私网连接(PrivateLink)能够实现专有网络VPC与阿里云上的服务建立安全稳定的私有连接,配置灵活,可满足不同的应用场景。本文介绍了VPC私网连接配置的详细信息。
背景信息
- 计算巢服务关联私网连接,具有如下优势。
- 私网通信:通过PrivateLink访问终端节点服务,访问流量均在阿里云内网转发,不会通过公网,避免了通过公网访问服务带来的潜在安全风险。
- 安全可控:通过PrivateLink访问云服务,可以对VPC网络中用于访问服务的弹性网卡添加安全组规则,提供更强的安全保障和控制手段。
- 低延迟和高质量:通过PrivateLink访问云服务,访问请求会在相同的可用区内转发,提供最优延时方案。
- 管理简单:灵活的跨账号和跨VPC服务访问方式,避免复杂的路由和安全配置。
更多信息,请参见什么是私网连接。
- 计算巢中私有部署服务和全托管服务支持VPC私网连接,用户在创建服务实例后,会获得服务商提供软件的域名,访问域名即可使用软件。关于域名需要注意以下情况:
- 如果服务商的私有部署服务和全托管服务没有开通VPC私网连接,用户则需要通过公网访问公网域名。
- 如果服务商的私有部署服务和全托管服务开通了VPC私网连接,则用户可获得内网域名,并通过私网连接访问该域名。这种情况下,服务商把自身VPC内的服务共享给了客户的VPC,实现跨VPC的私网通信。
配置VPC私网连接参数
服务商在创建服务时,在计算巢控制台虚拟互联网配置区域,可以进行私网连接相关的配置,参数说明如下:
| 配置项 | 配置说明 |
|---|---|
| VPC私网连接 | 开启或关闭VPC私网连接功能。 |
| 连接方式 | 静态连接:服务商提供服务的软件资源事先部署完毕,所有用户都可以通过相同的终端节点服务访问服务(例如全托管的SaaS服务)。 服务商可以基于部署好的软件资源提前创建终端节点服务,为用户提供私网连接服务。如果选择静态连接,则需要填写已创建的终端节点服务的配置信息。用户创建服务实例时,计算巢会自动为用户创建终端节点服务,并且建立和服务商的服务之间的私网连接。 |
动态连接:服务商在创建服务时,未事先准备好终端节点服务资源,需要用户在创建服务实例时指定(例如,全托管RDS的PaaS服务,终端节点服务需要在创建RDS实例时生成)。动态连接分为用户自定义和服务商回调两种方式。
| |
| 终端节点服务配置 | 仅当连接方式为静态时,需要设置该参数。选择终端节点服务的地域名称和终端节点服务信息。 每个地域只能设置一个终端节点服务,如果您需要在多个地域提供计算巢服务,则每个地域都需要设置一个终端节点服务。创建终端节点服务的详细操作,请参见创建和管理终端节点服务。 |
| 自定义域名 | 该参数为可选参数,如果您设置了自定义域名,则用户在创建服务实例时,可以勾选使用推荐的自定义域名,在私网中访问您的服务。如果不填写,则不会为用户推荐。 |
管理计算巢服务实例的私网连接
在服务实例详情页面,选择虚拟互联网页签。查看私网连接的配置信息。
- 基本信息:终端节点服务实例的基本信息,通过终端节点服务实例ID的链接能够跳转到VPC私网连接控制台,完成添加或删除服务资源、管理终端节点连接、添加服务白名单、查看监控等。添加服务白名的具体操作,请参见添加和管理服务白名单。
- 终端节点连接:当前服务实例建立的终端节点连接,您可以通过基本信息中的终端节点服务实例ID的链接跳转到VPC私网连接控制台进行拒绝连接以及调整限速的操作。
- 服务资源:终端节点服务实例的资源信息,您可以通过终端节点服务实例ID的链接跳转到VPC私网连接控制台进行添加或删除资源的操作。
