同一区域。

● 终端节点按购买时长计费。

查询并访问终端

节点介绍如何查看终端节点的详

细信息。一个终端节点支持最大连接数为

3000。

删除终端节点介绍如何删除终端节点。终端节点删除后无法恢复，请谨

慎操作。

设置终端节点的访问控制

介绍如何开启终端节点的访问控制功能，并通过白名单设置允许访问终端节点的IP。

● 只有连接“接口”型终端节点服务的终端节点支持访问控制功能。

● 如果关闭访问控制功能，表示允许任何IP访问终端节点。

● 最多允许添加60个白名单地址。

(18)

操作说明使用限制管理终端节点的

标签

介绍如何管理终端节点的标签，包括查看、添加、编辑和删除标签。

支持为终端节点创建10个标签。

2.2 购买终端节点

操作场景

终端节点用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。

在同一区域中，通过购买终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。

终端节点与终端节点服务一一对应，访问不同类型终端节点服务的终端节点存在差异：

● 访问“接口”型终端节点服务的终端节点：是具备私有IP地址的弹性网络接口，

作为接口型终端节点服务的通信入口。

● 访问“网关”型终端节点服务的终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

说明

仅“拉美-墨西哥城一”、“拉美-圣保罗一”和“拉美-圣地亚哥”区域支持购买访问“网关”

型终端节点服务的终端节点。

您可以根据实际需求，购买连接不同终端节点服务类型的终端节点：

● 购买连接“接口”型终端节点服务的终端节点

● 购买连接“网关”型终端节点服务的终端节点

购买连接“接口”型终端节点服务的终端节点

4. 在“终端节点”页面，单击“购买终端节点”，进入“购买终端节点”页面。

5. 在“购买终端节点”页面，根据提示配置参数。

(19)

图2-1 购买终端节点（云服务-接口型）

图2-2 购买终端节点（按名称查找服务-接口型）

表2-2 终端节点配置参数

参数说明

区域终端节点所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。

计费方式按需计费是后付费模式，按终端节点服务的实际使用时长计费，可以随时开通/删除终端节点。

仅支持按需计费。

(20)

参数说明

服务类别可选择“云服务”或“按名称查找服务”。

● 云服务：当您要连接的终端节点服务为云服务时，需要选择

“云服务”。

● 按名称查找服务：当您要连接的终端节点服务为用户私有服务时，需要选择“按名称查找服务”。

选择服务若“服务类别”选择“云服务”，则会出现该参数。

终端节点服务实例已由运维人员预先创建完成，您可以直接使用。

服务名称若“服务类别”选择“按名称查找服务”，则会出现该参数。

在终端节点服务列表的“名称”列，拷贝并输入待访问终端节点服务的名称，单击“验证”：

● 若显示“已找到服务”，继续后续操作。

● 若显示“未找到服务”，请检查“区域”是否和终端节点服务所在区域一致或输入的“服务名称”是否正确。

内网域名如果您想要以域名的方式访问终端节点，则选择“创建内网域名”，终端节点创建完成后，即可通过内网域名直接访问终端节点。

接口类型终端节点才需在页面设置此选项。

● 终端节点服务的类型为“网关”时，该参数不可见；

● 终端节点服务的类型为“接口”时，可选择是否创建内网域名。

虚拟私有云选择终端节点所属的虚拟私有云。

子网当“选择服务”的“类型”为“接口”时，则会出现该参数。

选择终端节点所属的子网。

节点IP 当“选择服务”的“类型”为“接口”时，则会出现该参数。

终端节点的私网IP。可选择“自动分配”或“手动分配”。

访问控制当“选择服务”的“类型”为“接口”时，则会出现该参数。

用于设置允许访问终端节点的IP。

● 开启：只允许白名单列表中的IP访问终端节点。

● 关闭：允许任何IP访问终端节点。

白名单当“选择服务”的“类型”为“接口”时，打开“访问控制”

开关，则会出现该参数。

用于设置允许访问的IP地址或网段，最多支持添加20个记录。

请输入允许访问的IP地址或网段，不支持格式：0.0.0.0和 x.x.x.x/0。

(21)

参数说明

终端节点的标识，包括键和值。可以为终端节点创建10个标签。

表2-3 终端节点标签命名规则

参数规则

● 取值为不包含“=”、“*”、“<”、

“>”、“\”、“,”、“|”、“/”的所有Unicode字符，且首尾字符不能为空格。

● 取值为不包含“=”、“*”、“<”、

6. 参数配置完成，单击“立即购买”，进行规格确认。

– 规格确认无误，单击“提交”，任务提交成功。

– 参数信息配置有误，需要修改，单击“上一步”，修改参数，然后单击“提交”。

购买连接“网关”型终端节点服务的终端节点

4. 在“终端节点”页面，单击“购买终端节点”，进入“购买终端节点”页面。

5. 在“购买终端节点”页面，根据提示配置参数。

(22)

图2-3 购买终端节点（云服务-网关型）

表2-4 终端节点配置参数

参数说明

区域终端节点所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。

计费方式按需计费是后付费模式，按终端节点服务的实际使用时长计费，可以随时开通/删除终端节点。

仅支持按需计费。

服务类别仅由系统配置的云服务类别的终端节点服务包括“网关”型。

选择“云服务”。

选择服务若“服务类别”选择“云服务”，则会出现该参数。

在列表中，选择“类型”列为“网关”类型的终端节点服务。

终端节点服务实例已由运维人员预先创建完成，您可以直接使用。

虚拟私有云选择终端节点所属的虚拟私有云。

路由表当创建连接“网关”类型终端节点服务的终端节点时，则会出现该参数。

说明

该参数仅在开放区域可见。

根据实际需求选择终端节点所属的虚拟私有云的路由表。

添加路由的详细操作请参考《虚拟私有云用户指南》中的“添加自定义路由”。

终端节点的标识，包括键和值。可以为终端节点创建10个标签。

(23)

参数规则

● 取值为不包含“=”、“*”、“<”、

6. 参数配置完成，单击“立即购买”，进行规格确认。

– 规格确认无误，单击“提交”，任务提交成功。

– 参数信息配置有误，需要修改，单击“上一步”，修改参数，然后单击“提交”。

2.3 查询并访问终端节点

操作场景

当终端节点购买完成时，可以查询终端节点详情并访问终端节点。

查询终端节点

支持查询终端节点的ID、服务名称、虚拟私有云、状态等详情。

3. 单击“服务列表”，选择“网络 > VPC终端节点”，进入“终端节点”页面。

在终端节点列表右上角的过滤和搜索框可以快速定位终端节点：

– 通过终端节点连接的终端节点服务名称或者终端节点ID进行搜索：

i. 在过滤框中选择“终端节点服务名称”或者“ID”。

ii. 在搜索框中输入关键字。

iii. 单击“ ”开始搜索。

搜索完成后，终端节点列表中显示包含关键字的终端节点。

– 通过VPC终端节点预先设置的标签进行搜索：

(24)

i. 在“标签搜索”中单击“ ”展开标签搜索区域。

ii. 输入标签“键”和“值”。

直接输入或者在下拉框中选择标签的“键”和“值”。

最多支持设置10组标签用于搜索终端节点。

iii. 单击“搜索”开始搜索。

搜索完成后，终端节点列表中显示设置了指定标签的终端节点。

若设置多组标签，则显示设置了所有指定标签的终端节点。

4. 单击要查看的终端节点ID，即可查看终端节点的基本信息。

以接口型终端节点为例，创建成功后，会生成一个“节点IP”（即私有IP）和“内网域名”（如果在创建终端节点时您勾选了“创建内网域名”）。

图2-4 终端节点详情（接口）

图2-5 终端节点详情（网关）

表2-6 参数说明

基本信息 ID 终端节点ID。

虚拟私有云终端节点所属VPC。

终端节点服务名称终端节点所连接的终端节点服务名称。

节点IP 终端节点的IP地址。

内网域名终端节点的内网域名。

状态终端节点状态。

类型终端节点所连接的终端节点服务类

型。

创建时间终端节点的创建时间。

(25)

访问控制用于开启或关闭是否通过白名单控制访问终端节点的IP。

● 开启：只允许白名单列表中的IP访问终端节点。

● 关闭：允许任何IP访问终端节点。

说明

仅在连接“接口”型终端节点服务的终端节点显示。

访问控制白名单地址允许访问终端节点的IP。

说明

“访问控制”页签仅在连接“接口”型终端节点服务的终端节点显示。

操作对允许访问终端节点的白名单地址进行操作，仅支持“删除”白名单地址。

路由表名称路由表的名称。

说明

“路由表”页签仅在开放区域可见，且仅在连接“网关”型终端节点服务的终端节点显示。

虚拟私有云路由表所属VPC。

类型路由表的类型，包括“默认路由表”

和“自定义路由表”。

关联子网路由表的关联子网数量。

操作对终端节点路由表进行操作，可选择

“解绑”或“绑定”路由表。

说明

当终端节点仅绑定一个路由表示，不支持

“解绑”操作。

标签键终端节点的标签“键”。

值终端节点的标签“值”。

操作对终端节点标签进行操作，可选择

“编辑”或“删除”标签。

访问终端节点（节点 IP）

支持通过查询的终端节点的“节点IP”访问终端节点。

1. 在终端节点所属VPC内，登录该终端节点连接的后端资源，例如ECS。

2. 根据后端资源类型，选择不同的命令，通过以下格式访问终端节点：

命令节点IP:端口

例如，后端资源为ECS，使用如下命令：

(26)

curl 节点IP:端口

访问终端节点（内网域名）

当购买终端节点时勾选了“创建内网域名”时，支持通过查询终端节点的“内网域名”访问终端节点。

系统会自动将生成的“内网域名”添加至云解析服务中，并为该域名添加A类型记录集，实现内网域名到节点IP的解析。

您可以在云解析服务控制台查看内网域名及其解析记录。

查看“内网域名”解析记录 1. 登录管理控制台。

2. 将鼠标悬浮于页面左侧的“ ”，在服务列表中，选择“网络 > 云解析服务”。

进入“云解析”页面。

3. 在左侧树状导航栏，选择“域名解析 > 内网解析”。

进入“内网域名”页面。

4. 在“内网域名”页面的域名列表中，单击终端节点的“内网域名”的名称。

进入“解析记录”页面。

5. 在解析记录列表中，可以查看到终端节点“内网域名”到“节点IP”的A类型记录集。

当“状态”列显示为“正常”时，表示解析生效。

图2-6 “内网域名”解析记录

通过“内网域名”访问终端节点

1. 在终端节点所属VPC内，登录该终端节点连接的后端资源，例如ECS。

2. 根据后端资源类型，选择不同的命令，通过以下格式访问终端节点：

命令内网域名:端口

例如，后端资源为ECS，使用如下命令：

curl 内网域名:端口

2.4 删除终端节点

操作场景

本节介绍如何删除终端节点。

说明

终端节点删除后无法恢复，请谨慎操作。

(27)

操作步骤

4. 在左侧导航栏选择“VPC终端节点 > 终端节点”。

5. 单击待删除的终端节点所在行的“删除”按钮。

图2-7 删除终端节点

6. 在弹出的对话框中单击“是”，删除终端节点。

2.5 设置终端节点的访问控制

操作场景

终端节点的访问控制功能支持通过白名单设置允许访问终端节点的IP。在购买终端节点时以及购买完成后，均可以开启或关闭终端节点的访问控制功能，也可以添加或删除白名单。

说明

● 只有连接“接口”型终端节点服务的终端节点支持访问控制功能。

● 如果关闭访问控制功能，表示允许任何IP访问终端节点。

购买终端节点时，如何设置访问控制和白名单，请参见购买终端节点。

本节介绍在终端节点购买完成后，如何开启并设置访问控制功能。

开启访问控制并添加白名单

4. 在终端节点列表中，单击终端节点ID，进入终端节点“基本信息”页签。

5. 在“基本信息”页签，开启“访问控制”。

6. 在“访问控制”页签，单击“添加白名单”。

(28)

图2-8 添加终端节点白名单

7. 在“白名单地址”列，输入允许访问终端节点的IP地址。

说明

最多支持添加60个白名单地址。

输入* 表示全放通，本帐号默认在白名单中。

8. 单击“确定”，完成白名单地址的添加。

删除白名单地址

5. 选择“访问控制”页签，显示终端节点的白名单列表。

6. 在白名单列表中，单击待删除白名单地址“操作”列的“删除”，删除该地址。

如果要删除多个白名单地址，可以勾选待删除的白名单地址，单击上方的“删除”。

7. 在弹出的对话框中单击“是”，删除终端节点的白名单地址。

2.6 管理终端节点的标签

操作场景

当终端节点创建成功后，您可以查看已添加的标签，还可以添加、编辑以及删除标签。

标签是终端节点的标识，包括键和值。可以为终端节点创建10个标签。

说明

如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。

(29)

添加标签

本操作用于为已购买的终端节点添加标签。

5. 选择“标签”页签，显示终端节点的标签列表。

6. 单击“添加标签”。

7. 在“添加标签”对话框中，输入“标签键”和“标签值”。

参数取值如表2-7所示。

参数规则

● 取值为不包含“=”、“*”、“<”、

8. 单击“确定”，完成终端节点标签的添加。

编辑标签

本操作用于修改终端节点已添加标签的“值”。

6. 在待编辑标签所在行的“操作”列，单击“编辑”。

7. 根据需要修改标签的“值”。

(30)

说明

仅支持编辑已添加标签的“值”。

8. 单击“确定”，完成标签的编辑。

删除标签

本操作用于删除终端节点已添加的标签。

注意

删除标签后无法恢复，请谨慎操作。

6. 在待删除标签所在行的“操作”列，单击“删除”。

7. 单击“是”，完成标签的删除。

(31)

3 ^{访问 OBS}

操作场景

VPN、云专线线下节点通过终端节点高速访问OBS。

说明

仅“拉美-墨西哥城一”、“拉美-圣保罗一”和“拉美-圣地亚哥”区域支持“网关”类型的 OBS终端节点服务，因此本场景仅适用于这些区域。

前提条件

您的本地数据中心已通过VPN或者云专线与VPC连通。

● VPN连接对应的需要与本地数据中心互通的VPC子网网段，需包含OBS的网段 100.125.0.0/16。

创建虚拟专用网络，请参考创建VPN网关。

● 专线虚拟网关允许访问的VPC子网网段需包含OBS的网段100.125.0.0/16。

开通云专线，请参考开通云专线。

操作步骤

1. 在管理控制台左上角单击图标，选择区域和项目。

2. 在“服务列表”中，选择“网络 > VPC终端节点”，进入终端节点页面。

3. 在左侧导航栏，选择“VPC终端节点 > 终端节点”。

4. 在终端节点界面，单击“购买终端节点”，创建连接DNS服务的终端节点。

5. 选择“云服务 > com.myhuaweicloud.na-mexico-1.dns”。

6. 根据界面提示配置参数，详细如图3-1所示。

(32)

图3-1 购买终端节点（云服务-接口型）

7. 选择“立即购买 > 提交”，完成创建。

8. 查看连接DNS服务的终端节点创建完成后返回的节点IP。

9. 在用户线下的DNS服务器配置相应的DNS转发规则，将解析OBS域名的请求转发到DNS终端节点。

以常见的DNS软件Bind为例：

方式1：在/etc/named.conf内，增加DNS转发器的配置，forwarders为DNS终端节点IP地址。

options {

forward only；

forwarders{ xx.xx.xx.xx;};

};

方式2：在/etc/named.rfc1912.zones文件，增加如下内容，forwarders为DNS终端节点IP地址。

以“拉美-墨西哥城一”的OBS Endpoint为例：

zone "com.myhuaweicloud.na-mexico-1.obs" { type forward;

forward only;

forwarders{ xx.xx.xx.xx;};

};

说明

● 线下若无DNS服务器，需要通过增加DNS终端节点IP地址到线下节点的/etc/resolv.conf 文件中。

● xx.xx.xx.xx为步骤9中的节点IP。

10. 配置线下节点到专线网关或VPN网关的DNS路由。

DNS终端节点IP的IP地址为xx.xx.xx.xx，所以需要将节点访问DNS的流量指向线下专线网关或VPN网关，然后走专线或VPN访问OBS。在线下节点配置永久路由，

指定访问OBS的流量下一跳为线下专线网关或VPN网关的IP地址。

route -p add xx.xx.xx.xx mask 255.255.255.255 xxx.xxx.xxx.xxx 说明

● xx.xx.xx.xx为步骤9中的节点IP。

● xxx.xxx.xxx.xxx为线下专线网关或VPN网关的IP地址。

(33)

11. 参考步骤5到9，创建连接OBS服务的终端节点。

说明

线下节点只能访问终端节点所在区域对应的OBS域名地址。

12. 配置线下节点到专线网关或VPN网关的OBS路由。

线上OBS的IP地址网段为100.125.0.0/16，所以需要将节点访问OBS的流量指向线下专线网关或VPN网关，然后走专线或VPN访问OBS。

在线下节点配置永久路由，指定访问OBS的流量下一跳为线下专线网关或VPN网关的IP地址。

route -p add 100.125.0.0 mask 255.255.0.0 xxx.xxx.xxx.xxx 说明

如果线下节点和线下专线网关或VPN网关网络不通，需要预先打通之间的网络。

(34)

4 ^权限管理

4.1 创建用户并授权使用 VPCEP

如果您需要对您所拥有的VPCEP进行精细的权限管理，您可以使用统一身份认证服务

（Identity and Access Management，简称IAM），通过IAM，您可以：

● 根据企业的业务组织，在您的华为云帐号中，给企业中不同职能部门的员工创建 IAM用户，让员工拥有唯一安全凭证，并使用VPCEP资源。

● 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。

● 将VPCEP资源委托给更专业、高效的其他华为云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。

如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用VPCEP服务的其它功能。

本章节为您介绍对用户授权的方法，操作流程如图4-1所示。

前提条件

给用户组授权之前，请您了解用户组可以添加的VPCEP权限，并结合实际需求进行选择，VPCEP支持的系统权限，请参见VPCEP系统权限。若您需要对除VPCEP之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。

(35)

示例流程

图4-1 给用户授权 VPCEP 权限流程

1. 创建用户组并授权

在IAM控制台创建用户组，并授予VPC终端节点权限“VPCEndpoint Administrator”。

2. 创建用户并加入用户组

在IAM控制台创建用户，并将其加入1中创建的用户组。

3. 用户登录并验证权限

新创建的用户登录控制台，切换至授权区域，验证权限：

– 在“服务列表”中选择“VPC终端节点”，进入VPCEP主界面，单击右上角

“购买终端节点”，尝试购买终端节点，如果可以购买，表示

“VPCEndpoint Administrator”已生效。

– 在“服务列表”中选择除VPC终端节点外（假设当前权限仅包含VPCEndpoint Administrator）的任一服务，若提示权限不足，表示“VPCEndpoint

Administrator”已生效。

(36)

5 ^配额调整

什么是配额？

为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个云资源。

如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。

怎样查看我的配额？

2. 单击管理控制台左上角的，选择区域和项目。

3. 在页面右上角，选择“资源 > 我的配额”。

系统进入“服务配额”页面。

图5-1 我的配额

4. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。

如果当前配额不能满足业务要求，请参考后续操作，申请扩大配额。

如何申请扩大配额？

2. 在页面右上角，选择“资源 > 我的配额”。

系统进入“服务配额”页面。

(37)

图5-2 我的配额

3. 单击“申请扩大配额”。

4. 在“新建工单”页面，根据您的需求，填写相关参数。

其中，“问题描述”项请填写需要调整的内容和申请原因。

5. 填写完毕后，勾选协议并单击“提交”。

(38)

A ^修订记录

版本日期变更说明

2021-05-08 第七次正式发布。

支持为终端节点添加60条白名单记录，

涉及：

● 终端节点简介

● 购买终端节点

● 设置终端节点的访问控制

2020-11-13 第六次正式发布。

新增

● 终端节点服务简介

● 管理终端节点服务的标签

● 终端节点简介

● 设置终端节点的访问控制

● 管理终端节点的标签

2019-12-30 第五次正式发布。

更新用户指南：“权限管理”。

2019-11-30 第四次正式发布。

全文更新截图。

2019-07-10 第三次正式发布。

● 全文更新截图。

● 新增“权限管理”内容。

2019-02-18 第二次正式发布。

增加配额调整内容。

2018-11-30 第一次正式发布。

购买终端节点_VPC终端节点 VPCEP_用户指南_终端节点管理_华为云

用户指南

目 录

1 终端节点服务管理... 1

2 终端节点管理...14

3 访问 OBS...28

4 权限管理...31

5 配额调整...33

A 修订记录... 35

1 终端节点服务管理

1.1 终端节点服务简介

1-1所示。

1.2 创建终端节点服务

操作场景

约束与限制

前提条件

操作步骤

1.3 查看终端节点服务

操作场景

操作步骤

1.4 删除终端节点服务

操作场景

约束与限制

操作步骤

1.5 管理终端节点服务的连接审批

操作场景

前提条件

操作步骤

1.6 管理终端节点服务的白名单

操作场景

添加白名单

删除白名单

1.7 查看终端节点服务的端口映射

操作场景

操作步骤

1.8 管理终端节点服务的标签

操作场景

添加标签

编辑标签

删除标签

2 终端节点管理

2.1 终端节点简介

2.2 购买终端节点

操作场景

购买连接“接口”型终端节点服务的终端节点

购买连接“网关”型终端节点服务的终端节点

2.3 查询并访问终端节点

操作场景

查询终端节点

访问终端节点（节点 IP）

访问终端节点（内网域名）

2.4 删除终端节点

操作场景

操作步骤

2.5 设置终端节点的访问控制

操作场景

开启访问控制并添加白名单

删除白名单地址

2.6 管理终端节点的标签

操作场景

添加标签

编辑标签

删除标签

3 访问 OBS

操作场景

前提条件

操作步骤

4 权限管理

4.1 创建用户并授权使用 VPCEP

前提条件

示例流程

5 配额调整

什么是配额？

怎样查看我的配额？

如何申请扩大配额？

A 修订记录

目录

1 ^{终端节点服务管理}

2 ^{终端节点管理}

3 ^{访问 OBS}

4 ^权限管理

5 ^配额调整

A ^修订记录