企业级私网互联方案
方案概述
私网互联解决方案,主要依赖与阿里云私网连接PrivateLink产品,根据用户的实际业务场景,快速搭建起来企业内、企业间、多企业间的数据共享服务。提供更简单、更快捷、体验更好的服务和访问体验。
方案优势
数据安全有保障
私网连接PrivateLink内的数据在阿里云内网传输,避免走公网被盗窃、被攻击。
数据访问更稳定
建立私网连接后,数据传输基于阿里云全球内网,相比与公网数据传输更稳定、用户体验更好。
管理更简单
使用私网连接进行数据共享,网络的规划、配置、管理更简单,可以低成本快速开通数据对外服务。
客户场景
企业内部共享数据服务
场景描述
大型集团公司,内部多子公司,需要共同访问集团的共享业务系统,但子公司之间网络需要隔离。
大型企业,内部多项目并行,每个项目都有开发、测试、预发等环境,需要调用共有的资源平台数据接口。
客户痛点
网络复杂:多张网络无论是部分打通、还是整体合并,带来的管理复杂度都会提升;而且不能统一规划;甚至有可能触碰其他限制,影响现有业务的互通。
无法分账:共享服务产生的费用,希望由子公司各自承担起来,但是网络层打通,无法进行资源使用分账。
统一规划困难:集团统一规划架构,但是子公司需求各异,执行起来比较困难。
适用客户
需要网络隔离管控,不希望采用网络直接打通及部署多份数据等方式访问共享数据的大型企业客户,如国企、多子公司、集团控股企业等。
企业间数据安全访问
场景描述
公司A和公司B因为业务发展需要,进行合作共创,需要快速投入抢占市场和用户,并需要有数据共享和业务接口相互调用,但考虑到数据安全性,不希望双方的网络直接互通。
客户痛点
商机瞬息万变,时间就是生命,生产和服务数据共享涉及的组织复杂、架构复杂、实施复杂。
若直接通过互联网访问数据容易被恶意窃取或被攻击。
若直接进行内网打通,需要各自配置前置的数据交换VPC,在两个前置VPC之间peer,并且在业务VPC和前置VPC之间配置复杂的安全访问策略,配置复杂、维护困难、成本高昂。
适用客户
在企业间有数据安全访问诉求的企业客户,希望能够按需、快速打通基础环境,并能够低成本管理和维护的孵化型、共创型云上企业等。
ISV对外提供租户式数据访问服务
场景描述
阿里云上的ISV服务提供商,面向其海量的客户群体提供服务,要求可以对客户提供安全、稳定的服务输出,且客户之间无影响、无感知。例如大数据平台公司,会有各种最新的行业资讯、技术学习、文献数据、市场分析、排名数据、个性化数据分析等,有大量的第三方公司和机构进行有偿使用平台上的数据。
客户痛点
数据安全隐患:若直接通过互联网访问数据容易存在恶意窃取及被攻击风险。
公网成本高:用户数量大量增长后公网的带宽成本高昂。
管理困难:若进行内网打通,需要各自配置前置的数据交换VPC,所有前置VPC通过CEN打通路由,但是需要做负责的路由策略进行客户之间的隔离,配置复杂,管理困难。
用户体验差:客户访问开通慢,遇到网购节日或公网拥塞,用户的体验差、影响用户存留。
适用客户
需要向客户提供安全稳定数据服务的ISV服务提供商,例如互联网金融服务、大数据服务商、物联网服务商、数据存储服务商、广告营销服务商等。
云上业务方对线下客户提供数据服务
场景描述
客户的数据服务资源部署在云上,希望:
给公司内的线下IDC业务系统提供访问服务。
给集团内兄弟公司提供服务。
给外部合作伙伴公司提供数据访问服务。
适用客户
需要在云上向IDC业务系统、兄弟公司及合作伙伴提供数据访问服务的企业客户。
客户案例
客户背景
某SaaS服务提供商为国内知名交通行业数据服务提供商,需要为其企业用户以更安全的方式提供实时的交通出行相关数据服务。客户的主要系统都部署在阿里云上,原先通过跨账号网络连接的方式与用户网络打通,运维和安全管理压力很大,迫切需要一种更加方便安全的服务连接方案。
客户痛点
安全隐患:不同网络之间的安全隔离策略复杂,存在安全隐患。
配置复杂:需要考虑不同客户网络的地址冲突问题。
运维困难:分工边界不清晰,出现问题排查困难。
开通周期长:无标准化方案,每个项目都需要单独设计。
实施方案
客户收益
安全边界更清晰:用户网络和供应商网络完全隔离。
运维方式更简单:无需考虑地址规划问题,不同网络的运维相互不干扰。
业务开通更便捷:通过标准化云服务发布,用户可以自助接入,服务开通时间从原先的数周缩短到最快1小时。
方案架构
整体架构
各组件用途与使用说明:
构成组件 | 用途和使用说明 |
数据提供端 | 需要通过阿里云SLB挂在提供数据服务的ECS集群,用来对外提供数据服务 |
数据访问端 | 可以是同账号/跨账号下的也许系统发起的数据调用,也可以是个人访问者发起的数据调用。访问端可以通过域名发起方案,也可以通过IP发起访问。 |
私网互联通道 | 主要通过配置PrivateLink产品,把服务端的数据通过私网通道提供给访问端,提供高效、安全的访问体验。 |
安全隔离 | 访问端安全隔离:通过安全策略控制,只有匹配策略访问端才能到达访问入口; 服务端安全隔离:通过白名单机制,只有匹配白名单的访问端才能发起私网连接申请; |
企业内部共享数据服务架构
集团需要对外提供服务的业务VPC作为PrivateLink服务端,按需白名单所有需要访问该系统的子公司、项目等,子公司、项目等作为访问端,按需发起服务访问。
企业间数据安全访问架构
根据数据调用的方向,两个公司分别在自己的服务资源VPC中创建终端节点服务,对方公司按需创建终端节点,并向对象发起数据访问。如果多个公司之间数据服务,一个终端节点服务可以被多个对方公司提供数据访问服务。
ISV对外提供租户式数据访问服务架构
ISV服务提供商直接部署终端节点服务,关联对外提供服务的资源集群,按需添加访问端白名单;其客户作为访问端,创建终端节点并发起服务连接,进行服务访问。
云上业务对线下客户提供数据服务架构
可以通过专线、智能接入网关SAG、VPN网关把线下机构和云上终端节点VPC打通,实现线下也可以通过PrivateLink私网访问云上的服务资源。
产品费用及名词
产品费用
产品名称 | 产品说明 | 产品费用 |
私网链接PrivateLink | 私网连接(PrivateLink)能够实现专有网络VPC与阿里云上的服务建立安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。 | 收费,详情参见产品计费。 |
云企业网CEN | 云企业网CEN(Cloud Enterprise Network)是运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR(Transit Router)帮助您在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,为您打造一张灵活、可靠、大规模的企业级云上网络。 | 是否收费取决于网络实例类型和网络实例地域,详情参见产品计费。 |
专有网络VPC | 专有网络VPC(Virtual Private Cloud)是您专有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源,如云服务器、云数据库RDS和负载均衡等。 | 本身免费,详情参见产品计费。 |
负载均衡SLB | 负载均衡SLB(Server Load Balancer)是一种对流量进行按需分发的服务,通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力,并且可以消除系统中的单点故障,提升应用系统的可用性。 | 收费,详情参见产品计费。 |
安全性
PrivateLink安全性
PrivateLink需要获取访问其它云服务相关权限,详情参见服务关联角色。
通过RAM的权限管理功能,创建相应的权限策略,从而对PrivateLink进行权限管理,以满足RAM用户操作PrivateLink的多种需求,详情参见使用RAM对私网连接进行权限管理。
访问端管控详情参见加入安全组。
服务端管控详情参见管理服务白名单。
VPC安全性
专有网络VPC具有安全可靠、灵活可控、灵活可用以及较强的可扩展性,详情参见产品优势及访问控制。
注意事项
PrivateLink
PrivateLink使用限制详情参考使用限制,地域限制详情参见支持私网连接的地域和可用区。
实施步骤
配置流程说明
POC用例
本POC用例选择云上跨账号的访问模型,主要帮助您梳理privatelink配置的过程和注意事项,并验证PrivateLink的相关功能。其中专线、VPN、智能接入网关SAG均为成熟性产品,此用例中不做过多描述。
用例环境说明
A客户做数据平台服务,他有众多的用户,需要调用平台的数据接口,其中有B用户的业务系统也部署在阿里云上,希望提供安全、稳定、快捷的接口调用体验。
A客户(提供服务角色) | B用户(调用方) | |
账号 | 账号2:XXXXX | 账号1:XXXXX |
地域 | 法兰克福Region | 法兰克福Region、英国Region |
网段 | 法兰克福VPC1:192.168.0.0/24 | 法兰克福VPC5:192.168.0.0/24 英国VPC6:192.168.100.0/24 |
POC验证标准
功能项 | 验证标准 |
跨账号访问 | 账号1下的ECS1可以正常访问账号2下ECS10内部署的业务 |
跨地域访问 | 账号1下的ECS3可以正常访问账号2下的ECS10内的部署的业务 |
地址重叠 | VPC1内的机器可以正常访问VPC5内的机器 |
终端节点域名访问 | ECS 1可以通过终端节点域名正常访问账号2下ECS 10 |
可用区域名访问 | ECS 1可以通过可用区域名正常访问账号2下ECS 10 |
IP访问 | ECS 1可以通过弹性网卡1的IP正常访问账号2下的ECS 10 |
自动连接功能 | 开启、关闭自动连接开关,看账号1下的终端节点向账号2下的终端节点服务发起的连接能否自动连接 |
高可靠性 | ECS 1通过域名发起访问,同时断开ENI1,看能否正常访问ECS 10内的服务 |
服务白名单 | 在账号2的服务白名单中添加/删除账号1,查看ECS1是否可以随之访问/不可访问ECS 10 |
访问安全组 | 在账号1内终端节点的安全组内添加拒绝ECS 2的规则,看ECS 2是否可以正常访问ECS 10 |
流量监控 | 进入监控页面,确定时间访问,查看针对流入/流出带宽的统计变化,看是否和之前发起访问的时间点吻合 |
通过正常的部署流程,如果能进行正常的访问,可以证明白色底色的功能全部正常,灰色底色的功能需要进行相应的规格修改,观察结果是否匹配标准。
实施时长
在实施准备工作完成的情况下,本方案实施预计时长:45分钟。
操作步骤
端到端部署流程
根据上面的端到端部署流程,下面进行逐步配置,并进行相关功能验证:
创建终端节点服务(账号2)
创建私网连接SLB
说明
只有私网类型的CLB实例支持作为私网连接(PrivateLink)的服务资源。
在购买私网CLB时,无需再指定支持PrivateLink功能特性。
创建的私网CLB实例只有在私网连接支持的可用区内,才可被添加为私网连接(PrivateLink)的服务资源。具体操作,请参见添加服务资源。
前提是已经创建好了服务所使用的VPC、vSW和ECS资源,本测试环境中已经提前创建好,命名均为privatelink-service,创建SLB时可以直接关联。
配置SLB监听,并关联后端服务
创建终端节点服务
使用账号2登录专有网络管理控制台。
在左侧导航栏,单击终端节点 > 终端节点服务。
在顶部菜单栏处,选择要创建终端节点服务的地域。本教程选择德国(法兰克福)。
在终端节点服务页面,单击创建终端节点服务。
在创建终端节点服务页面,根据以下信息配置终端节点服务,然后单击确定创建。
选择服务资源:选择要承载流量的可用区,然后选择与终端节点服务关联的负载均衡实例。负载均衡实例作为服务资源与终端节点服务关联,关联的负载均衡实例将接受来自您服务的用户的网络访问,终端节点服务的可用区与服务资源所在的主可用区一致。仅支持专有网络类型且支持PrivateLink功能的负载均衡实例作为服务资源。本教程选择法兰克福 可用区A,然后选择步骤一创建的支持PrivateLink功能的负载均衡实例。
自动接受终端节点连接:选择是否自动接受终端节点的连接请求。本教程选择否。
是:终端节点服务将自动接受终端节点的连接请求,通过终端节点能够访问服务。
否:终端节点连接将处于已断开状态,等待服务管理员进行处理:
如果服务管理员接受该终端节点对应的终端节点服务连接,通过终端节点将能够访问服务。
如果服务管理员拒绝该终端节点对应的终端节点服务连接,通过终端节点无法访问服务。
描述:输入终端节点服务的描述信息。描述长度为2~256个字符,但是不能以http://和https://开头。
终端节点服务创建成功后,您可以查看终端节点服务的服务ID和服务名称。
添加服务白名单
您可以为终端节点服务添加服务白名单,服务白名单中的用户可以创建与终端节点服务连接的终端节点。
完成以下操作,将账号1的UID添加到账号2配置的终端节点服务的服务白名单中。
使用账号2登录专有网络管理控制台。
在左侧导航栏,单击终端节点 > 终端节点服务。
在终端节点服务页面,找到步骤三创建的终端节点服务,单击其服务ID链接。
单击服务白名单页签,然后单击添加白名单。
在添加白名单对话框,输入要添加的白名单账号,然后单击确定。本教程输入账号1的UID,即12345678。
创建终端节点(账号1)
创建VPC和交换机
在法兰克福创建VPC5,网段:192.168.0.0/24,2个vSW,命名:VPC5-privatelink-customer
创建安全组
在法兰克福的VPC5中创建安全组,用于终端节点使用:
创建终端节点
终端节点可以与终端节点服务相关联,以建立通过VPC私网访问外部服务的网络连接。
完成以下操作,使用账号1创建终端节点。
使用账号1登录专有网络管理控制台。
在左侧导航栏,单击终端节点 > 终端节点。
在顶部菜单栏处,选择要创建终端节点的地域。本教程选择德国(法兰克福)。
在终端节点页面,单击创建终端节点。
在创建终端节点页面,根据以下信息配置终端节点,然后单击确定创建。
节点名称:输入终端节点的名称。名称长度在2~128个字符之间,以英文字母或中文开头,可包含数字、连字符(-)和下划线(_)。
终端节点服务:您可以通过以下两种方式设置终端节点服务:本教程先单击选择阿里云服务,然后选择上面创建的终端节点服务。
单击通过ID/名称添加,然后输入服务ID或服务名称。
单击选择阿里云服务,然后选择本账号下的服务。
专有网络:选择需要创建终端节点的VPC。本教程选择VPC1。
安全组:选择要与终端节点网卡关联的安全组,安全组可以管控VPC到终端节点网卡的数据通信。
可用区与交换机:选择终端节点服务对应的可用区,然后选择该可用区内的交换机,系统会自动在该交换机下创建一个终端节点网卡。本教程选择法兰克福 可用区A,然后选择上面创建的交换机。
描述:输入终端节点的描述信息。描述长度为2~256个字符,但是不能以http://和https://开头
创建终端节点后,您可以查看访问服务的域名或IP。您可以查看到以下三种访问服务的方式:
终端节点域名
弹性网卡IP
可用区域名
发起连接
终端节点发送连接请求后,终端节点服务需要接受终端节点的连接请求。接受后,VPC5才能通过终端节点访问服务。
使用账号2登录专有网络管理控制台。
在左侧导航栏,单击终端节点 > 终端节点服务。
在顶部菜单栏处,选择终端节点服务的地域。本教程选择德国(法兰克福)。
在终端节点服务页面,找到上面创建的终端节点服务,单击其服务ID链接。
单击终端节点连接页签,找到上面创建的终端节点,单击操作列下的允许。
在允许连接对话框,单击确定。
接受连接请求后,终端节点连接的状态由已断开变更为已连接。
此时在账号1中查看终端节点的状态
通过终端节点访问服务
测试账号1 VPC是否可以通过终端节点访问账号2的服务。
打开账号1 ECS实例的浏览器。
在浏览器中输入访问服务的域名或IP,测试是否可以访问账号2的服务。本教程输入创建终端节点后生成的访问域名或IP。
登录到账号1 ECS实例中。访问这三个地址中的任何一个。
完善账号1的网络连接
创建VPC6和vSW
在英国伦敦创建VPC6,网段:192.168.100.0/24,1个vSW,命名:VPC6-privatelink-customer
创建CEN,并打通账号1的内网
创建云企业网CEN,命名为:privatelink-customer-跨地域互联,购买带宽包,并分配跨地域互联网带宽,然后把VPC5和VPC6加入CEN中,此时账号1内的网络实现全部打通,英国伦敦VPC6内的ECS也可以通过终端节点访问终端节点服务中的内容。
验证结果
完成上述配置工作后,分别在ECS1、ECS2、ECS3上通过IP、终端节点域名、可用区域名进行访问ECS10中部署的系统,如果能够正常访问,即可证明如下功能全部OK:跨账号访问、地址重叠、重点节点域名访问、可用区域名访问。
故障排除
PrivateLink
PrivateLink使用问题详情参见用户指南。