产品介绍
私网连接(PrivateLink)能够帮助您在阿里云 VPC 中通过私有网络,安全稳定的访问部署在其它 VPC 中的服务,大幅简化网络架构,同时避免通过公网访问服务带来的安全风险。
核心优势:
安全的网络传输
流量不会离开阿里云内网,大大减少数据泄露的可能性
服务本身的发布和访问都是在 VPC 中进行,避免了公网攻击等网络安全问题
可控的服务访问
提供方可以精确控制连接建立和连接带宽,使用方可以利用 NACL、安全组等控制服务的访问
单向访问服务特定服务资源,降低双方风险
各个连接相互独立,互不干扰
超低的网络时延
支持同可用区的服务访问,时延可控,质量更好
支持多可用区高可用能力
极简的网络管理
保持双方网络独立,无需担心地址冲突,无需配置复杂的路由和安全策略
支持跨账号服务访问,简化账号管理
产品客户类型
企业客户
组织架构和业务比较复杂,网络需要根据业务进行调整。不同业务之间的服务需要以安全的方式进行相互访问
需要与外部的供应商或客户进行安全可靠的服务互访,对于数据的安全性或时延有较高的要求
生态合作伙伴
为阿里云用户提供 SaaS/PaaS 服务,对数据的安全性,或者服务的访问时延有较高要求。例如,金融交易、大数据、人工智能、企业ERP等服务提供商
精心打造的功能
通过私网发布云上服务
三个步骤将 VPC 中的服务集群通过私网发布给用户
• 创建服务集群:通过私网 SLB 创建一个可伸缩的高可用服务集群
• 创建终端节点服务:创建私网连接服务,并将之前的私网 SLB 作为服务资源加入
• 将服务 ID 提供给用户:将所创建的终端节点服务 ID 提供给用户,便于他们通过私网连接访问
安全连接云上私网服务
三个步骤连接到通过私网连接发布的服务
• 创建终端节点:用户根据服务 ID 创建终端节点,并选择需要访问的可用区和 vSwitch,作为服务的入口
• 接受服务连接请求:服务提供方可以手工接受连接请求,或者通过白名单自动接受连接请求
• 配置安全策略:配置终端节点的安全组和网络 ACL 等安全策略,控制对服务的访问
多种服务访问方式
提供了多种服务访问方式,满足不同场景下对于高可用和时延的要求
• 通过终端节点域名访问:访问包含多个可用区的终端节点域名,支持多可用区高可用和同可用区优先访问能力
• 通过终端节点可用区域名和IP访问:通过可用区域名或者 IP 访问特定可用区的服务入口,用户可以利用自身的业务探测实现多可用区高可用,或者访问指定可用区中的服务资源
丰富的带宽和连接监控能力
给服务的双方都提供了各种维度的流量监控能力
• 服务使用方监控维度:包括每个终端节点、终端节点可用区、终端节点可用区网卡的双向流量、包速率和丢包统计
• 服务提供方监控维度:包括每个终端节点服务、终端节点连接、终端节点服务资源、关联的终端节点、关联的终端节点可用区,以及关联的终端节点网卡的双向流量、包速率和丢包统计
全面的安全保护和管理能力
给服务双方都提供了全面的安全保护和安全管理能力
• 终端节点访问保护:支持通过安全组和网络 ACL 控制对终端节点的访问策略
• 单向的服务访问:只允许用户主动访问服务方的服务,服务方不能反向访问用户网络,保护用户侧网络的安全
• 只允许访问特定服务资源:用户只能够访问服务方特定的 SLB 服务集群,无法访问服务方 VPC 中其它资源,保护服务方网络安全
• 单个连接的保护限速:服务方可以限制单个连接的最大带宽,防止单个用户带宽过大或 DoS 攻击
使用场景
企业级服务总线
• 不同业务线/组织的服务互访:随着企业组织和业务的不断发展,这些业务或者组织之间的服务需要相互进行访问。可以使用私网连接提供这些服务之间的互访能力,而无需将网络直接连通
• 与外部合作伙伴之间的服务互访:不同的企业之间,也可以通过私网连接进行服务的相互访问。例如外部合作伙伴需要访问企业内部服务时,可以通过私网连接将服务发布给特定伙伴访问
• 解决地址冲突问题:企业的网络在发展过程中,不可避免会出现网段冲突的情况。即使服务双方的 VPC 网段冲突,仍然可以使用私网连接进行服务的互访
云上私网SaaS服务生态
• 私网服务发布:能够将 SaaS 服务通过私网连接发布给特定客户使用,避免公网中服务被劫持的风险
• 数据安全保护:无需通过公网,数据只会在同机房传输,大大降低数据传输过程中被窃取的风险
• 连接管理和监控能力:可以精确控制每个用户的连接,并且可以为不同用户分配不同的服务资源
• 更高的性价比:成本远低于公网,并且可以提供更大的带宽和更低的时延,以及更好的弹性
和阿里云现有产品关系
• 可以与云企业网配合使用,满足跨地域服务访问和服务发布等场景的需要
• 可以与智能接入网关、VPN 网关、高速通道等混合云产品配合使用,满足线下分支或移动办公访问云上服务等场景的需要
产品供货
• 中国站和国际站同时支持
• 当前支持地域包括:北京、上海、杭州、深圳、张家口、河源、乌兰察布、香港、新加坡、伦敦、德国、吉隆坡
• 预计 3 月底完成所有 Region 发布
产品文档
产品详情页:https://www.aliyun.com/product/network/privatelink
帮助文档:https://help.aliyun.com/product/120462.html
常见问题答疑
问:私网连接与云企业网等有什么区别和联系?
答:私网连接用于不同 VPC 之间的私网服务访问,无需把网络直接连通,也无需进行路由配置。云企业网主要用于多个 VPC的网络连接组网,需要进行路由的配置。私网连接可以与云企业网等其他产品配合使用,满足更加复杂的场景要求。例如可以通过组合使用私网连接、云企业网以及混合云产品,满足全球跨地域的服务访问,以及线下分支和移动办公访问云上服务的需要。
问:私网连接的适用场景和核心能力是什么?
答:私网连接适用于不同 VPC 之间需要相互访问服务的场景。使用私网连接无需将服务双方的网络直接连通,保持了服务双方网络的独立性和封闭性。这一方面大大简化了双方的网络配置,也大大提升了服务的安全性。这对于复杂企业的服务互访,以及云上的应用生态有非常大的帮助。
问:私网连接能否支持跨地域的服务访问?
答:私网连接只做同 AZ 的流量转发。如果需要访问其它地域的服务,可以结合云企业网一起使用。