PrivateLink：通過PrivateLink安全訪問阿里雲服務

背景資訊

在訪問雲端服務的過程中，使用者常常面臨如下挑戰：

• 資料安全隱憂：通過公用網路訪問雲端服務，可能導致敏感資訊泄露，威脅資料安全。

• 地址空間衝突：鑒於雲端服務預設佔用100.64網段，若本機資料中心（IDC）已使用同一網段，將不可避免地遭遇地址衝突。

• 營運管控難題：傳統的私網接入方式，營運團隊無法單獨對訪問雲端服務的流量做審計。

為應對上述挑戰，我們推薦採用PrivateLink解決方案，其核心價值在於：

• 強化資料隱私：通過私網訪問機制，有效防止資料直接暴露於公網，顯著降低資料泄露風險。

• 網路架構最佳化：無需繁瑣的路由配置，有效規避雲上與雲下地址空間衝突，簡化網路管理。

• 增強存取控制：PrivateLink支援源端鑒權，精準限定存取權限，確保資料安全；同時，藉助VPC流日誌和流量鏡像功能，可實現對訪問流量的全面監控與審計，進一步提升安全性。

情境樣本

本文以下圖情境為例，某公司在印尼（雅加達）部署了OSS服務，OSS服務中建立了私人的Bucket1和Bucket2，並且都上傳了Object，目前要實現本機資料中心僅訪問OSS服務中的Bucket1。為避免敏感資訊暴露公網、本機資料中心與雲端服務100.64網段衝突等問題，您可以通過PrivateLink實現該私網訪問。

您首先需要將OSS作為終端節點服務，在VPC中建立串連OSS服務的終端節點，實現VPC私網訪問OSS，然後通過Express Connect，VPN Gateway將本機資料中心與VPC串連起來，實現本機資料中心私網訪問阿里雲服務。

使用限制

• 僅華東1（杭州）、華東2（上海）、華南1（深圳）、華北2（北京）、中國香港、印尼（雅加達）、新加坡地區支援通過終端節點私網訪問OSS。

• 終端節點與阿里雲服務OSS必須部署在同一地區。

前提條件

• 已聯絡OSS支援人員申請使用終端節點私網訪問OSS資源。更多資訊，請參見通過終端節點私網訪問OSS資源。

• 已在OSS中建立私人的Bucket1和Bucket2，並且都上傳對應的Object。具體操作，請參見建立儲存空間。

• 已在與OSS服務相同的地區建立VPC和交換器，並且建立了ECS執行個體。具體操作，請參見建立專用網路和交換器，通過控制台使用ECS執行個體（快捷版）。

步驟一：建立介面終端節點

1. 登入終端節點控制台。

2. 在頂部功能表列處，選擇印尼（雅加達）。

3. 在終端節點頁面，單擊建立終端節點。

4. 在建立終端節點頁面，根據以下資訊配置終端節點，然後單擊確定建立。

   此處僅列舉和本文強相關的配置，其餘參數的配置，請參見建立和管理終端節點。

   配置	說明
   所屬地區	本文預設選擇印尼（雅加達）。
   節點名稱	輸入自訂終端節點的名稱。
   終端節點類型	本文選擇介面終端節點。
   終端節點服務	選擇目標終端節點服務。 本文先單擊阿里雲服務，然後選擇名稱為com.aliyuncs.privatelink.ap-southeast-5.oss的終端節點服務。
   專用網路	選擇需要建立終端節點的VPC。
   安全性群組	選擇要與終端節點網卡關聯的安全性群組。
   可用區與交換器	選擇VPC下的可用性區域與交換器。
   存取原則	選擇存取原則，本文選擇自訂策略。本文中授予阿里雲帳號123456789012****下所有的RAM使用者可以通過IP地址為172.16.0.1的ECS從Bucket1中下載1.txt檔案的許可權，策略內容樣本如下所示： JSON { "Version": "1", "Statement": [ { "Action": [ "oss:GetObject" ], "Effect": "Allow", "Principal": { "RAM": "acs:ram::123456789012****:*" }, "Resource": [ "acs:oss:*:*:Bucket1/1.txt" ], "Condition": { "IpAddress": { "acs:SourceIp": [ "172.16.0.1" ] } } } ] } 終端節點存取原則能夠控制服務存取權限，您可以用來控制哪些阿里雲主體能通過終端節點對阿里雲服務中的哪些資源執行哪些操作，從而增強網路安全性，保護敏感性資料，滿足特定的安全需求。具體操作，請參見終端節點策略。

   建立完成後，您需要記錄產生的終端節點網域名稱，用於後續訪問OSS服務。

   

步驟二：VPC私網訪問OSS

1. 登入VPC中的ECS執行個體。具體操作，請參見串連方式概述。

2. 通過ossutil以終端節點網域名稱的方式訪問OSS。您還可以使用SDK方式訪問OSS。具體操作，請參見SDK。

   1. 在已建立的ECS執行個體安裝1.7.17及以上版本的ossutil。具體操作，請參見安裝ossutil。

      說明

      • 本文建立的ECS作業系統為Alibaba Cloud Linux 3.2104 LTS 64，在ECS中下載ossutil之前，請確保ECS具有公網能力。具體操作，請參見綁定和解除綁定Elastic IP Address。

      • 配置ossutil工具時，Endpoint需設定為步驟一：建立介面終端節點中產生的終端節點網域名稱，其他參數的配置，請參見配置ossutil。

   2. 執行ossutil64 cp oss://examplebucket/examplefile.txt /tmp/ -e ep-k1aid5cd5d5249e9****.oss.ap-southeast-5.privatelink.aliyuncs.com --force-path-style命令，將examplebucket中examplefile.txt檔案下載到本地目錄/tmp/中。

      樣本中通過-e選項指定終端節點網域名稱，使用--force-path-style選項指定以Path-Style的方式訪問OSS。

      • ECS訪問Bucket1，返回結果如下：

        

      • ECS訪問Bucket2，返回結果如下：

        

      由此可見VPC可以通過PrivateLink僅私網訪問OSS服務中的Bucket1。

步驟三：本機資料中心串連VPC

您可以通過VPN Gateway或Express Connect實現本機資料中心和VPC之間的資料同步。具體操作，請參見DTS基於VPN網關實現本機資料中心和VPC之間的資料同步，DTS通過物理專線訪問本地IDC資料庫。

相關文檔

• 如需瞭解PrivateLink的組成、應用情境等資訊，請參見什麼是私網串連。

• 如需瞭解OSS服務的工作原理，請參見什麼是Object Storage Service。

• 如需瞭解終端節點策略詳細文法與結構，請參見權限原則文法和結構。

• 如需在OSS中設定更多存取控制策略，請參見存取控制概述。

• 如需對流量進行監控，請參見監控概述、流日誌概述、流量鏡像概述。