SelectDB Cloud
管理指南
连接仓库
网络设置

网络设置

私网连接(PrivateLink) 能够帮助你在 VPC 环境中,通过私网安全稳定地访问部署在其他 VPC 中的服务,大幅简化网络架构,同时避免通过公网访问服务所带来的安全风险。

SelectDB Cloud 仓库创建并运行在 SelectDB VPC 中,用户 VPC 内的应用系统或客户端,可通过 PrivateLink 跨 VPC 访问 SelectDB Cloud 仓库。用户也可以通过 PrivateLink 让 SelectDB Cloud 仓库连接自己的 VPC,集成其中的数据源(如 Hive Megastore、MySQL、Elasticsearch 等),做联邦分析或查询加速。PrivateLink 包括终端节点服务(Endpoint Service)与终端节点(Endpoint)两部分。

当用户需要在自己的私有网络中访问 SelectDB 时,SelectDB Cloud 会创建和管理 Endpoint Service,用户创建和管理 Endpoint。

说明 SelectDB Cloud 服务侧无额外费用,但用户需要向云厂商支付终端节点实例和流量费用。

当用户需要使用 SelectDB 访问自己的私有网络时,用户需要创建 Endpoint Service 并在 SelectDB Cloud 登记,随后 SelectDB Cloud 会创建 Endpoint 连接用户的 Endpoint Service。

说明 Endpoint Service 无额外费用,但用户需要向云厂商支付 Endpoint Service 后端挂载的负载均衡实例费用。

私有网络访问 SelectDB

新建终端节点(Endpoint),让你的私有网络中的数据应用(如报表、画像、日志分析)访问 SelectDB 云数据仓库。

同可用区连接

注意 由于云厂商限制 Endpoint 和 Endpoint Service 必须部署在一个可用区内才可以建立连接,你需要前往 Endpoint Service 所在的地域,通过服务 ID 或 服务名称找到 Endpoint Service,选择相同的可用区,创建 Endpoint。

跨可用区连接

注意 如果在创建 SelectDB Cloud 仓库时,没有用户业务所在的可用区可选,则可通过如下方案解决:用户可选择其中任意一个可用区(如可用区 1)创建 SelectDB Cloud 仓库,然后在用户 VPC 中新建一个位于可用区 1 的子网,并在其中创建连接 SelectDB Cloud 服务的终端节点。由于同一个 VPC 下的所有子网是免费互通的,因此用户在另一个可用区(如可用区 2)的应用系统/客户端,可以放心地通过可用区 1 的终端节点访问 SelectDB Cloud 服务。


通过私有网络访问 SelectDB 时,新建终端节点(Endpoint)在各朵云上略有不同,具体介绍如下。

阿里云

  1. 切到目标仓库,单击导航栏的 连接 ,在 私网连接 > 私有网络访问 SelectDB 中单击 新建连接,将用户的云主账号添加到 SelectDB Cloud 仓库的 Endpoint Service 的白名单内。

  1. 云主账号添加白名单成功后,表示此账号已获得连接访问 SelectDB Cloud 仓库的 Endpoint Service 的权限。SelectDB Cloud 仓库的 Endpoint Service 在等待用户的 Endpoint 连接过来。用户可以单击 下一步 ,进入到前往创建列表,列表会显示终端节点服务的信息,单击列表右下角的 前往创建 ,跳转到云厂商的 PrivateLink 产品控制台去创建 Endpoint。

  1. 在云厂商的 PrivateLink 产品控制台,用户需要确认当前地域与 SelectDB Cloud 仓库的 Endpoint Service 的地域相同(云厂商的 PrivateLink 产品限制),然后单击 创建终端节点

参数说明
节点名称必填项。建议命名能够见名知意。
终端节点类型必选项。选择“接口终端节点”。
终端节点服务必选项。选择可用服务,通过“终端节点服务 ID”找到 SelectDB Cloud 仓库的 Endpoint Service,选中该记录。
专有网络必选项。选择 VPC,也就是要连接 SelectDB Cloud 仓库的应用系统或客户端所在的 VPC。
安全组必选项。选择预设的安全组。注意安全规则要放行 SelectDB Cloud 仓库用到的协议和端口,以及要连接 SelectDB Cloud 仓库的应用系统或客户端所在机器的 IP 地址。
可用区与交换机必选项。选择与 SelectDB Cloud 仓库的 Endpoint Service 所在可用区相同的可用区(云厂商的 PrivateLink 产品限制),交换机也必须创建在该可用区,下拉框下方有创建交换机的指南。
  1. 终端节点创建完成后,状态从“创建中”变为“可用”,连接状态从“连接中”变为“已连接”,则表示该终端节点已经和 SelectDB Cloud 仓库的 Endpoint Service 连接成功了。

  1. 刷新 SelectDB Cloud 仓库的连接页面后,终端节点列表会出现该 Endpoint 的连接信息。

  1. 设置数据库账号 admin 的密码后,可以使用 WebUI 登录或其他方式(MySQL、JDBC、HTTP 等)连接 SelectDB Cloud 仓库。

注意

  1. 你所在网络需要连通该 Endpoint 所在的 VPC(例如使用 VPN、代理服务、专线等),才可以通过私网 WebUI 登录仓库。如果无法连通,建议改用公网 WebUI 登录仓库。
  2. SelectDB Cloud 产品中包含两套独立的账号,一套用于连接 SelectDB Cloud 仓库,即本文使用的账号。另一套用于登录控制台,请参考注册和登录章节。

腾讯云

  1. 切到目标仓库,单击导航栏的 连接 ,在 私网连接 > 私有网络访问 SelectDB 中单击 新建连接,将用户的云主账号 ID 以及 APPID 添加到 SelectDB Cloud 仓库的 Endpoint Service 的白名单内。

  1. 云主账号添加白名单成功后,表示此账号已获得连接访问 SelectDB Cloud 仓库的 Endpoint Service 的权限。SelectDB Cloud 仓库的 Endpoint Service 在等待用户的 Endpoint 连接过来。用户可以单击 下一步 ,进入到前往创建列表,列表会显示终端节点服务的信息,单击列表右下角的 前往创建 ,跳转到云厂商的 PrivateLink 产品控制台去创建 Endpoint。

  1. 在云厂商的 PrivateLink 产品控制台,用户需要确认当前地域与 SelectDB Cloud 仓库的 Endpoint Service 的地域相同(云厂商的 PrivateLink 产品限制),然后单击 新建

参数说明
名称必填项。建议命名能够见名知意。
所属网络必选项。选择 VPC,也就是要连接 SelectDB Cloud 仓库的应用系统或客户端所在的 VPC。
所属子网必选项。选择终端节点所属的子网。
IP 地址必选项。默认是自动分配,可选择手动填写。
对端账户类型必选项。选择待连接的终端节点服务所属账户,这里是跨账号 VPC 间访问,因此应选择其他账户。
对端账户 UIN必填项。当对端账户类型选择其他账户时,请填写对端账户 UIN(也就是 SelectDB Cloud 服务侧账户 UIN,可在终端节点服务信息列表那一键复制后,粘贴到这里)、终端节点服务 ID(可在 SelectDB Cloud 终端节点服务信息列表那一键复制后,粘贴到这里),然后点击 验证。提示打勾了即表示可成功连接。
  1. 终端节点创建完成后,状态变为“可用”,则表示该终端节点已经和 SelectDB Cloud 仓库的 Endpoint Service 连接成功了。

  1. 刷新 SelectDB Cloud 仓库的连接页面后,终端节点列表会出现该 Endpoint 的连接信息。

  1. 设置数据库账号 admin 的密码后,可以使用 WebUI 登录或其他方式(MySQL、JDBC、HTTP 等)连接 SelectDB Cloud 仓库。

注意

  1. 你所在网络需要连通该 Endpoint 所在的 VPC(例如使用 VPN、代理服务、专线等),才可以通过私网 WebUI 登录仓库。如果无法连通,建议改用公网 WebUI 登录仓库。
  2. SelectDB Cloud 产品中包含两套独立的账号,一套用于连接 SelectDB Cloud 仓库,即本文使用的账号。另一套用于登录控制台,请参考注册和登录章节。

华为云

  1. 切到目标仓库,单击导航栏的 连接 ,在 私网连接 > 私有网络访问 SelectDB 中单击 新建连接,将用户的云主账号 ID 添加到 SelectDB Cloud 仓库的 Endpoint Service 的白名单内。

  1. 云主账号添加白名单成功后,表示此账号已获得连接访问 SelectDB Cloud 仓库的 Endpoint Service 的权限。SelectDB Cloud 仓库的 Endpoint Service 在等待用户的 Endpoint 连接过来。用户可以单击 下一步 ,进入到前往创建列表,列表会显示终端节点服务的信息,单击列表右下角的 前往创建 ,跳转到云厂商的 PrivateLink 产品控制台去创建 Endpoint。

  1. 在云厂商的 PrivateLink 产品控制台,用户需要确认当前地域与 SelectDB Cloud 仓库的 Endpoint Service 的地域相同(云厂商的 PrivateLink 产品限制),然后单击 购买终端节点

参数说明
区域必选项。确认当前地域与 SelectDB Cloud 仓库的 Endpoint Service 的地域相同
服务类别必选项。选择“按名称查找服务”。
服务名称必填项。输入 SelectDB Cloud 仓库的服务名称进行验证,如验证成功则会提示已找到该服务。可以默认勾选 创建内网域名(通过内网域名访问终端节点)
虚拟私有云必选项。选择 VPC,也就是要连接 SelectDB Cloud 仓库的应用系统或客户端所在的 VPC。
子网必选项。默认展示选择的 VPC 下的子网信息。
节点 IP必选项。默认选择自动分配 IP 地址,也可以选择手动指定 IP 地址。
访问控制必选项。默认关闭。关闭访问控制开关,则表示允许任何 IP 访问该终端节点;开启访问控制开关,则只允许白名单列表中的 IP 访问该终端节点。
白名单必填项。当开启访问控制开关时,需要填写 IP 白名单。支持至多 20 条。
  1. 终端节点创建完成后,状态变为“已接受”,表示该终端节点已经和 SelectDB Cloud 仓库的 Endpoint Service 连接成功了。

  1. 刷新 SelectDB Cloud 仓库的连接页面后,终端节点列表会出现该 Endpoint 的连接信息。

  1. 设置数据库账号 admin 的密码后,可以使用 WebUI 登录或其他方式(MySQL、JDBC、HTTP 等)连接 SelectDB Cloud 仓库。

注意

  1. 你所在网络需要连通该 Endpoint 所在的 VPC(例如使用 VPN、代理服务、专线等),才可以通过私网 WebUI 登录仓库。如果无法连通,建议改用公网 WebUI 登录仓库。
  2. SelectDB Cloud 产品中包含两套独立的账号,一套用于连接 SelectDB Cloud 仓库,即本文使用的账号。另一套用于登录控制台,请参考注册和登录章节。

亚马逊云科技

  1. 切到目标仓库,单击导航栏的 连接 ,在 私网连接 > 私有网络访问SelectDB 中单击新建连接,将用户的云主账号添加到 SelectDB Cloud 仓库的终端节点服务的白名单内。

注意:如果您为IAM用户或IAM角色的主体指定允许ARN,则只有IAM用户或IAM角色的主体才有权限访问终端服务,权限不会传递给亚马逊云科技账户。

  1. 允许主体访问终端服务后,页面会显示创建终端所需的终端服务信息,您可以单击前往创建,前往云平台的控制台创建终端。

  1. 在云平台的私网连接产品控制台中,需要确认当前地域和仓库的终端节点服务一致(受云平台的私网连接产品限制),点击创建终端节点

注意:您需要使用已被允许访问 SelectDB Cloud 端点服务的主体登录 AWS,这样在创建端点时才能成功通过服务名称验证。

  1. 按照向导提示填写表单如下:

参数说明
名称标签选填。创建一个标签,其键为 'Name',值由您指定。
服务类别必填。选择服务类别"使用 NLB 和 GWLB 的端点服务"
服务名称必填。在上一步 SelectDB Cloud “添加终端节点”页面中,复制端点服务的服务名称,填写此输入框并单击验证服务。
VPC选填。选择您要在其中创建端点的 VPC。
子网选择与 SelectDB Cloud 仓库端点服务所在的可用区相同的可用区(受云平台的私网连接产品限制),然后在其下选择合适的子网 ID。
安全组选填。选择预设的安全组。注意安全规则要允许 SelectDB Cloud 仓库使用的协议和端口,以及应用程序/客户端连接到 SelectDB Cloud 仓库的源的 IP 地址。
标签选填。您可以添加与资源相关的标签。
  1. 端点创建完成后,等待几分钟,其状态会由 待验证 变为 可用,表示该端点已经成功与仓库的端点服务建立连接。

  1. 刷新 SelectDB Cloud 仓库的私网连接页面后,端点列表将显示该端点的连接信息。

注意:您需要点击“前往查找 DNS 名称”打开亚马逊云科技私网连接产品控制台的终端节点详细信息页面,找到该终端节点的 DNS 名称并使用该 DNS 名称访问 SelectDB Cloud 仓库。

  1. 应用程序/客户端可以通过 MySQL 协议或 HTTP 协议,通过终端节点的 DNS 名称访问 SelectDB Cloud 仓库。具体连接方式请参考连接举例的弹窗。

SelectDB 访问私有网络

新建终端节点服务(Endpoint Service),让 SelectDB 访问你的私有网络中的数据库服务(如 Hive Metastore、MySQL、Elasticsearch)。

说明 SelectDB 访问私有网络产生的终端节点实例和流量费用,目前暂不对用户收取。

阿里云

  1. 登录 终端节点服务控制台 (opens in a new tab)
  2. 在左侧导航栏单击 终端节点服务,在页面单击 创建终端节点服务 ,选择与当前仓库同地域创建终端节点服务。

说明 阿里云 Elasticsearch 等一方产品的控制台中,提供了针对该产品的终端节点服务创建入口。

  1. 在弹出的 创建终端节点服务 对话框中,配置相关参数。

  1. 进入终端节点服务详情,添加 SelectDB 的云账号 ID 为白名单。

注意 可参考第 5 步获取 SelectDB 的云账号 ID 。

  1. 在 SelectDB Cloud 中 ,单击导航栏的 连接 ,在 私网连接 > SelectDB 访问私有网络 中单击 新建连接,填写终端节点服务的 ID、名称,并点击 登记

华为云

  1. 登录 VPC 终端节点控制台 (opens in a new tab)
  2. 在左侧导航栏单击VPC 终端节点 - 终端节点服务 ,选择与当前仓库同地域创建终端节点服务。
  3. 在右上角单击 创建终端节点服务 ,选择与当前仓库同地域创建终端节点服务,并选择 VPC 与端口映射。

说明 华为云 Elasticsearch 等一方产品的控制台中,提供了针对该产品的终端节点服务创建入口。

  1. 进入终端节点服务详情,在 **权限管理-添加白名单记录 **中将 SelectDB 的云账号 ID 添加到白名单。

注意 可参考第 5 步获取 SelectDB 的云账号 ID 。

  1. 在 SelectDB Cloud 中 ,单击导航栏的 连接 ,在 私网连接 > SelectDB 访问私有网络 中单击 新建连接,填写终端节点服务的 ID、名称,并单击 登记


腾讯云

  1. 登录 私有连接控制台 (opens in a new tab)
  2. 在左侧导航栏单击私有连接 - 终端节点服务 ,选择与当前仓库同地域创建终端节点服务。

  1. 在弹出的 新建终端节点服务 对话框中,配置相关参数。

参数名称描述
服务名称自定义终端节点服务的名称,不能超过 80 个字符,只能使用中文、英文、数字、下划线、分隔符"-"、小数点。
所在地域终端节点服务所在地域。与当前仓库同地域。
所属网络选择所属 VPC。
服务类型终端节点服务的类型,目前支持负载均衡(应用型内网 4 层 CLB)、MySQL 和 Redis。
后端服务后端服务的实例 ID。
自动接受指定终端节点服务是、否自动接受终端节点发起的连接请求,默认为否:当选择是自动接受时,终端节点服务默认接受所有连接的终端节点的请求,终端节点创建成功后,状态即为可用。当选择否不接受自动连接时,终端节点初始连接状态将为待接受,需要终端节点服务手动执行接受连接才能将状态从待接受变为可用。
  1. 进入终端节点服务详情,添加 SelectDB 的云账号 ID 为白名单。

注意 可参考第 5 步获取 SelectDB 的云账号 ID 。

  1. 在 SelectDB Cloud 中 ,单击导航栏的 连接 ,在 私网连接 > SelectDB 访问私有网络 中单击 新建连接,填写终端节点服务的 ID、名称,以及你的腾讯云账户 UIN,并点击 登记

亚马逊云科技

  1. 切换到目标仓库,单击导航栏上的连接,然后单击私有链接选项卡上的用于 SelectDB 访问您的 VPC 的新连接,创建与您的终端节点服务的连接。

  1. 点击 +终端节点服务 后,页面会显示仓库的当前地域和 SelectDB 的 ARN,您可以点击前往创建,进入云平台的控制台,创建终端节点服务。

  2. 登录AWS控制台,选择VPC > 终端节点服务,切换到和当前仓库相同的地域。

  3. 点击创建端点服务。

  1. 在终端节点配置页面,配置相关参数,点击创建。

  2. (可选)如果没有可用的网络负载均衡器,需先点击创建网络负载均衡器,创建完成后点击筛选按钮即可选择。

  1. (可选)如果没有可用的目标组,需先点击创建目标组,创建完成后点击右侧刷新按钮即可选择。

  1. 创建完终端节点服务后,在终端节点服务的允许委托人标签页中添加 SelectDB 的 ARN。

  1. 从终端节点服务详情页面复制服务ID服务名称,并将其填写到SelectDB Cloud的终端节点服务注册页面中。

  1. 点击登记,进入下一步,指定 SelectDB Cloud 仓库的终端节点名,点击立即创建。

  1. 在终端节点服务的终端节点连接标签页中,选中终端节点,点击操作 > 接受终端节点连接请求。输入接受,点击接受。

  1. 刷新页面,等待 SelectDB Cloud 仓库的终端节点状态由待验证变为已连接,即连接成功。

公网连接

在连接页,切到 公网连接 Tab 中,可以配置管理公网连接。

添加 IP 白名单

在开始使用前,需要先将源端公网 IP 加入白名单,才可以通过公网访问 SelectDB Cloud 仓库。

单击 IP 白名单管理 , 进入列表页面单击 添加 IP 白名单 ,增加新的 IP 白名单。

注意 默认公网连接 IP 白名单同时设置了 IP 段 0.0.0.0/1 和 128.0.0.0/1,即对公网完全开放访问。建议用完后及时移除,降低安全风险。

访问仓库

添加 IP 白名单后,你可以在控制台单击 WebUI 登录 ,也可参考 连接方式 来查看更多连接仓库的方式。

将集群端口添加到访问控制白名单

在使用 Stream Load 方式导入数据的时候,你需要将集群端口添加到访问控制白名单,允许流出请求访问这些端口。点击集群端口详情查看具体端口。

© 2023 北京飞轮数据科技有限公司 京ICP备2022004029号 | Apache、Apache Doris 以及相关开源项目名称均为 Apache 基金会商标