创建平台服务端点
建议更改
PDF
必须至少创建一个正确类型的端点,然后才能启用平台服务。
-
您已使用登录到租户管理器"支持的 Web 浏览器"。
-
StorageGRID 管理员已为租户帐户启用平台服务。
-
您属于具有的用户组"管理端点或root访问权限"。
-
平台服务端点引用的资源已创建:
-
CloudMirror 复制: S3 存储分段
-
事件通知:Amazon Simple Notification Service (Amazon SNS) 主题、Kafka 主题或 Webhook 终端节点
-
搜索通知:Elasticsearch 索引,如果目标集群未配置为自动创建索引。
-
-
您知道有关目标资源的信息:
-
统一资源标识符( URI )的主机和端口
如果您计划使用 StorageGRID 系统上托管的存储分段作为 CloudMirror 复制的端点,请联系网格管理员以确定需要输入的值。 -
唯一资源名称( URN )
-
身份验证凭据(如果需要):
搜索集成端点对于搜索集成端点、您可以使用以下凭据:
-
访问密钥:访问密钥 ID 和机密访问密钥
-
基本 HTTP :用户名和密码
CloudMirror复制端点对于CloudMirror复制端点、您可以使用以下凭据:
-
访问密钥:访问密钥 ID 和机密访问密钥
-
CAP ( C2S 访问门户):临时凭据 URL ,服务器和客户端证书,客户端密钥以及可选的客户端专用密钥密码短语。
Amazon SNS端点对于Amazon SNS端点、您可以使用以下凭据:
-
访问密钥:访问密钥 ID 和机密访问密钥
Kafka端点对于Kafka端点、您可以使用以下凭据:
-
SASL/PLAIN:用户名和密码
-
SASL/SCRAM-SHA-256:用户名和密码
-
SASL/SCRAM-SHA-512:用户名和密码
-
-
安全证书(如果需要证书验证)
-
-
如果启用了El在任 一El在任 一安全功能中、您将拥有用于连接测试的监控集群权限、以及用于文档更新的写入索引权限或同时具有索引和删除索引权限。
-
选择 * 存储( S3 ) * > * 平台服务端点 * 。此时将显示平台服务端点页面。
-
选择 * 创建端点 * 。
-
输入显示名称以简要说明端点及其用途。
当端点在“端点”页面上列出时,端点支持的平台服务类型会显示在端点名称旁边,因此您不需要在名称中包含该信息。
-
在 * URI * 字段中,指定端点的唯一资源标识符( URI )。
请使用以下格式之一:
https://host:port http://host:port
如果未指定端口、则会使用以下默认端口:
-
端口443用于HTTPS URL、端口80用于HTTP URL (大多数端点)
-
用于HTTPS和HTTP URI的端口9092 (仅限Kafka端点)
例如, StorageGRID 上托管的存储分段的 URI 可能为:
https://s3.example.com:10443
在此示例中、 `s3.example.com`表示StorageGRID高可用性(HA)组的虚拟IP (VIP)的DNS条目、并 `10443`表示负载平衡器端点中定义的端口。
应尽可能连接到负载平衡节点的HA组、以避免单点故障。 同样, AWS 上托管的存储分段的 URI 可能为:
https://s3-aws-region.amazonaws.com
如果此端点用于CloudMirror复制服务、请勿在URI中包含存储分段名称。您可以在 * URN* 字段中包含分段名称。 -
-
输入端点的唯一资源名称( URN )。
创建端点后、您无法更改此端点的URN。 -
选择 * 继续 * 。
-
为*身份验证类型*选择一个值。
如果您需要对 webhook 端点进行身份验证,请在第 9 步。 搜索集成端点输入或上传搜索集成端点的凭据。
您提供的凭据必须具有目标资源的写入权限。
Authentication type 说明 凭据 匿名
提供对目标的匿名访问。仅适用于已禁用安全性的端点。
无身份验证。
访问密钥
使用 AWS 模式的凭据对与目标的连接进行身份验证。
-
访问密钥 ID
-
机密访问密钥
基本 HTTP
使用用户名和密码对目标连接进行身份验证。
-
用户名
-
密码
CloudMirror复制端点输入或上传CloudMirror复制端点的凭据。
您提供的凭据必须具有目标资源的写入权限。
Authentication type 说明 凭据 匿名
提供对目标的匿名访问。仅适用于已禁用安全性的端点。
无身份验证。
访问密钥
使用 AWS 模式的凭据对与目标的连接进行身份验证。
-
访问密钥 ID
-
机密访问密钥
CAP ( C2S 访问门户)
使用证书和密钥对目标连接进行身份验证。
-
临时凭据 URL
-
服务器 CA 证书( PEM 文件上传)
-
客户端证书( PEM 文件上传)
-
客户端专用密钥( PEM 文件上传, OpenSSL 加密格式或未加密的专用密钥格式)
-
客户端专用密钥密码短语(可选)
Amazon SNS端点输入或上传Amazon SNS端点的凭据。
您提供的凭据必须具有目标资源的写入权限。
Authentication type 说明 凭据 匿名
提供对目标的匿名访问。仅适用于已禁用安全性的端点。
无身份验证。
访问密钥
使用 AWS 模式的凭据对与目标的连接进行身份验证。
-
访问密钥 ID
-
机密访问密钥
Kafka端点输入或上传Kafka端点的凭据。
您提供的凭据必须具有目标资源的写入权限。
Authentication type 说明 凭据 匿名
提供对目标的匿名访问。仅适用于已禁用安全性的端点。
无身份验证。
SASL/普通
使用带有纯文本的用户名和密码对目标连接进行身份验证。
-
用户名
-
密码
SASL/SCRAM-SHA-256
使用用户名和密码并使用质询响应协议和SHA-256哈希对目标连接进行身份验证。
-
用户名
-
密码
SASL/SCRAM-SHA-512
使用用户名和密码并使用质询响应协议和SHA-512哈希对目标连接进行身份验证。
-
用户名
-
密码
如果用户名和密码源自从Kafka集群获取的委派令牌,请选择*使用委派进行身份验证*。
-
-
选择 * 继续 * 。
-
选择*验证证书*单选按钮来选择如何验证与端点的 TLS 连接。
大多数端点验证搜索集成、CloudMirror 复制、Amazon SNS 或 Kafka 端点的 TLS 连接。
证书验证的类型 说明 TLS
验证与端点资源的 TLS 连接的服务器证书。
已禁用
证书验证已禁用。此选项不安全。
使用自定义 CA 证书
自定义 CA 证书用于在连接到端点时验证服务器的身份。
使用操作系统 CA 证书
使用操作系统上安装的默认网格 CA 证书来保护连接。
仅限 Webhook 端点验证 webhook 端点的 TLS 连接。
证书验证的类型 说明 TLS
验证与端点资源的 TLS 连接的服务器证书。
移动TLS
验证与端点资源的相互 TLS 连接的客户端和服务器证书。
已禁用
证书验证已禁用。此选项不安全。
使用自定义 CA 证书
自定义 CA 证书用于在连接到端点时验证服务器的身份。
当您选择 mTLS 时,这些选项变为可用。
证书验证的类型 说明 不验证服务器证书
禁用服务器证书验证,这意味着服务器的身份未经验证。此选项不安全。
客户端证书
客户端证书用于在连接到端点时验证客户端的身份。
客户端私钥
客户端证书的私钥。如果加密,则必须使用传统格式 PKCS #1(不支持 PKCS #8 格式)。
客户端私钥密码
用于解密客户端私钥的密码。如果私钥未加密,请将此处留空。
-
选择 * 测试并创建端点 * 。
-
如果可以使用指定凭据访问端点,则会显示一条成功消息。系统会从每个站点的一个节点验证与端点的连接。
-
如果端点验证失败,则会显示一条错误消息。如果需要修改端点以更正错误,请选择 * 返回到端点详细信息 * 并更新此信息。然后,选择 * 测试并创建端点 * 。
如果未为租户帐户启用平台服务、则端点创建将失败。请与 StorageGRID 管理员联系。
-
配置端点后,您可以使用其 URN 配置平台服务。