PrivateLink能夠建立Virtual Private Cloud (VPC)與阿里雲上的服務安全穩定的私人串連,簡化網路架構,實現私網訪問服務,避免通過公網訪問服務帶來的潛在安全風險。
私網串連簡介
PrivateLink是利用阿里雲的私人網路進行服務互動的一種方式。利用PrivateLink,使用者可以通過私人網路單向訪問部署在其它雲端服務,無需建立NAT Gateway(NAT Gateway)、Elastic IP Address (EIP)等公網出口。互動資料不會經過互連網,有更高的安全性和更好的網路品質。
應用情境
PrivateLink能夠實現終端節點所在的VPC與阿里雲上的終端節點服務建立安全穩定的私人串連,配置靈活,可滿足不同的應用情境。
將雲端服務共用給其他VPC
將VPC內的雲端服務共用給其他VPC
您可以使用PrivateLink將一個VPC內的負載平衡服務資源共用給另外一個VPC,實現跨VPC私網訪問負載平衡服務資源。
如下圖所示,要實現通過VPC1中的終端節點私網訪問VPC2中部署的負載平衡服務資源,您需要將負載平衡作為服務資源加入到終端節點服務中,然後在VPC1中建立串連該服務的終端節點,實現通過終端節點私網訪問負載平衡服務資源。
私網安全訪問阿里雲服務
您可以在PrivateLink中,私網安全訪問阿里雲服務。
如下圖所示,要實現通過VPC中的終端節點私網訪問OSS,您需要將OSS作為終端節點服務,然後在VPC中建立串連該服務的終端節點並設定終端節點策略,實現私網安全訪問OSS。
將雲端服務共用給本地資料中心
您可以使用PrivateLink將一個VPC內的服務資源共用給本機資料中心,實現雲下私網訪問雲上資源。
如下圖所示,要實現在本機資料中心私網訪問VPC2中部署的負載平衡服務資源,您需要先將VPC2內的負載平衡服務資源共用給VPC1,然後通過專線、VPN網關將本機資料中心與VPC1串連起來,實現本機資料中心私網訪問雲上負載平衡服務資源。
基本概念
使用PrivateLink前,您需要瞭解以下概念。
術語 | 說明 |
終端節點(Endpoint) | 終端節點可以與終端節點服務相關聯,以建立VPC通過私網訪問外部服務的網路連接。終端節點由服務使用方建立和管理。 |
終端節點網卡(Endpoint ENI) | 終端節點網卡是終端節點訪問終端節點服務的入口。 |
終端節點安全性群組(Endpoint Security Group) | 安全性群組可以管控VPC到終端節點網卡的資料通訊,終端節點至少要加入一個安全性群組。指定安全性群組後,終端節點下的所有網卡都將加入到安全性群組中。 |
終端節點服務(Endpoint Service) | 終端節點服務是可以被其他VPC通過建立終端節點建立私網已連線的服務。終端節點服務由服務提供者建立和管理。 |
服務資源(Service Resources) | 服務資源是終端節點服務中可以被終端節點訪問的資源。 說明
|
服務白名單(Service Whitelist) | 服務白名單可以控制允許訪問服務資源的使用者範圍。 建立終端節點服務後,系統自動將服務所有者的阿里雲帳號ID添加到服務白名單中。服務白名單中的使用者可以查詢到該終端節點服務,也可以建立與該終端節點服務串連的終端節點。如果您希望其他帳號下的VPC訪問服務,您需要將該阿里雲帳號ID添加到服務白名單中。 |
終端節點串連(Endpoint Connection) | 終端節點與終端節點服務之間建立的串連。 |
相關組件
PrivateLink主要包含服務使用方和服務提供者的相關組件。
相關主體 | 相關組件 |
服務使用方 |
|
服務提供者 |
|
PrivateLink開通時不產生費用。開通成功後,根據實際使用量進行計費,按每小時出賬。費用包含執行個體費和流量處理費。更多資訊,請參見計費說明。
PrivateLink的服務使用方和服務提供者可以是不同的阿里雲帳號,也支援將所產生的費用歸入服務使用方或者服務提供者的帳號進行出賬。更多資訊,請參見付費方說明。
產品優勢
私網通訊
通過私網串連訪問終端節點服務,訪問流量均在阿里雲內網轉寄,網路封閉,不會通過公網,避免了通過公網訪問服務帶來的潛在安全風險。
網路獨立
服務提供者和服務使用方雙方網路獨立,提高網路可靠性。
安全可控
通過PrivateLink訪問雲端服務,可以對VPC網路中用於訪問服務的彈性網卡添加安全性群組規則,提供更強的安全保障和控制手段。
通過PrivateLink訪問雲端服務,可以通過設定終端節點策略進行源端鑒權,提供可控的、更安全的私網訪問。
低延遲和高品質
通過PrivateLink訪問雲端服務,訪問請求會在同可用性區域內轉寄,提供最優延時方案。
管理簡單
靈活的跨帳號和跨VPC服務訪問方式,避免複雜的路由和安全配置。
即時監控與分析
支援流日誌功能,可以記錄終端節點網卡傳入和傳出的流量資訊,確保網路通訊的透明性和可控性。
PrivateLink與VPC對等串連的區別
類別 | PrivateLink | VPC對等串連 |
被訪問的資源 | 僅終端節點服務中的服務資源(負載平衡)等可以被訪問 | VPC內的所有資源均可以被訪問 |
通訊方向 | 單向通訊,僅支援終端節點所在VPC訪問終端節點服務中的資源 | 建立對等串連的兩個VPC雙向通訊 |
CIDR重疊 | 支援。 建立私網串連的兩個VPC網段可以重疊且互不影響 | 不支援。 建立對等串連的兩個VPC的網段必須沒有重疊 |
路由配置 | 系統自動為建立私網串連的兩個VPC配置路由,無需再手動設定 | 需要手動在VPC對等串連的兩端添加指向對端的路由條目以管理流量 |
訪問PrivateLink
通過註冊阿里雲帳號,您可以通過以下方式訪問和管理PrivateLink:
PrivateLink控制台:具有互動式操作的Web服務頁面,協助您完成私網訪問服務的操作。
阿里雲SDK:提供Java、Go、PHP、Python、C#、C++等多種程式設計語言的SDK。
OpenAPI開發人員門戶:提供快速檢索介面、線上調用API和動態產生SDK範例程式碼等服務。
相關文檔
如需瞭解PrivateLink的終端節點和終端節點服務的預設配額、配額調整的說明,以及IP版本、協議和後端服務類型的限制,請參見配額與限制。
如需瞭解PrivateLink支援的地區和可用性區域,請參見支援私網串連的地區和可用性區域。