私網連接(PrivateLink)能夠建立專有網絡 VPC(Virtual Private Cloud)與阿里云上的服務安全穩(wěn)定的私有連接,簡化網絡架構,實現(xiàn)私網訪問服務,避免通過公網訪問服務帶來的潛在安全風險。
私網連接簡介
PrivateLink是利用阿里云的私有網絡進行服務交互的一種方式。利用PrivateLink,用戶可以通過私有網絡單向訪問部署在其它云服務,無需創(chuàng)建NAT網關(NAT Gateway)、彈性公網 IP EIP(Elastic IP Address)等公網出口。交互數(shù)據不會經過互聯(lián)網,有更高的安全性和更好的網絡質量。
應用場景
PrivateLink能夠實現(xiàn)終端節(jié)點所在的VPC與阿里云上的終端節(jié)點服務建立安全穩(wěn)定的私有連接,配置靈活,可滿足不同的應用場景。
將云服務共享給其他VPC
將VPC內的云服務共享給其他VPC
您可以使用PrivateLink將一個VPC內的負載均衡服務資源共享給另外一個VPC,實現(xiàn)跨VPC私網訪問負載均衡服務資源。
如下圖所示,要實現(xiàn)通過VPC1中的終端節(jié)點私網訪問VPC2中部署的負載均衡服務資源,您需要將負載均衡作為服務資源加入到終端節(jié)點服務中,然后在VPC1中創(chuàng)建連接該服務的終端節(jié)點,實現(xiàn)通過終端節(jié)點私網訪問負載均衡服務資源。
私網安全訪問阿里云服務
您可以在PrivateLink中,私網安全訪問阿里云服務。
如下圖所示,要實現(xiàn)通過VPC中的終端節(jié)點私網訪問OSS,您需要將OSS作為終端節(jié)點服務,然后在VPC中創(chuàng)建連接該服務的終端節(jié)點并設置終端節(jié)點策略,實現(xiàn)私網安全訪問OSS。
將云服務共享給本地數(shù)據中心
您可以使用PrivateLink將一個VPC內的服務資源共享給本地數(shù)據中心,實現(xiàn)云下私網訪問云上資源。
如下圖所示,要實現(xiàn)在本地數(shù)據中心私網訪問VPC2中部署的負載均衡服務資源,您需要先將VPC2內的負載均衡服務資源共享給VPC1,然后通過專線、VPN網關將本地數(shù)據中心與VPC1連接起來,實現(xiàn)本地數(shù)據中心私網訪問云上負載均衡服務資源。
基本概念
使用PrivateLink前,您需要了解以下概念。
術語 | 說明 |
終端節(jié)點(Endpoint) | 終端節(jié)點可以與終端節(jié)點服務相關聯(lián),以建立VPC通過私網訪問外部服務的網絡連接。終端節(jié)點由服務使用方創(chuàng)建和管理。 |
終端節(jié)點網卡(Endpoint ENI) | 終端節(jié)點網卡是終端節(jié)點訪問終端節(jié)點服務的入口。 |
終端節(jié)點安全組(Endpoint Security Group) | 安全組可以管控VPC到終端節(jié)點網卡的數(shù)據通信,終端節(jié)點至少要加入一個安全組。指定安全組后,終端節(jié)點下的所有網卡都將加入到安全組中。 |
終端節(jié)點服務(Endpoint Service) | 終端節(jié)點服務是可以被其他VPC通過創(chuàng)建終端節(jié)點建立私網連接的服務。終端節(jié)點服務由服務提供方創(chuàng)建和管理。 |
服務資源(Service Resources) | 服務資源是終端節(jié)點服務中可以被終端節(jié)點訪問的資源。 說明
|
服務白名單(Service Whitelist) | 服務白名單可以控制允許訪問服務資源的用戶范圍。 創(chuàng)建終端節(jié)點服務后,系統(tǒng)自動將服務所有者的阿里云賬號ID添加到服務白名單中。服務白名單中的用戶可以查詢到該終端節(jié)點服務,也可以創(chuàng)建與該終端節(jié)點服務連接的終端節(jié)點。如果您希望其他賬號下的VPC訪問服務,您需要將該阿里云賬號ID添加到服務白名單中。 |
終端節(jié)點連接(Endpoint Connection) | 終端節(jié)點與終端節(jié)點服務之間建立的連接。 |
相關組件
PrivateLink主要包含服務使用方和服務提供方的相關組件。
相關主體 | 相關組件 |
服務使用方 |
|
服務提供方 |
|
PrivateLink開通時不產生費用。開通成功后,根據實際使用量進行計費,按每小時出賬。費用包含實例費和流量處理費。更多信息,請參見計費說明。
PrivateLink的服務使用方和服務提供方可以是不同的阿里云賬號,也支持將所產生的費用歸入服務使用方或者服務提供方的賬號進行出賬。更多信息,請參見付費方說明。
產品優(yōu)勢
私網通信
通過私網連接訪問終端節(jié)點服務,訪問流量均在阿里云內網轉發(fā),網絡封閉,不會通過公網,避免了通過公網訪問服務帶來的潛在安全風險。
網絡獨立
服務提供方和服務使用方雙方網絡獨立,提高網絡可靠性。
安全可控
通過PrivateLink訪問云服務,可以對VPC網絡中用于訪問服務的彈性網卡添加安全組規(guī)則,提供更強的安全保障和控制手段。
通過PrivateLink訪問云服務,可以通過設置終端節(jié)點策略進行源端鑒權,提供可控的、更安全的私網訪問。
低延遲和高質量
通過PrivateLink訪問云服務,訪問請求會在同可用區(qū)內轉發(fā),提供最優(yōu)延時方案。
管理簡單
靈活的跨賬號和跨VPC服務訪問方式,避免復雜的路由和安全配置。
實時監(jiān)控與分析
支持流日志功能,可以記錄終端節(jié)點網卡傳入和傳出的流量信息,確保網絡通信的透明性和可控性。
PrivateLink與VPC對等連接的區(qū)別
類別 | PrivateLink | VPC對等連接 |
被訪問的資源 | 僅終端節(jié)點服務中的服務資源(負載均衡)等可以被訪問 | VPC內的所有資源均可以被訪問 |
通信方向 | 單向通信,僅支持終端節(jié)點所在VPC訪問終端節(jié)點服務中的資源 | 建立對等連接的兩個VPC雙向通信 |
CIDR重疊 | 支持。 建立私網連接的兩個VPC網段可以重疊且互不影響 | 不支持。 建立對等連接的兩個VPC的網段必須沒有重疊 |
路由配置 | 系統(tǒng)自動為建立私網連接的兩個VPC配置路由,無需再手動配置 | 需要手動在VPC對等連接的兩端添加指向對端的路由條目以管理流量 |
訪問PrivateLink
通過注冊阿里云賬號,您可以通過以下方式訪問和管理PrivateLink:
PrivateLink控制臺:具有交互式操作的Web服務頁面,幫助您完成私網訪問服務的操作。
OpenAPI開發(fā)者門戶:提供快速檢索接口、在線調用API和動態(tài)生成SDK示例代碼等服務。
相關文檔
如需了解PrivateLink的終端節(jié)點和終端節(jié)點服務的默認配額、配額調整的說明,以及IP版本、協(xié)議和后端服務類型的限制,請參見配額與限制。
如需了解PrivateLink支持的地域和可用區(qū),請參見支持私網連接的地域和可用區(qū)。