VPC为您提供了在云上逻辑隔离的网络环境,您在VPC中可以部署阿里云资源和访问阿里云服务。私网连接(PrivateLink)可以让VPC中的资源使用其VPC的私有IP地址连接到部署在其他VPC中的服务,这些服务包括阿里云服务和用户自建服务。本文为您介绍PrivateLink的基本概念,以便您更好地使用PrivateLink。
工作原理
PrivateLink的工作原理如下图所示。服务使用方创建终端节点以访问由服务提供方提供的终端节点服务,服务使用方和服务提供方可以是同账号或者跨账号。
服务提供方
服务提供方是服务的所有者,服务提供方使用阿里云资源,如负载均衡、云服务器ECS等,构建并提供服务给服务使用方。服务提供方包括阿里云和拥有阿里云账号的阿里云用户。
终端节点服务
终端节点服务由服务提供方创建,服务名称是其唯一标识。服务使用方通过访问与该终端节点服务连接的终端节点,实现对服务的访问。终端节点服务支持添加部署在多个可用区的负载均衡应用服务集群作为服务资源,服务资源类型分为以下四种。
网络型负载均衡 NLB
传统型负载均衡 CLB
网关型负载均衡 GWLB
应用型负载均衡 ALB
服务名称
每个终端节点服务都有唯一的服务名称,服务使用方在创建终端节点时,通过服务名称唯一确定连接的服务。
服务白名单
您的服务并不是对所有服务使用方默认可见。如果您希望其他阿里云账号下的VPC可以访问您的终端节点服务,您需要手动将该账号ID添加到服务白名单。
创建终端节点服务后,本账号ID将自动被添加至服务白名单中。
终端节点服务状态
终端节点服务状态如下表所示。
终端节点服务状态 | 状态含义 |
创建中 | 终端节点服务正在创建中 |
修改中 | 终端节点服务正在修改中 |
可用 | 终端节点服务处于可用状态,可被服务使用方正常访问 |
删除中 | 终端节点服务正在删除中 |
服务使用方
访问服务的用户称为服务使用方。通过创建终端节点,服务使用方可以实现从VPC或本地数据中心访问终端节点服务。
终端节点
服务使用方通过指定服务名称创建终端节点,以实现将自身VPC连接到目标终端节点服务。终端节点支持多种类型,服务使用方需根据所要访问的服务类型,创建相应类型的终端节点。
终端节点类型如下:
接口终端节点:服务使用方通过接口终端节点,可以访问服务资源类型为NLB/CLB/ALB服务。接口终端节点支持多级域名访问,以满足用户多可用区容灾的服务访问诉求。
网关型负载均衡终端节点:服务使用方通过网关型负载均衡终端节点,可以访问服务资源类型为GWLB服务。网关型负载均衡终端节点支持作为VPC路由下一跳,支持用户通过路由实现引流。
反向终端节点:允许服务提供方主动发起访问至服务使用方VPC中的云服务,服务使用方可通过在反向终端节点上配置安全组限制其访问范围。反向终端节点连接的终端节点服务仅支持阿里云服务。
终端节点可用区与弹性网卡
服务使用方在创建终端节点时,需要指定终端节点可用区。一旦终端节点创建成功,它将由一个或多个终端节点可用区组成,每个可用区都与服务使用方VPC中的特定交换机上的托管弹性网卡一一对应。所有发送到这个弹性网卡的服务请求,都将通过PrivateLink转发至对应服务提供方在相同可用区的服务资源。
当终端节点支持IPv4网络类型时,终端节点具有IPv4地址;当终端节点支持双栈网络类型时,终端节点具有IPv4和IPv6地址。
网关型负载均衡终端节点仅支持一个终端节点可用区。
终端节点策略
终端节点策略是一种基于资源的策略,采用RAM Policy语言编写的JSON格式文档。通过将终端节点策略与接口终端节点绑定,服务使用方可以控制哪些资源被允许通过该终端节点访问特定终端节点服务的特定操作。默认情况下,终端节点策略允许所有资源通过该终端节点访问服务的所有操作。
终端节点策略适用于访问阿里云服务场景。
支持为接口终端节点设置终端节点策略。
虽然网关终端节点不依赖PrivateLink,但是支持为其设置终端节点策略。
终端节点状态
在创建终端节点时,终端节点服务将收到连接请求,服务提供方可以选择接受或者拒绝该请求。如果服务提供方接受请求,则在终端节点进入可用状态后,服务使用方可以使用该终端节点。
终端节点状态如下表所示。
终端节点状态 | 状态含义 |
创建中 | 终端节点正在创建中 |
修改中 | 终端节点正在修改中 |
可用 | 终端节点可以使用 |
删除中 | 终端节点正在删除中 |
终端节点连接
终端节点连接是指终端节点和终端节点服务之间的连接。服务使用方创建终端节点时将发起到终端节点服务的连接请求,服务提供方可以自动或手动接受连接请求。
终端节点连接状态
终端节点连接状态如下表所示。
终端节点连接状态 | 状态含义 |
连接中 | 终端节点和终端节点服务之间正在建立连接。 |
已连接 | 终端节点和终端节点服务之间已经建立连接。 |
断开连接中 | 终端节点和终端节点服务之间断开连接中。 |
未连接 | 未连接状态可能是以下几种情况:
|
修改中 | 终端节点和终端节点服务之间的连接状态正在修改中。 |
删除中 | 终端节点和终端节点服务之间的连接正在删除中。 |
终端节点对应的服务已删除 | 与终端节点连接的终端节点服务已经被删除,建议您尽快删除该终端节点。 |
自定义服务域名
服务域名是由一串用点分隔的字符组成的服务名称。服务使用方通过使用服务域名,可以更轻松地访问服务,无需记住复杂的IP地址。
PrivateLink的接口终端节点提供默认服务域名。默认服务域名采用权威解析,这是一种安全、快速、稳定且可扩展的权威DNS服务,能够帮助用户将访问流量高效地路由到对应的服务。
当服务提供方为阿里云时,为了兼容不同的云服务访问方式并简化用户访问,部分云服务支持通过自定义服务域名提供与公网访问或其他云服务访问方式相同的域名。自定义服务域名基于内网DNS解析 (PrivateZone)实现,PrivateZone为阿里云用户在VPC网络环境中的各种客户端(如ECS实例、容器等)提供域名解析服务,确保用户在VPC中能够便捷地访问所需资源。
服务使用方在创建接口终端节点时,可以选择开启自定义服务域名。开启后,您可以通过该自定义服务域名访问阿里云服务,同时,也可以使用接口终端节点提供的默认服务域名进行访问。