跳到主要内容

创建阿里云私网连接(Private Link)

本小节主要介绍如何在您的阿里云 VPC 和您托管在阿里云上的 Zilliz Cloud 集群之间建立私网连接。

此功能仅适用于 Dedicated 集群。

📘提示

Zilliz Cloud 不会针对私网连接收费,但您的云服务提供商可能会收取一定费用

配置思路

如需启用访问 Zilliz Cloud 集群的私网连接,您需要:

  • 通过阿里云控制台在您的 VPC 中创建一个终端节点,并为其选择安全组、可用区和交换机。

  • 将上述信息提交给 Zilliz Cloud 注册私网连接。Zilliz Cloud 将根据提交的信息为您的集群分配一个域名前缀。

  • 前往阿里云控制台,使用该域名前缀创建一条私网解析记录。

前提条件

  • 您已经注册 Zilliz Cloud 并创建了 Zilliz Cloud 阿里云集群。

  • 您在上述 Zilliz Cloud 阿里云集群所在云服务地域有一个 VPC。

配置步骤

本节将按照配置思路详细介绍如何为您的 Zilliz Cloud 阿里云集群创建私网连接。

登录Zilliz Cloud,并在左侧导航栏顶部的下拉菜单中选择合适的项目。

在项目左侧导航栏中选择安全 > 私网连接,并单击创建私网连接

zh-ali-create-private-link

您还可以在集群详情页面中的连接信息区域中单击创建私网连接

zh-ali-create-private-link-from-cluster-detail

在弹出的创建私网连接对话框中,您需要选择云服务提供商云服务地域,并提供主帐号 ID

zh-ali-create-private-link-window

获取阿里云主帐号 ID

登录阿里云控制台查找主帐号 ID。

  • 如果您的阿里云帐号为主帐号,可登录阿里云控制台获取主帐号 ID。

  • 如果您的阿里云帐号不是主帐号,请复制您所在组织的主帐号 ID。

zh-ali-main-account-id

返回 Zilliz Cloud 界面,在创建私网连接弹窗中,提供以下信息:

参数名称

参数描述

云服务提供商

与私网连接访问目标集群所在网络保持一致。

集群详情页面中的集群信息区域中,可查看当前集群的地域及详情。

云服务地域

与私网连接访问目标集群所在网络保持一致。

主帐号 ID

填写您在步骤 3 中获取的阿里云主帐号 ID,并单击添加提交验证。

📘提示

  • 请确保主账号 ID 验证通过,如下图所示。否则,在创建终端节点时,您将无法查看到 Zilliz Cloud 的终端节点服务。

  • 主账号 ID 验证通过后,请不要关闭 Zilliz Cloud 窗口。

zh-ali-main-account-id-verified

创建终端节点实例

  1. 进入阿里云终端节点控制台

  2. 根据步骤 1 中提供的地域,选择相同的地域。

    zh-ali-region

  3. 进入创建终端节点界面,填写表格。以下为参数解释。

    参数

    描述

    节点名称

    为该节点命名。

    终端节点类型

    选择接口终端节点

    终端节点服务

    选择选择可用服务

    如果您在上一步中添加的阿里云主帐号通过验证后,可用服务列表中将展示该主帐号对应的 Zilliz Cloud 服务。

    zh-ali-create-endpoint

  4. 继续填写表格,配置专有网络安全组可用区与交换机。以下为参数解释。

    专有网络

    选择需要使用私网连接访问 Zilliz Cloud 集群的服务所在 VPC。

    安全组

    选择应用于该终端节点的安全组规则。如第一次使用,建议新建安全组,规划如下:

    • 网络

      选择需要使用私网连接访问 Zilliz Cloud 集群的服务所在 VPC。

    • 访问规则

      添加一条协议类型TCP端口范围为 Zilliz Cloud 集群暴露的端口,授权对象0.0.0.0/0 的访问规则。建议添加一条 ICMP 规则用于网络连通性排查。

    可用区与交换机

    选择 Zilliz Cloud 集群所在可用区并创建默认交换机。

    目前,Zilliz Cloud 集群可选可用区如下:

    杭州

    • 杭州 可用区 H

    • 杭州 可用区 J

    • 杭州 可用区 K

      北京

    • 北京 可用区 G

    • 北京 可用区 H

    • 北京 可用区 I

      深圳

    • 深圳 可用区 D

    • 深圳 可用区 E

    • 深圳 可用区 F

      交换机配置无特殊要求,保持默认即可。

    📘提示

    为了可用性,我们建议选 2 个以上可用区与交换机。但注意,阿里云会针对每个可用区额外收费,因此您需要考虑成本。

    zh-ali-create-endpoint

    安全组详情如下图所示:

    zh-ali-safety-group

  5. 表格填写完成后,点击创建。创建成功后的界面如下图所示。请务必保存以下信息以备后续使用:

    • 终端节点实例ID

    • 默认服务域名

    zh-ali-endpoint-details

  6. 等待终端节点状态变为可用

    📘提示

    终端节点连接状态此时是已断开。需要等待下一步连接。

返回 Zilliz Cloud 界面。在创建私网连接单弹窗中输入上一步中保存的终端节点实例ID。点击创建

zh-ali-enter-endpoint-id

此时 Zilliz Cloud 界面会出现如下提示:

zh-ali-pending

待私网连接创建成功后,Zilliz Cloud 界面如下:

zh-ali-private-link-created

此时,切换至阿里云界面。可以观察到终端节点的连接状态变为已连接

创建并设置私域解析

  1. 进入阿里云控制台内网 DNS 解析(PrivateZone)

    zh-ali-private-zone

  2. 选择管理配置模式

    zh-ali-enter-endpoint-id

  3. 在页面下方,点击添加域名

    zh-ali-add-zone

  4. 填写添加内置权威域名表格。

    参数

    描述

    内置权威域名(Zone)

    请根据您的集群地域修改内置权威域名。以下为终端节点所在区域对应的 Zone 名称:

    • 杭州:ali-cn-hangzhou.vectordb.zilliz.com.cn

    • 北京:ali-cn-beijing.vectordb.zilliz.com.cn

    • 深圳:ali-cn-shenzhen.vectordb.zilliz.com.cn

    子域名递归解析代理

    为防止无法访问公共域名,我们建议您开启此项。

    zh-ali-add-zone-form

  5. 设置私域解析的生效范围。

    zh-ali-select-effect-range

  6. 选择需要使用私网连接的 VPC。点击确定。

    zh-ali-select-vpc

  7. 在风险提示弹窗中,点击继续执行操作。

    zh-ali-continue-operation

  8. 设置成功后,界面如下所示:

    zh-ali-zone-added

  9. 添加解析。在添加域名标签下,定位对应的内置权威域名,点击右侧操作栏中的解析记录

    zh-ali-add-dns

  10. 点击添加记录

    zh-ali-add-record

  11. 填写表格并点击确定

    参数

    描述

    记录类型

    请选择 CNAME

    主机记录

    请替换为你的集群 ID-privatelink。 你可在集群详情页获取集群 ID。

    记录值

    请填写在步骤5.e. 中获取的默认服务域名

zh-ali-add-record-form

  1. 解析变更确认页面中,点击确定

    zh-ali-dns-change-confirm

  2. 至此,内网 DNS 解析(PrivateZone)创建成功,界面如下所示:

    zh-ali-dns-successful

管理集群公网访问

完成配置私网连接后,您可以选择关闭和限制集群的公网访问能力(Public Endpoint)。关闭后,您只可以使用私网连接访问该集群。

如需关闭公共 Endpoint,请按以下步骤操作:

  1. 前往目标集群的集群详情页面。

  2. 找到连接信息部分。

  3. 点击集群公共 Endpoint 旁边的设置图标

  4. 阅读弹窗信息,然后点击关闭

📘说明

disable_public_endpoint_cn