直达最佳实践:【https://bp.aliyun.com/detail/186】
观看视频:【https://yqh.aliyun.com/live/detail/23853】
阿里云最佳实践目前已覆盖23类常用场景,有200多篇最佳实践,这其中涉及110款以上阿里云产品的最佳使用场景。目前,最佳实践已成功帮助大量客户实现自助上云。
分享人:解决方案架构师-毕役
本篇内容将通过三个部分来介绍通过私网访问云服务最佳实践。
一、最佳实践架构讲解
二、PrivateLink核心能力介绍
三、最佳实践系统搭建
一、最佳实践架构讲解
我们先来看场景要求,如果通过公网方式服务,提供方需要暴露公网访问入口,容易受到攻击,存在安全隐患,网络质量无法得到可靠保障。而使用方需要开启攻防能力。使用阿里云PrivateLink,就可以通过私网访问其他VPC提供的服务,无需创建NAT网关和EIP。更好地保障安全性和网络质量。
我们通过PrivateLink的使用方式来理解一下PrivateLink的使用原理。首先,VPC2作为服务端创建支持PrivateLink的负载均衡。再创建终端节点服务,将负载均衡实例添加为服务资源。然后VPC1作为客户端,创建终端节点,与终端节点服务建立私有连接之后,VPC1内的ECS就可以通过访问终端节点而访问到VPC2的负载均衡提供的服务。终端节点和终端节点服务要求为同一个机房,支持跨账号连接。
对比过往的方式,PrivateLink方案优势如下。第一,流量不离开阿里云私网,大大减少数据泄露可能性。第二,无需开启公网访问,节约出公网带宽成本。第三,内网通信,稳定性更高。第四,无需担心地址冲突,简化网络管理。
PrivateLink解决的是VPC之间的私网通信。私网调用阿里云open API也有两种可选方案。第一种方案,默认阿里云产品服务提供的接入地址为公网地址。若专有网络VPC类型的ECS实例没者公网访问能力。既没有分配公网IP,也没有设置SNAT。则无法使用阿里云CLI或者SDK等工具发起API请求。实现私网API功能调用。
第二种方案,除了在代码里显示指定接入地址Endpoit参数,确定API调用网络路径之外。还可以通过PrivateZone的域名解析功能。将云产品公网接入地址Endpoit,解析到所属地域的云产品服务统一网关。云产品服务统一网关会通过私网路由到对应的云产品服务。这种方法要求客户了解云产品的公网接入点,且需要手动做PrivateZone配置。这部分会产生少量的费用,部分云产品的使用情况也有些复杂,所以阿里云推荐此方案作为备选。
二、PrivateLink核心能力介绍
接下来为大家介绍PrivateLink产品的核心能力。越来越多的企业在拥抱云计算,在这过程当中,企业的网络建设也面临各种各样的挑战。在内部,企业的业务和组织在不断的发展变化。这要求网络也要适应这种变化。这给云上网络的规划和运维带来了很大的挑战。因为变更会带来更多的故障可能。所以网络作为最重要的基础设施,一旦出现问题,将会对上层应用带来巨大的影响。不同业务之间,相互访问策略也越来越复杂,这些安全策略的调整也会影响到业务。
同时,企业外部的生态也在不断的发展变化。如何控制企业内部的用户能够访问,使用哪些外部的服务?以及如何安全便捷的,将应用发布给外部客户使用?如何保证数据的安全传输?防止在传输的过程中被窃取,是企业最关心的问题。
私网连接的PrivateLink能够帮助您在阿里云VPC中通过私有网络,安全稳定的访问部署在其它VPC中的服务,大幅简化网络架构,同时避免通过公网访问服务所带来的安全风险。
当服务的提供方需要将自己的VPC中的服务集群提供给客户访问的时候,他可以创建一个私网连接的终端节点服务,关联到这个服务集群。服务的使用方就可以根据这个服务的标识来创建各自的VPC终端节点,连接到对应的服务上。这时,服务的提供方可以自动或手工接收用户的连接请求。链接之后,用户就可以通过阿里云的内网单向地访问这个服务。从而构建一个全新的云上做服务私网连接的模式。
对于服务的提供方而言,可以通过管理终端节点服务来控制对外发布的服务。在通讯过程中,服务提供方也可以获取客户端的相关信息。对于服务使用方,可以通过创建终端节点连接到所需的服务,并且通过安全组和网络ACL控制服务访问的访问策略。私网连接还给双方提供了强大的流量监控功能。
在服务使用方的监控维度,我们为服务使用方提供了每一个终端节点的可用区,终端节点网卡的双向流量,包统计以及丢包统计。对于服务的提供方而言,可以对每一个终端节点的服务,连接以及服务资源所关联的可用区等,进行流量,包速率以及丢包统计。
私网连接可以帮助企业更加方便的构建服务化的云上网络。同时,为云上的应用生态发展提供便利。私网连接可以提供更好的网络传输的安全性,更强的服务连接控制,以及访问控制的能力。私网连接可以对特定的服务资源进行单向访问。网络时延更低,网络质量更稳定。私网连接也支持多可用区的高可用,简化企业的网络管理。
接下来,我们看几个应用场景。首先。企业服务总线的使用场景。私网连接可以在不改变原有的组网的情况下,直接通过私网连接PrivateLink实现不同业务间的服务访问。每一个业务都可以使用自己完全独立的网络相互之间没有干扰。
私网连接如何帮助阿里云的用户进行云上生态的互联?有了私网连接,将服务通过私网连接的方式发布给特定用户使用。用户可以通过私网连接到特定服务上。通过这种方式,服务的发布范围都是安全可控的。
私网连接是全新的云上服务的保障方式。它可以和阿里云的其他产品来配合使用,满足各种业务场景的需要。图中我们可以看到,RegionB的VPC可以通过CEN或者CEN-TR访问到Region A中某个VPC中的一个服务的终端节点。
我们可以应用混合运产品。比如,阿里云提供的高速通道的专线或者智能接入网关,将线下分支和云上打通。线下的分支也能通过私网来访问云上的服务和应用。如果利用SAG APP产品,我们也可以满足移动办公场景一下,通过端到端的私有网络来访问云上服务,提供更好的安全性。
三、最佳实践系统搭建<br/>
- 首先,登录帮助文档,找到PrivateLink产品。查看当前支持地域和可用区。
- 我们选择深圳可用区D和E。首先,创建两个VPC。一个运作服务端,一个应用客户端。
- 然后,我们创建支持PrivateLink的负载均衡。要选择正确的可能区。目前,只有按量和私网类型才有支持PrivateLink功能。
- 然后,创建服务器ECS,终端节点服务,安全组,终端节点。
- 创建成功之后,我们需要到终端节点服务里允许终端节点连接。将已经编写的脚本上传到服务器上。之后再进行测试和补充就完成了实例的系统搭建。