私网访问能够建立专有网络VPC与阿里云上的服务建立安全稳定的私有连接,配置灵活,可满足不同的应用场景。本文介绍了VPC私网连接配置的详细信息。
背景信息
- 计算巢服务配置私网连接,具有如下优势。
- 私网通信:网络流量均在阿里云内网转发,不会通过公网,避免了通过公网访问服务带来的潜在安全风险。
- 安全可控:可以对VPC网络中用于访问服务的弹性网卡添加安全组规则,提供更强的安全保障和控制手段。
- 低延迟和高质量:依托阿里云网络提供低延时、高可用的互联能力。
- 跨可用区和跨地域:计算巢内网互联连接模式,同时支持了服务同可用区、跨可用区和跨地域的内网访问。
- 极简接入:支持将负载均衡或者服务节点IP作为静态或者动态资源,提供私网访问。给用户更加灵活的选择,快速接入私网访问。
- 管理简单:灵活的跨账号和跨VPC服务访问方式,避免复杂的路由和安全配置。
- 计算巢中私有部署服务和全托管服务支持VPC私网连接,用户在创建服务实例后,会获得服务商提供软件的域名,访问域名即可使用软件。关于域名需要注意以下情况:
- 如果服务商的私有部署服务和全托管服务没有开通VPC私网连接,用户则需要通过公网访问公网域名。
- 如果服务商的私有部署服务和全托管服务开通了VPC私网连接,则用户可获得内网域名,并通过私网连接访问该域名。这种情况下,服务商把自身VPC内的服务共享给了客户的VPC,实现跨VPC的私网通信。
配置VPC私网访问参数
服务商在创建服务时,在计算巢控制台网络配置区域,可以进行私网连接相关的配置,参数说明如下:
计算巢内网互联静态连接,如下图所示:
计算巢内网互联动态连接,如下图所示:
| 配置项 | 配置说明 |
|---|---|
| VPC私网连接 | 开启或关闭VPC私网连接功能。 |
| 连接模式 | 开启VPC私网连接后,需要选择连接模式。连接模式同时支持计算巢内网互联和阿里云私网PrivateLink时,会提供用户选择,否则默认隐藏选项。
|
| 连接方式 | 静态:服务商提供服务的软件资源事先部署完毕,所有用户都可以通过相同的终端节点服务/负载均衡/服务节点IP访问服务(例如全托管的SaaS服务)。
|
动态:服务商在创建服务时,未事先部署好服务,需要在创建用户实例时动态创建,服务商需要根据模板指定Resource/Output的资源,也就是服务部署的时候动态生成的资源,包括负载均衡、终端节点服务和IP等。
| |
| 终端节点服务配置 | 仅当连接方式为静态时,需要设置该参数。选择终端节点服务的地域名称和终端节点服务信息。 每个地域只能设置一个终端节点服务,如果您需要在多个地域提供计算巢服务,则每个地域都需要设置一个终端节点服务。关于创建终端节点服务的详细操作,请参见创建和管理终端节点服务。 |
| 自定义域名 | 该参数为可选参数,如果您设置了自定义域名,则用户在创建服务实例时,可以勾选使用推荐的自定义域名,在私网中访问您的服务。如果不填写,则不会为用户推荐。 |
管理计算巢服务实例的私网连接
在服务实例详情页面,选择虚拟互联网页签。查看私网连接的配置信息。
- 基于计算巢内网互联创建的私网连接。
- 基本信息:包含用户侧VPC信息,提供私网访问的私网连接域名以及连接状态。
- 可用区和交换机:创建私网连接时用户侧交换机信息。
- 安全组:创建私网连接时用户侧安全组信息。
- 基本信息:包含用户侧VPC信息,提供私网访问的私网连接域名以及连接状态。
- 基于阿里云PrivateLink创建的私网连接。
- 基本信息:终端节点服务实例的基本信息,通过终端节点服务实例ID的链接能够跳转到VPC私网连接控制台,完成添加或删除服务资源、管理终端节点连接、添加服务白名单、查看监控等。添加服务白名的具体操作,请参见添加和管理服务白名单。
- 终端节点连接:当前服务实例建立的终端节点连接,您可以通过基本信息中的终端节点服务实例ID的链接跳转到VPC私网连接控制台进行拒绝连接以及调整限速的操作。
- 服务资源:终端节点服务实例的资源信息,您可以通过终端节点服务实例ID的链接跳转到VPC私网连接控制台进行添加或删除资源的操作。
- 基本信息:终端节点服务实例的基本信息,通过终端节点服务实例ID的链接能够跳转到VPC私网连接控制台,完成添加或删除服务资源、管理终端节点连接、添加服务白名单、查看监控等。添加服务白名的具体操作,请参见添加和管理服务白名单。