更新时间:2025-09-16 GMT+08:00
内网安全访问概述
操作场景
用户在使用软件开发生产线(CodeArts)时,部分用户对网络安全有以下隔离要求:
- 企业将内网和公网进行了隔离,希望通过虚拟私有云(Virtual Private Cloud,VPC)的终端节点(Endpoint)来访问公有云上的CodeArts。
- 公有云上的CodeArts可以屏蔽互联网公网的访问,避免员工离开企业内网后在家中或其他环境可以获取研发资产。
基于用户以上的隔离需求,CodeArts提供“全内网安全访问”功能,如下图所示,此功能具备以下关键能力:
- 通过华为云虚拟私有云的终端节点(VPCEP),企业可通过虚拟专有网络(Virtual Private Network,VPN)或专线安全访问和使用CodeArts。
- 屏蔽互联网公网访问CodeArts Web页面、Open API,仅允许来自特定VPCEP ID的访问流量通过。
- 屏蔽代码托管(CodeArts Repo)、制品仓库(CodeArts Artifact)的互联网公网下载和上传,仅允许来自特定VPCEP ID的访问流量通过。
图1 概要示意图
约束限制
- “全内网安全访问”功能当前仅支持以下区域。
- 华北-北京四
- 华南-广州
- 完成本操作需要使用华为云账号,或者拥有“Tenant Administrator”角色权限的IAM用户。
管理员为IAM用户授予Tenant Administrator角色权限的操作方法请参考创建用户组并授权。
- 完成全内网安全访问配置后,编译构建(CodeArts Build)、部署(CodeArts Deploy)、流水线(CodeArts Pipeline)只能使用VPC中的自定义执行机执行任务。在CodeArts中配置自定义执行机的操作指导请参考管理CodeArts资源池。
操作流程
配置内网安全访问CodeArts的流程如下。
图2 操作流程
|
步骤 |
说明 |
|---|---|
|
步骤一:打通企业内网专线 |
|
|
步骤二:屏蔽互联网公网 |
当用户有VPCEP和VPC之后,继续添加访问控制策略,限制用户只能通过设定的VPCEP ID访问CodeArts。 |
|
步骤三:本地配置访问CodeArts |
在屏蔽互联网公网后,用户将CodeArts内网访问地址配置在本地hosts文件后,才能够通过内网访问CodeArts。 |
相关文档
使用自定义执行机执行任务请参考:
- 编译构建:
- 部署:
- 流水线:
