JFrog


    云客户?
    免费开始>
    在MyJFrog >中升级
    云有什么新>





    使用旧版本?JFrog Artifactory 6.x|JFrog x射线2.x|JFrog任务控制3.x|JFrog Distribution 1.x|


    跳到元数据的末尾
    进入元数据的开始

    为了帮助希望降低通过公共互联网暴露其JFrog SaaS实例的安全风险的JFrog客户,JFrog允许您建立AWS PrivateLink连接。

    这使您能够建立安全的网络连接——从您自己的云环境(AWS VPC)到您的JFrog cloud (SaaS)实例——而无需通过公共互联网遍历流量。相反,流量在AWS主干中遍历。

    背景信息您即将建立AWS PrivateLink连接,源端为您自己的AWS VPC,目标端为JFrog PrivateLink。

    在此过程中,我们将指导您完成设置AWS PrivateLink的步骤。一旦你建立了连接,你将能够从你的VPC通过AWS骨干网连接到你的JFrog实例(也就是说,不需要通过公共互联网)。

    此选项目前可用于企业X而且企业+订阅。

    AWS PrivateLink连接即可可与其他AWS网络服务(如AWS DirectConnect和AWS Transit Gateway)无缝结合使用。

    例如,如果您希望从您的本地环境或数据中心连接到AWS上的JFrog云,您可以使用AWS的DirectConnect从本地环境连接到您自己的AWS帐户(这部分不涉及JFrog)。接下来,您将设置一个PrivateLink(使用AWS PrivateLink)来从您的AWS帐户连接到您的JFrog实例。

    您还可以使用AWS Transit Gateway允许网络的各个部分连接到PrivateLink,并通过它访问JFrog实例。


    JFrog订阅级别

    企业X
    企业+
    页面内容


    建立AWS PrivateLink连接的过程由AWS和JFrog分开。这些是您在此过程中需要完成的高级步骤。

    在你开始之前

    如果你想使用你自己的自定义域来访问你的JFrog平台实例(例如,jfrog.your-company-domain.com),但尚未设置,请立即设置,然后开始下文所述的程序。联系JFrog支持来为您设置这个配置。

    JFrog云 AWS控制台

    		步骤1:在AWS帐户中创建端点
    步骤2:在MyJFrog中创建AWS PrivateLink

    		步骤3:在AWS中设置DNS
    步骤4:验证私有连接
    步骤5(可选):阻断公共访问

    		步骤6(推荐):配置Amazon S3的网关VPC Endpoint

    创建一个端点(请参见AWS的指令有关为端点服务创建接口端点的其他详细信息)。

    1. 在下面的表格中,找到Service您正在设置的区域的名称值。PrivateLink由JFrog在支持的AWS区域中以以下服务名称建立:

      AWS公共区域

      地区

      		 支持的可用分区

      VPC服务名称

      ap-northeast-1

      		 apne1-az4
      apne1-az1
      apne1-az2

      com.amazonaws.vpce.ap -东北- 1. - vpce dd8eef60e50c7c5——svc - 09年

      ap-south-1

      		 aps1-az1
      aps1-az3
      aps1-az2

      com.amazonaws.vpce.ap -南- 1. vpce svc - 0 - b0a06d6c8a7cd783

      ap-southeast-1

      		 apse1-az1
      apse1-az2
      apse1-az3

      com.amazonaws.vpce.ap -东南- 1. vpce svc - 0 - babc04adde38218d

      ap-southeast-2

      		 apse2-az1
      apse2-az3
      apse2-az2

      com.amazonaws.vpce.ap东南- 2. - vpce svc - 09 - aebe448ba4abe71

      eu-central-1

      		 euc1-az2
      euc1-az3
      euc1-az1

      com.amazonaws.vpce.eu中央- 1. - vpce svc - 043 e028202f4cfc12

      一来就

      		 euw1-az1
      euw1-az2
      euw1-az3

      com.amazonaws.vpce.eu -西方- 1. - vpce svc edb7967fc4——0151288

      us-east-1

      		 use1-az1
      use1-az2
      use1-az3
      use1-az4
      use1-az5
      use1-az6

      com.amazonaws.vpce.us东- 1. - vpce svc - 0 - b245d99885c0eef6

      us-west-1

      		 usw1-az1
      usw1-az3

      com.amazonaws.vpce.us西- 1. - vpce - svc - 01 - d00c73f8b691baa

      us-west-2

      		 usw2-az1
      usw2-az2
      usw2-az3
      usw2-az4

      com.amazonaws.vpce.us西- 2. - vpce - svc - 08 - a10cac228921959
      ca-central-1 ca-central-1a (cac1-az1)
      ca-central-1b (cac1-az2)
      ca-central-1d (cac1-az4)      		 com.amazonaws.vpce.ca中央- 1. - vpce - svc - 04 - f7ff10e97e8d23f

    2. 在AWS控制台中,转到端点>创建端点

    3. 选择选项按名称查找服务

    4. 进入区域的服务名称,然后单击验证

      重要的

      在AWS中创建的端点必须与在JFrog中创建的PrivateLink位于同一区域。

      AWS验证您输入的服务名称。

    5. 进入“VPC”下拉列表,选择对应的VPC。

    6. 选择安全组列表中,选择为出站连接打开端口443的安全组。

    7. 滚动到窗口底部并单击创建端点
      AWS创建端点,并显示带有VPC端点ID的VPC端点。
      ID的格式如下:      vpce - 1234 abc123a123456

    8. 复制端点ID并单击关闭

    1. 登录MyJFrog。

    2. 单击安全页面。
    3. 如果你有多个JPDs,选择您希望为其设置专用连接的JPD。

    4. 选择私人联系选项卡。
      这将打开Manage Private Connections窗口(如果您已经为这个JPD配置了一个私有连接,它们将以列表的形式出现在这个选项卡中)。

    5. 点击+创建新

    6. 端点标识字段,输入您从AWS复制的ID步骤1
      验证输入的端点ID是以字母数字开头的小写字符串vpce -,例如:vpce - 1234 abc123a123456

    7. 点击创建
      管理私有连接表格您将看到配置的端点的当前状态(此过程可能需要一段时间)。一旦PrivateLink已设置,您将收到确认电子邮件和“管理私有连接”表中的status将变为连接

    要向JPD添加其他端点,您需要验证所有失败的端点都是固定的。

    此过程的目的是确保所有来自您自己的AWS VPC的流量都将通过PrivateLink自动路由到您的JFrog JPD(位于同一区域),而不是通过公共Internet。发送到其他JFrog域的流量,例如位于其他区域的远程JPDs,或其他JFrog服务,例如releases.jfrog.io,将继续经由公共互联网传送。

    一旦您通过MyJFrog设置了AWS PrivateLink, JFrog会自动创建一个附加的域名,该域名到达您的实例,格式如下acme.pe.jfrog.io.这个域将被您的PrivateLink设置使用。例如,如果您的标准公共JFrog域是myservername.jfrog.io,则附加域将为myservername.pe.jfrog.io

    如何选择在AWS中设置DNS取决于您组织的架构,其中有两个因素:

    • 哪个域名?
      • 自定义域名
      • JFrog域
    • 哪种类型的连接?
      • 从AWS VPC直接连接到JFrog VPC
      • 通过AWS从您的内部数据中心连接到JFrog VPC

    为了更好地理解这些选项,我们将它们分解为下面的部分,并使用图表说明它们的工作原理。

    如果您已经使用您自己的自定义域名来访问您的JFrog实例(例如,http://jfrog.your_domain_name.com),按以下步骤配置你的专用DNS。如何设置这取决于连接的类型

    在此配置中,您将设置一个CNAME,指向您的公司域名,例如,jfrog.acme.com,到PrivateLink DNS名称。如果您正在使用Docker子域方法访问Docker存储库(例如,docker-reponame.myservername.acme.com),设置另一个CNAME,指向docker子域(例如,*myservername.acme.com),转到PrivateLink DNS名称。

    在下面的图表中,您可以看到映射自定义域所需的步骤到端点的DNS。

    在此流程中,DNS解析不是通过AWS服务执行的,而是从企业数据中心执行的。因此,您的数据中心DNS解析需要知道从自定义域名指向DNS。

    当使用此选项时,您将配置您的客户端以命中PrivateLink JFrog域名(例如,acme.pe.jfrog.io)而不是你的标准域名(例如:acme.jfrog.io).

    设置一个私人托管区域pe.jfrog.io,并创建指向*的DNS CNAME记录。pe.jfrog.io(或者,如果你需要的话在多个PrivateLinks中到达多个Artifactorys,用于的例子,yourcompanyname.pe.jfrog.io输入PrivateLink的DNS名称。一旦DNS记录准备好了,配置您的客户端以命中PrivateLink JFrog域名(例如,acme.pe.jfrog.io),以便它们到达您的端点(记住使用a托管区域在这里)

    与自定义域选项一样,如何设置取决于连接类型

    在此流程中,您将设置通过DNS从您的VPC(通过Route 53私有区域DNS)直接通过服务端点到达JFrog VPC。

    在此流程中,DNS解析不是通过AWS服务执行的,而是从企业数据中心执行的。因此,您的数据中心DNS解析需要知道从JFrog域名指向DNS。

    该流程涉及多个跳转,可能是大多数客户的首选。



    在这一步中,您需要验证连接是否通过私有连接而不是公共Internet。要验证您的连接确实是私有的,通过打开命令提示符,输入以下命令,从VPC连接到JFrog实例,ping服务器。

    Curl -v https:///artifactory/api/system/ping

    例如:

    旋度-v https://acme.pe.jfrog.io/artifactory/api/system/ping

    验证您是否能够访问JFrog平台。如果您能够访问平台,那么您的设置就完成了。You现在应该看到您的下一跳IP前缀与本地VPC的IP前缀相同。

    PrivateLink连接本身不会阻止对站点的公共访问。要阻止访问,您需要将您的公共ip添加到允许列表中。联系JFrog支持以获得更多信息。

    当对您的JFrog平台执行下载请求时,您的下载可能会通过重定向到AWS S3桶来提供。因此,当您的初始请求到JFrog平台时,将通过您在中创建的PrivateLink路由步骤2并且将到达JFrog VPC,重定向到S3将到达S3通过公共互联网

    如果您的AWS VPC网络策略允许出口流量通过公共互联网(例如,通过NAT网关)进入S3,则无需采取任何进一步步骤即可完成下载但是,如果您的网络不允许通过公共互联网的出口流量,或者您希望在使用S3时获得更好的性能和更低的数据传输成本,请遵循AWS的文档(w在创建网关VPC端点时,在政策,选择默认选项“完全访问”)。


    • 没有标签
    版权所有©2023 JFrog Ltd。