云客户?
免费开始>
在MyJFrog >中升级
云有什么新>







为了帮助希望降低通过公共互联网暴露其JFrog SaaS实例的安全风险的JFrog客户,JFrog允许您建立AWS PrivateLink连接。

这使您能够建立安全的网络连接——从您自己的云环境(AWS VPC)到您的JFrog cloud (SaaS)实例——而无需通过公共互联网遍历流量。相反,流量在AWS主干中遍历。

背景信息您即将建立AWS PrivateLink连接,源端为您自己的AWS VPC,目标端为JFrog PrivateLink。

在此过程中,我们将指导您完成设置AWS PrivateLink的步骤。一旦你建立了连接,你将能够从你的VPC通过AWS骨干网连接到你的JFrog实例(也就是说,不需要通过公共互联网)。

此选项目前可用于企业X而且企业+订阅。

AWS PrivateLink连接即可可与其他AWS网络服务(如AWS DirectConnect和AWS Transit Gateway)无缝结合使用。

例如,如果您希望从您的本地环境或数据中心连接到AWS上的JFrog云,您可以使用AWS的DirectConnect从本地环境连接到您自己的AWS帐户(这部分不涉及JFrog)。接下来,您将设置一个PrivateLink(使用AWS PrivateLink)来从您的AWS帐户连接到您的JFrog实例。

您还可以使用AWS Transit Gateway允许网络的各个部分连接到PrivateLink,并通过它访问JFrog实例。


JFrog订阅级别

企业X
企业+
页面内容



建立AWS PrivateLink连接的过程由AWS和JFrog分开。这些是您在此过程中需要完成的高级步骤。

在你开始之前

如果你想使用你自己的自定义域来访问你的JFrog平台实例(例如,jfrog.your-company-domain.com),但尚未设置,请立即设置,然后开始下文所述的程序。联系JFrog支持来为您设置这个配置。


创建一个端点(请参见AWS的指令有关为端点服务创建接口端点的其他详细信息)。

  1. 在下面的表格中,找到Service您正在设置的区域的名称值。PrivateLink由JFrog在支持的AWS区域中以以下服务名称建立:

    AWS公共区域

    地区

    支持的可用分区

    VPC服务名称

    ap-northeast-1

    apne1-az4
    apne1-az1
    apne1-az2

    com.amazonaws.vpce.ap -东北- 1. - vpce dd8eef60e50c7c5——svc - 09年

    ap-south-1

    aps1-az1
    aps1-az3
    aps1-az2

    com.amazonaws.vpce.ap -南- 1. vpce svc - 0 - b0a06d6c8a7cd783

    ap-southeast-1

    apse1-az1
    apse1-az2
    apse1-az3

    com.amazonaws.vpce.ap -东南- 1. vpce svc - 0 - babc04adde38218d

    ap-southeast-2

    apse2-az1
    apse2-az3
    apse2-az2

    com.amazonaws.vpce.ap东南- 2. - vpce svc - 09 - aebe448ba4abe71

    eu-central-1

    euc1-az2
    euc1-az3
    euc1-az1

    com.amazonaws.vpce.eu中央- 1. - vpce svc - 043 e028202f4cfc12

    一来就

    euw1-az1
    euw1-az2
    euw1-az3

    com.amazonaws.vpce.eu -西方- 1. - vpce svc edb7967fc4——0151288

    us-east-1

    use1-az1
    use1-az2
    use1-az3
    use1-az4
    use1-az5

    use1-az6

    com.amazonaws.vpce.us东- 1. - vpce svc - 0 - b245d99885c0eef6

    us-west-1

    usw1-az1
    usw1-az3

    com.amazonaws.vpce.us西- 1. - vpce - svc - 01 - d00c73f8b691baa

    us-west-2

    usw2-az1
    usw2-az2
    usw2-az3
    usw2-az4

    com.amazonaws.vpce.us西- 2. - vpce - svc - 08 - a10cac228921959

    ca-central-1 ca-central-1a (cac1-az1)
    ca-central-1b (cac1-az2)
    ca-central-1d (cac1-az4)
    com.amazonaws.vpce.ca中央- 1. - vpce - svc - 04 - f7ff10e97e8d23f
  2. 在AWS控制台中,转到端点>创建端点

  3. 选择选项按名称查找服务

  4. 进入区域的服务名称,然后单击验证

    重要的

    在AWS中创建的端点必须与在JFrog中创建的PrivateLink位于同一区域。

    AWS验证您输入的服务名称。

  5. 进入“VPC”下拉列表,选择对应的VPC。

  6. 选择安全组列表中,选择为出站连接打开端口443的安全组。
  7. 滚动到窗口底部并单击创建端点
    AWS创建端点,并显示带有VPC端点ID的VPC端点。
    ID的格式如下:
    vpce - 1234 abc123a123456

  8. 复制端点ID并单击关闭

  1. 登录MyJFrog。

  2. 单击安全页面。
  3. 如果你有多个JPDs,选择您希望为其设置专用连接的JPD。
  4. 选择私人联系选项卡。
    这将打开Manage Private Connections窗口(如果您已经为这个JPD配置了一个私有连接,它们将以列表的形式出现在这个选项卡中)。

  5. 点击+创建新

  6. 端点标识字段,输入您从AWS复制的ID步骤1
    验证输入的端点ID是以字母数字开头的小写字符串vpce -,例如:vpce - 1234 abc123a123456

  7. 点击创建
    管理私有连接表格您将看到配置的端点的当前状态(此过程可能需要一段时间)。一旦PrivateLink已设置,您将收到确认电子邮件和“管理私有连接”表中的status将变为连接

要向JPD添加其他端点,您需要验证所有失败的端点都是固定的。


此过程的目的是确保所有来自您自己的AWS VPC的流量都将通过PrivateLink自动路由到您的JFrog JPD(位于同一区域),而不是通过公共Internet。发送到其他JFrog域的流量,例如位于其他区域的远程JPDs,或其他JFrog服务,例如releases.jfrog.io,将继续经由公共互联网传送。

一旦您通过MyJFrog设置了AWS PrivateLink, JFrog会自动创建一个附加的域名,该域名到达您的实例,格式如下acme.pe.jfrog.io.这个域将被您的PrivateLink设置使用。例如,如果您的标准公共JFrog域是myservername.jfrog.io,则附加域将为myservername.pe.jfrog.io

如何选择在AWS中设置DNS取决于您组织的架构,其中有两个因素:

  • 哪个域名?
    • 自定义域名
    • JFrog域
  • 哪种类型的连接?
    • 从AWS VPC直接连接到JFrog VPC
    • 通过AWS从您的内部数据中心连接到JFrog VPC

为了更好地理解这些选项,我们将它们分解为下面的部分,并使用图表说明它们的工作原理。

如果您已经使用您自己的自定义域名来访问您的JFrog实例(例如,http://jfrog.your_domain_name.com),按以下步骤配置你的专用DNS。如何设置这取决于连接的类型

在此配置中,您将设置一个CNAME,指向您的公司域名,例如,jfrog.acme.com,到PrivateLink DNS名称。如果您正在使用Docker子域方法访问Docker存储库(例如,docker-reponame.myservername.acme.com),设置另一个CNAME,指向docker子域(例如,*myservername.acme.com),转到PrivateLink DNS名称。

在下面的图表中,您可以看到映射自定义域所需的步骤到端点的DNS。

在此流程中,DNS解析不是通过AWS服务执行的,而是从企业数据中心执行的。因此,您的数据中心DNS解析需要知道从自定义域名指向DNS。

当使用此选项时,您将配置您的客户端以命中PrivateLink JFrog域名(例如,acme.pe.jfrog.io)而不是你的标准域名(例如:acme.jfrog.io).

设置一个私人托管区域pe.jfrog.io,并创建指向*的DNS CNAME记录。pe.jfrog.io(或者,如果你需要的话在多个PrivateLinks中到达多个Artifactorys,用于的例子,yourcompanyname.pe.jfrog.io输入PrivateLink的DNS名称。一旦DNS记录准备好了,配置您的客户端以命中PrivateLink JFrog域名(例如,acme.pe.jfrog.io),以便它们到达您的端点(记住使用a托管区域在这里)

与自定义域选项一样,如何设置取决于连接类型

在此流程中,您将设置通过DNS从您的VPC(通过Route 53私有区域DNS)直接通过服务端点到达JFrog VPC。

在此流程中,DNS解析不是通过AWS服务执行的,而是从企业数据中心执行的。因此,您的数据中心DNS解析需要知道从JFrog域名指向DNS。

该流程涉及多个跳转,可能是大多数客户的首选。




在这一步中,您需要验证连接是否通过私有连接而不是公共Internet。要验证您的连接确实是私有的,通过打开命令提示符,输入以下命令,从VPC连接到JFrog实例,ping服务器。

Curl -v https:///artifactory/api/system/ping

例如:

旋度-v https://acme.pe.jfrog.io/artifactory/api/system/ping

验证您是否能够访问JFrog平台。如果您能够访问平台,那么您的设置就完成了。You现在应该看到您的下一跳IP前缀与本地VPC的IP前缀相同。


PrivateLink连接本身不会阻止对站点的公共访问。要阻止访问,您需要将您的公共ip添加到允许列表中。联系JFrog支持以获得更多信息。


当对您的JFrog平台执行下载请求时,您的下载可能会通过重定向到AWS S3桶来提供。因此,当您的初始请求到JFrog平台时,将通过您在中创建的PrivateLink路由步骤2并且将到达JFrog VPC,重定向到S3将到达S3通过公共互联网

如果您的AWS VPC网络策略允许出口流量通过公共互联网(例如,通过NAT网关)进入S3,则无需采取任何进一步步骤即可完成下载但是,如果您的网络不允许通过公共互联网的出口流量,或者您希望在使用S3时获得更好的性能和更低的数据传输成本,请遵循AWS的文档(w在创建网关VPC端点时,在政策,选择默认选项“完全访问”)。


  • 没有标签
版权所有©2023 JFrog Ltd。