安装过程中
建立AWS PrivateLink连接的过程由AWS和JFrog分开。这些是您在此过程中需要完成的高级步骤。
在你开始之前
如果你想使用你自己的自定义域来访问你的JFrog平台实例(例如,jfrog.your-company-domain.com),但尚未设置,请立即设置,然后开始下文所述的程序。联系JFrog支持来为您设置这个配置。
JFrog云 | AWS控制台 |
---|---|
步骤1:在AWS帐户中创建端点 | |
步骤2:在MyJFrog中创建AWS PrivateLink | |
步骤3:在AWS中设置DNS | |
步骤4:验证私有连接 | |
步骤5(可选):阻断公共访问 | |
步骤6(推荐):配置Amazon S3的网关VPC Endpoint |
步骤1:在AWS中创建端点
创建一个端点(请参见AWS的指令有关为端点服务创建接口端点的其他详细信息)。
在下面的表格中,找到Service您正在设置的区域的名称值。PrivateLink由JFrog在支持的AWS区域中以以下服务名称建立:
AWS公共区域地区
支持的可用分区 VPC服务名称
ap-northeast-1
apne1-az4
apne1-az1
apne1-az2
com.amazonaws.vpce.ap -东北- 1. - vpce dd8eef60e50c7c5——svc - 09年
ap-south-1
aps1-az1
aps1-az3
aps1-az2
com.amazonaws.vpce.ap -南- 1. vpce svc - 0 - b0a06d6c8a7cd783
ap-southeast-1
apse1-az1
apse1-az2
apse1-az3
com.amazonaws.vpce.ap -东南- 1. vpce svc - 0 - babc04adde38218d
ap-southeast-2
apse2-az1
apse2-az3
apse2-az2
com.amazonaws.vpce.ap东南- 2. - vpce svc - 09 - aebe448ba4abe71
eu-central-1
euc1-az2
euc1-az3
euc1-az1
com.amazonaws.vpce.eu中央- 1. - vpce svc - 043 e028202f4cfc12
一来就
euw1-az1
euw1-az2
euw1-az3
com.amazonaws.vpce.eu -西方- 1. - vpce svc edb7967fc4——0151288
us-east-1
use1-az1
use1-az2
use1-az3
use1-az4
use1-az5use1-az6
com.amazonaws.vpce.us东- 1. - vpce svc - 0 - b245d99885c0eef6
us-west-1
usw1-az1
usw1-az3
com.amazonaws.vpce.us西- 1. - vpce - svc - 01 - d00c73f8b691baa
us-west-2
usw2-az1
usw2-az2
usw2-az3
usw2-az4com.amazonaws.vpce.us西- 2. - vpce - svc - 08 - a10cac228921959
ca-central-1 ca-central-1a (cac1-az1)
ca-central-1b (cac1-az2)
ca-central-1d (cac1-az4)
com.amazonaws.vpce.ca中央- 1. - vpce - svc - 04 - f7ff10e97e8d23f
在AWS控制台中,转到端点>创建端点.
选择选项按名称查找服务.
进入区域的服务名称,然后单击验证.
重要的
在AWS中创建的端点必须与在JFrog中创建的PrivateLink位于同一区域。
AWS验证您输入的服务名称。
进入“VPC”下拉列表,选择对应的VPC。
- 在选择安全组列表中,选择为出站连接打开端口443的安全组。
滚动到窗口底部并单击创建端点.
AWS创建端点,并显示带有VPC端点ID的VPC端点。
ID的格式如下:vpce - 1234 abc123a123456
.- 复制端点ID并单击关闭.
步骤2:在MyJFrog中创建AWS PrivateLink
登录MyJFrog。
- 单击安全页面。
- 如果你有多个JPDs,选择您希望为其设置专用连接的JPD。
选择私人联系选项卡。
这将打开Manage Private Connections窗口(如果您已经为这个JPD配置了一个私有连接,它们将以列表的形式出现在这个选项卡中)。点击+创建新.
在端点标识字段,输入您从AWS复制的ID步骤1.
验证输入的端点ID是以字母数字开头的小写字符串vpce -
,例如:vpce - 1234 abc123a123456
.点击创建.
在管理私有连接表格您将看到配置的端点的当前状态(此过程可能需要一段时间)。一旦PrivateLink已设置,您将收到确认电子邮件和“管理私有连接”表中的status将变为连接.
要向JPD添加其他端点,您需要验证所有失败的端点都是固定的。
步骤3:在AWS中设置DNS
此过程的目的是确保所有来自您自己的AWS VPC的流量都将通过PrivateLink自动路由到您的JFrog JPD(位于同一区域),而不是通过公共Internet。发送到其他JFrog域的流量,例如位于其他区域的远程JPDs,或其他JFrog服务,例如releases.jfrog.io,将继续经由公共互联网传送。
一旦您通过MyJFrog设置了AWS PrivateLink, JFrog会自动创建一个附加的域名,该域名到达您的实例,格式如下acme.pe.jfrog.io.这个域将被您的PrivateLink设置使用。例如,如果您的标准公共JFrog域是myservername.jfrog.io,则附加域将为myservername.pe.jfrog.io.
设置DNS
如何选择在AWS中设置DNS取决于您组织的架构,其中有两个因素:
- 哪个域名?
- 自定义域名
- JFrog域
- 哪种类型的连接?
- 从AWS VPC直接连接到JFrog VPC
- 通过AWS从您的内部数据中心连接到JFrog VPC
为了更好地理解这些选项,我们将它们分解为下面的部分,并使用图表说明它们的工作原理。
设置一个自定义域来访问您的JFrog实例
如果您已经使用您自己的自定义域名来访问您的JFrog实例(例如,http://jfrog.your_domain_name.com),按以下步骤配置你的专用DNS。如何设置这取决于连接的类型.
直接连接AWS VPC到JFrog VPC
在此配置中,您将设置一个CNAME,指向您的公司域名,例如,jfrog.acme.com,到PrivateLink DNS名称。如果您正在使用Docker子域方法访问Docker存储库(例如,docker-reponame.myservername.acme.com),设置另一个CNAME,指向docker子域(例如,*.myservername.acme.com),转到PrivateLink DNS名称。
在下面的图表中,您可以看到映射自定义域所需的步骤到端点的DNS。
通过AWS从您的内部数据中心连接到JFrog VPC
在此流程中,DNS解析不是通过AWS服务执行的,而是从企业数据中心执行的。因此,您的数据中心DNS解析需要知道从自定义域名指向DNS。
设置一个DNS来到达你的JFrog PrivateLink域名
当使用此选项时,您将配置您的客户端以命中PrivateLink JFrog域名(例如,acme.pe.jfrog.io)而不是你的标准域名(例如:acme.jfrog.io).
设置一个私人托管区域pe.jfrog.io,并创建指向*的DNS CNAME记录。pe.jfrog.io(或者,如果你需要的话在多个PrivateLinks中到达多个Artifactorys,用于的例子,yourcompanyname.pe.jfrog.io)输入PrivateLink的DNS名称。一旦DNS记录准备好了,配置您的客户端以命中PrivateLink JFrog域名(例如,acme.pe.jfrog.io),以便它们到达您的端点(记住使用a托管区域在这里).
与自定义域选项一样,如何设置取决于连接类型.
直接连接AWS VPC到JFrog VPC
在此流程中,您将设置通过DNS从您的VPC(通过Route 53私有区域DNS)直接通过服务端点到达JFrog VPC。
通过AWS从您的内部数据中心连接到JFrog VPC
在此流程中,DNS解析不是通过AWS服务执行的,而是从企业数据中心执行的。因此,您的数据中心DNS解析需要知道从JFrog域名指向DNS。
该流程涉及多个跳转,可能是大多数客户的首选。
步骤4:验证私有连接
在这一步中,您需要验证连接是否通过私有连接而不是公共Internet。要验证您的连接确实是私有的,通过打开命令提示符,输入以下命令,从VPC连接到JFrog实例,ping服务器。
Curl -v https:///artifactory/api/system/ping
例如:
旋度-v https://acme.pe.jfrog.io/artifactory/api/system/ping
验证您是否能够访问JFrog平台。如果您能够访问平台,那么您的设置就完成了。You现在应该看到您的下一跳IP前缀与本地VPC的IP前缀相同。
步骤5(可选):阻断公共访问
PrivateLink连接本身不会阻止对站点的公共访问。要阻止访问,您需要将您的公共ip添加到允许列表中。联系JFrog支持以获得更多信息。
步骤6(推荐):配置Amazon S3的网关VPC Endpoint
当对您的JFrog平台执行下载请求时,您的下载可能会通过重定向到AWS S3桶来提供。因此,当您的初始请求到JFrog平台时,将通过您在中创建的PrivateLink路由步骤2并且将到达JFrog VPC,重定向到S3将到达S3通过公共互联网.
如果您的AWS VPC网络策略允许出口流量通过公共互联网(例如,通过NAT网关)进入S3,则无需采取任何进一步步骤即可完成下载.但是,如果您的网络不允许通过公共互联网的出口流量,或者您希望在使用S3时获得更好的性能和更低的数据传输成本,请遵循AWS的文档(w在创建网关VPC端点时,在政策,选择默认选项“完全访问”)。