通过PrivateLink安全访问阿里云服务

PrivateLink能够建立VPC与阿里云上的服务之间安全稳定的私有连接,本文以VPC私网访问OSS为例,为您介绍如何通过PrivateLink私网访问阿里云服务。

背景信息

在访问云服务的过程中,用户常常面临如下挑战:

  • 数据安全隐忧:通过公共网络访问云服务,可能导致敏感信息泄露,威胁数据安全。

  • 地址空间冲突:鉴于云服务默认占用100.64网段,若本地数据中心(IDC)已使用同一网段,将不可避免地遭遇地址冲突。

  • 运维管控难题:传统的私网接入方式,运维团队无法单独对访问云服务的流量做审计。

为应对上述挑战,我们推荐采用PrivateLink解决方案,其核心价值在于:

  • 强化数据隐私:通过私网访问机制,有效防止数据直接暴露于公网,显著降低数据泄露风险。

  • 网络架构优化:无需繁琐的路由配置,有效规避云上与云下地址空间冲突,简化网络管理。

  • 增强访问控制PrivateLink支持源端鉴权,精准限定访问权限,确保数据安全;同时,借助VPC流日志和流量镜像功能,可实现对访问流量的全面监控与审计,进一步提升安全性。

场景示例

本文以下图场景为例,某公司在印度尼西亚(雅加达)部署了OSS服务,OSS服务中创建了私有的Bucket1和Bucket2,并且都上传了Object,目前要实现本地数据中心仅访问OSS服务中的Bucket1。为避免敏感信息暴露公网、本地数据中心与云服务100.64网段冲突等问题,您可以通过PrivateLink实现该私网访问。

您首先需要将OSS作为终端节点服务,在VPC中创建连接OSS服务的终端节点,实现VPC私网访问OSS,然后通过高速通道VPN 网关将本地数据中心与VPC连接起来,实现本地数据中心私网访问阿里云服务。

image

使用限制

  • 仅华东1(杭州)、华东2(上海)、华南1(深圳)、华北2(北京)、中国香港、印度尼西亚(雅加达)、新加坡地域支持通过终端节点私网访问OSS

  • 终端节点与阿里云服务OSS必须部署在同一地域。

前提条件

步骤一:创建接口终端节点

  1. 登录终端节点控制台

  2. 在顶部菜单栏处,选择印度尼西亚(雅加达)

  3. 终端节点页面,单击创建终端节点

  4. 创建终端节点页面,根据以下信息配置终端节点,然后单击确定创建

    此处仅列举和本文强相关的配置,其余参数的配置,请参见创建和管理终端节点

    配置

    说明

    所属地域

    本文默认选择印度尼西亚(雅加达)

    节点名称

    输入自定义终端节点的名称。

    终端节点类型

    本文选择接口终端节点

    终端节点服务

    选择目标终端节点服务。

    本文先单击阿里云服务,然后选择名称为com.aliyuncs.privatelink.ap-southeast-5.oss的终端节点服务。

    专有网络

    选择需要创建终端节点的VPC

    安全组

    选择要与终端节点网卡关联的安全组。

    可用区与交换机

    选择VPC下的可用区与交换机。

    访问策略

    选择访问策略,本文选择自定义策略。本文中授予阿里云账号123456789012****下所有的RAM用户可以通过IP地址为172.16.0.1的ECSBucket1中下载1.txt文件的权限,策略内容示例如下所示:

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "oss:GetObject"
          ],
          "Effect": "Allow",
          "Principal": {
            "RAM": "acs:ram::123456789012****:*"
          },
          "Resource": [
            "acs:oss:*:*:Bucket1/1.txt"
          ],
          "Condition": {
            "IpAddress": {
              "acs:SourceIp": [
                "172.16.0.1"
              ]
            }
          }
        }
      ]
    }

    终端节点访问策略能够控制服务访问权限,您可以用来控制哪些阿里云主体能通过终端节点对阿里云服务中的哪些资源执行哪些操作,从而增强网络安全性,保护敏感数据,满足特定的安全需求。具体操作,请参见终端节点策略

    创建完成后,您需要记录生成的终端节点域名,用于后续访问OSS服务。

    image

步骤二:VPC私网访问OSS

  1. 登录VPC中的ECS实例。具体操作,请参见连接方式概述

  2. 通过ossutil以终端节点域名的方式访问OSS。您还可以使用SDK方式访问OSS。具体操作,请参见SDK

    1. 在已创建的ECS实例安装1.7.17及以上版本的ossutil。具体操作,请参见安装ossutil

      说明
    2. 执行ossutil64 cp oss://examplebucket/examplefile.txt /tmp/ -e ep-k1aid5cd5d5249e9****.oss.ap-southeast-5.privatelink.aliyuncs.com --force-path-style命令,将examplebucketexamplefile.txt文件下载到本地目录/tmp/中。

      示例中通过-e选项指定终端节点域名,使用--force-path-style选项指定以Path-Style的方式访问OSS

      • ECS访问Bucket1,返回结果如下:

        image

      • ECS访问Bucket2,返回结果如下:

        image

      由此可见VPC可以通过PrivateLink仅私网访问OSS服务中的Bucket1。

步骤三:本地数据中心连接VPC

您可以通过VPN 网关高速通道(Express Connect)实现本地数据中心和VPC之间的数据同步。具体操作,请参见DTS基于VPN网关实现本地数据中心和VPC之间的数据同步DTS通过物理专线访问本地IDC数据库

相关文档