通過PrivateLink安全訪問阿里云服務(wù)
PrivateLink能夠建立VPC與阿里云上的服務(wù)之間安全穩(wěn)定的私有連接,本文以VPC私網(wǎng)訪問OSS為例,為您介紹如何通過PrivateLink私網(wǎng)訪問阿里云服務(wù)。
背景信息
在訪問云服務(wù)的過程中,用戶常常面臨如下挑戰(zhàn):
數(shù)據(jù)安全隱憂:通過公共網(wǎng)絡(luò)訪問云服務(wù),可能導(dǎo)致敏感信息泄露,威脅數(shù)據(jù)安全。
地址空間沖突:鑒于云服務(wù)默認(rèn)占用100.64網(wǎng)段,若本地?cái)?shù)據(jù)中心(IDC)已使用同一網(wǎng)段,將不可避免地遭遇地址沖突。
運(yùn)維管控難題:傳統(tǒng)的私網(wǎng)接入方式,運(yùn)維團(tuán)隊(duì)無法單獨(dú)對訪問云服務(wù)的流量做審計(jì)。
為應(yīng)對上述挑戰(zhàn),我們推薦采用PrivateLink解決方案,其核心價(jià)值在于:
強(qiáng)化數(shù)據(jù)隱私:通過私網(wǎng)訪問機(jī)制,有效防止數(shù)據(jù)直接暴露于公網(wǎng),顯著降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。
網(wǎng)絡(luò)架構(gòu)優(yōu)化:無需繁瑣的路由配置,有效規(guī)避云上與云下地址空間沖突,簡化網(wǎng)絡(luò)管理。
增強(qiáng)訪問控制:PrivateLink支持源端鑒權(quán),精準(zhǔn)限定訪問權(quán)限,確保數(shù)據(jù)安全;同時(shí),借助VPC流日志和流量鏡像功能,可實(shí)現(xiàn)對訪問流量的全面監(jiān)控與審計(jì),進(jìn)一步提升安全性。
場景示例
本文以下圖場景為例,某公司在印度尼西亞(雅加達(dá))部署了OSS服務(wù),OSS服務(wù)中創(chuàng)建了私有的Bucket1和Bucket2,并且都上傳了Object,目前要實(shí)現(xiàn)本地?cái)?shù)據(jù)中心僅訪問OSS服務(wù)中的Bucket1。為避免敏感信息暴露公網(wǎng)、本地?cái)?shù)據(jù)中心與云服務(wù)100.64網(wǎng)段沖突等問題,您可以通過PrivateLink實(shí)現(xiàn)該私網(wǎng)訪問。
您首先需要將OSS作為終端節(jié)點(diǎn)服務(wù),在VPC中創(chuàng)建連接OSS服務(wù)的終端節(jié)點(diǎn),實(shí)現(xiàn)VPC私網(wǎng)訪問OSS,然后通過高速通道,VPN 網(wǎng)關(guān)將本地?cái)?shù)據(jù)中心與VPC連接起來,實(shí)現(xiàn)本地?cái)?shù)據(jù)中心私網(wǎng)訪問阿里云服務(wù)。
使用限制
僅華東1(杭州)、華東2(上海)、華南1(深圳)、華北2(北京)、中國香港、印度尼西亞(雅加達(dá))、新加坡地域支持通過終端節(jié)點(diǎn)私網(wǎng)訪問OSS。
終端節(jié)點(diǎn)與阿里云服務(wù)OSS必須部署在同一地域。
前提條件
已聯(lián)系OSS技術(shù)支持申請使用終端節(jié)點(diǎn)私網(wǎng)訪問OSS資源。更多信息,請參見通過終端節(jié)點(diǎn)私網(wǎng)訪問OSS資源。
已在OSS中創(chuàng)建私有的Bucket1和Bucket2,并且都上傳對應(yīng)的Object。具體操作,請參見創(chuàng)建存儲空間。
已在與OSS服務(wù)相同的地域創(chuàng)建VPC和交換機(jī),并且創(chuàng)建了ECS實(shí)例。具體操作,請參見創(chuàng)建專有網(wǎng)絡(luò)和交換機(jī),通過控制臺使用ECS實(shí)例(快捷版)。
步驟一:創(chuàng)建接口終端節(jié)點(diǎn)
在頂部菜單欄處,選擇印度尼西亞(雅加達(dá))。
在終端節(jié)點(diǎn)頁面,單擊創(chuàng)建終端節(jié)點(diǎn)。
在創(chuàng)建終端節(jié)點(diǎn)頁面,根據(jù)以下信息配置終端節(jié)點(diǎn),然后單擊確定創(chuàng)建。
此處僅列舉和本文強(qiáng)相關(guān)的配置,其余參數(shù)的配置,請參見創(chuàng)建和管理終端節(jié)點(diǎn)。
配置
說明
所屬地域
本文默認(rèn)選擇印度尼西亞(雅加達(dá))。
節(jié)點(diǎn)名稱
輸入自定義終端節(jié)點(diǎn)的名稱。
終端節(jié)點(diǎn)類型
本文選擇接口終端節(jié)點(diǎn)。
終端節(jié)點(diǎn)服務(wù)
選擇目標(biāo)終端節(jié)點(diǎn)服務(wù)。
本文先單擊阿里云服務(wù),然后選擇名稱為
com.aliyuncs.privatelink.ap-southeast-5.oss的終端節(jié)點(diǎn)服務(wù)。專有網(wǎng)絡(luò)
選擇需要創(chuàng)建終端節(jié)點(diǎn)的VPC。
安全組
選擇要與終端節(jié)點(diǎn)網(wǎng)卡關(guān)聯(lián)的安全組。
可用區(qū)與交換機(jī)
選擇VPC下的可用區(qū)與交換機(jī)。
訪問策略
選擇訪問策略,本文選擇自定義策略。本文中授予阿里云賬號123456789012****下所有的RAM用戶可以通過IP地址為172.16.0.1的ECS從
Bucket1中下載1.txt文件的權(quán)限,策略內(nèi)容示例如下所示:{ "Version": "1", "Statement": [ { "Action": [ "oss:GetObject" ], "Effect": "Allow", "Principal": { "RAM": "acs:ram::123456789012****:*" }, "Resource": [ "acs:oss:*:*:Bucket1/1.txt" ], "Condition": { "IpAddress": { "acs:SourceIp": [ "172.16.0.1" ] } } } ] }終端節(jié)點(diǎn)訪問策略能夠控制服務(wù)訪問權(quán)限,您可以用來控制哪些阿里云主體能通過終端節(jié)點(diǎn)對阿里云服務(wù)中的哪些資源執(zhí)行哪些操作,從而增強(qiáng)網(wǎng)絡(luò)安全性,保護(hù)敏感數(shù)據(jù),滿足特定的安全需求。具體操作,請參見終端節(jié)點(diǎn)策略。
創(chuàng)建完成后,您需要記錄生成的終端節(jié)點(diǎn)域名,用于后續(xù)訪問OSS服務(wù)。
步驟二:VPC私網(wǎng)訪問OSS
登錄VPC中的ECS實(shí)例。具體操作,請參見連接方式概述。
通過ossutil以終端節(jié)點(diǎn)域名的方式訪問OSS。您還可以使用SDK方式訪問OSS。具體操作,請參見SDK。
在已創(chuàng)建的ECS實(shí)例安裝1.7.17及以上版本的ossutil。具體操作,請參見安裝ossutil。
說明本文創(chuàng)建的ECS操作系統(tǒng)為Alibaba Cloud Linux 3.2104 LTS 64,在ECS中下載ossutil之前,請確保ECS具有公網(wǎng)能力。具體操作,請參見綁定和解綁彈性公網(wǎng)IP。
配置ossutil工具時(shí),Endpoint需設(shè)置為步驟一:創(chuàng)建接口終端節(jié)點(diǎn)中生成的終端節(jié)點(diǎn)域名,其他參數(shù)的配置,請參見配置ossutil。
執(zhí)行
ossutil64 cp oss://examplebucket/examplefile.txt /tmp/ -e ep-k1aid5cd5d5249e9****.oss.ap-southeast-5.privatelink.aliyuncs.com --force-path-style命令,將examplebucket中examplefile.txt文件下載到本地目錄/tmp/中。示例中通過
-e選項(xiàng)指定終端節(jié)點(diǎn)域名,使用--force-path-style選項(xiàng)指定以Path-Style的方式訪問OSS。ECS訪問Bucket1,返回結(jié)果如下:
ECS訪問Bucket2,返回結(jié)果如下:
由此可見VPC可以通過PrivateLink僅私網(wǎng)訪問OSS服務(wù)中的Bucket1。
步驟三:本地?cái)?shù)據(jù)中心連接VPC
您可以通過VPN 網(wǎng)關(guān)或高速通道(Express Connect)實(shí)現(xiàn)本地?cái)?shù)據(jù)中心和VPC之間的數(shù)據(jù)同步。具體操作,請參見DTS基于VPN網(wǎng)關(guān)實(shí)現(xiàn)本地?cái)?shù)據(jù)中心和VPC之間的數(shù)據(jù)同步,DTS通過物理專線訪問本地IDC數(shù)據(jù)庫。
相關(guān)文檔
如需了解PrivateLink的組成、應(yīng)用場景等信息,請參見什么是私網(wǎng)連接。
如需了解OSS服務(wù)的工作原理,請參見什么是對象存儲OSS。
如需了解終端節(jié)點(diǎn)策略詳細(xì)語法與結(jié)構(gòu),請參見權(quán)限策略語法和結(jié)構(gòu)。
如需在OSS中設(shè)置更多訪問控制策略,請參見訪問控制概述。
如需對流量進(jìn)行監(jiān)控,請參見監(jiān)控概述、流日志概述、流量鏡像概述。