BpFile(id=308, bpId=186, name=通过私网访问云服务, author=null, keyword=API,内网,私网,CLI,SDK,PrivateZone,PrivateLink, description=一般情况下,部署在阿里云VPC A内的服务提供方需要暴露公网访问入口,而VPC B内的服务使用方则通过公网路径访问VPC A内的服务提供方。但公网访问方式容易受到攻击,存在安全隐患,且网络质量和时延无法得到可靠保障。若服务提供方和服务使用方所在的VPC存在地址冲突也无法通过云企业网进行私网互联通信。, position=null, ossUrl=bp-G89OY8UHS96626KH.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=
使用PrivateLink就可以通过私网访问其他VPC提供的服务,无需创建NAT网关或EIP等公网出口,更好的保障安全性和网络质量。支持同账号和跨账号的VPC间私网访问。另外私网调用阿里云OpenAPI也有两种可选方案
, templateId=null, freetry=, visitTime=null, visitCount=null, video_url=https://yqh.aliyun.com/live/detail/23853, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null, cooperation=, cooperationList=null)
1
通过私网访问云服务 最佳实践
公网访问 VS 私网访问 场景描述
一般情况下,部署在阿里云 VPC A内的服务提
供方需要暴露公网访问入口,而 VPC B内的服
务使用方则通过公网路径访问 VPC A内的服务
提供方。但公网访问方式容易受到攻击,存在安
全隐患,且网络质量和时延无法得到可靠保障。
若服务提供方和服务使用方所在的 VPC存在地
址冲突也无法通过云企业网进行私网互联通信。
解决方案
使用 PrivateLink就可以通过私网访问其他 VPC
提供的服务,无需创建 NAT网关或 EIP等公网出
口,更好的保障安全性和网络质量。支持同账号
和跨账号的 VPC间私网访问。
PrivateLink解决的是 VPC之间的私网通信,私网调用阿里云 OpenAPI也有两种可选方案:
方案二:PrivateZone解析互联网域名
方案一:使用 VPC接入地址
阿里云最佳实践技术分享群
最佳实践频道
2云服务器 ECS(产品名称) 文档模板(手册名称)/文档版本信息
阿里云
通过私网访问云服务
最佳实践
文档版本:20210325(发布日期)
文档版本:20210325 2
3通过私网访问云服务最佳实践 文档版本信息
文档版本信息
文本信息
属性 内容
文档名称 通过私网访问云服务最佳实践
文档编号 186
文档版本 V1.1
版本日期 2021-03-25
文档状态 已发布
制作人 毕役
审阅人 川知,张明远
文档变更记录
版本编号 日期 作者 审核人 说明
V0.9 2020-12-05 毕役 - 创建
V1.0 2020-12-10 毕役 川知 发布
V1.1 2021-03-25 毕役 调整 PrivateLink
文档版本:20210325 I
4通过私网访问云服务最佳实践 前言
前言
概述
出于降低公网数据传输风险,提升访问效率降低时延的目的,越来越多的客户倾向通
过通过私网访问部署在云上 VPC的服务。如下图所示,公网访问的实现路径:云服
务暴露 Internet公网服务入口,用户通过 EIP出公网,走公共互联网访问目标服务。
使用 PrivateLink实现 VPC私网访问有如下优点:
流量不会离开阿里云私网,大大减少数据泄露可能性
同可用区转发,时延更低,抖动更小
支持访问带宽和安全组访问控制
无需担心地址冲突,简化网络管理
应用范围(私网访问 OpenAPI可以参考第二章节和第三章节)
同账号的 VPC间私网访问
跨账号的 VPC间私网访问
文档版本:20210325 III
5通过私网访问云服务最佳实践 前言
名词解释
VPC:Virtual Private Cloud,简称 VPC。基于阿里云创建的自定义私有网络, 不
同的专有网络之间二层逻辑隔离,可以在自己创建的专有网络内创建和管理云产
品实例,比如 ECS、负载均衡、RDS等。在创建前,您需要结合具体业务,规
划 VPC和交换机的数量及网段等。详见:https://www.aliyun.com/product/vpc
ECS:云服务器(Elastic Compute Service,ECS)是一种简单高效、处理能力
可弹性伸缩的计算服务。帮助您构建更稳定、安全的应用,提升运维效率,降低
IT成本,使您更专注于核心业务创新。详见: https://www.aliyun.com/product/ecs
云解析 PrivateZone:云解析 PrivateZone,是基于阿里云专有网络 VPC(Virtual
Private Cloud)环境的私有域名解析和管理服务。可以在自定义的一个或多个专
有网络中快速构建 DNS 系统,实现私有域名映射到 IP 资源地址。详见:
https://www.aliyun.com/product/pvtz
私网连接 PrivateLink:私网连接(PrivateLink)能够帮助您在阿里云 VPC中通
过私有网络安全稳定的访问部署在其它 VPC中的服务,大幅简化网络架构,同
时 避 免 通 过 公 网 访 问 服 务 的 带 来 的 安 全 风 险 。详见:
https://www.aliyun.com/product/network/privatelink
文档版本:20210325 IV
6通过私网访问云服务最佳实践 目录
目录
文档版本信息 .............................................................................................................................................................. I
法律声明 ..................................................................................................................................................................... II
前言 ............................................................................................................................................................................ III
目录 ............................................................................................................................................................................. V
前置条件 ..................................................................................................................................................................... 1
1. 使用PrivateLink实现私网访问云服务 .............................................................................................................. 2
1.1. 使用限制 ............................................................................................................................................. 2
1.2. 同账号VPC间的私网访问 ................................................................................................................. 3
1.2.1. 创建两个VPC .............................................................................................................................. 3
1.2.2. 创建支持PrivateLink的负载均衡 .............................................................................................. 3
1.2.3. 配置SLB实例 .............................................................................................................................. 3
1.2.4. 创建终端节点服务 ..................................................................................................................... 4
1.2.5. 创建终端节点 ............................................................................................................................. 5
1.2.6. 终端节点服务接受终端节点连接请求 ...................................................................................... 8
1.2.7. 通过终端节点访问服务.............................................................................................................. 8
1.2.8. 安全组管理 ................................................................................................................................. 8
1.3. 跨账号VPC间的私网访问 ............................................................................................................... 10
2. 通过VPC接入地址调用API ............................................................................................................................. 13
2.1. 接入地址 ........................................................................................................................................... 13
2.2. 环境准备 ........................................................................................................................................... 13
2.2.1. 创建资源 ................................................................................................................................... 13
2.2.2. SDK安装 .................................................................................................................................... 14
2.2.3. CLI安装 ...................................................................................................................................... 14
2.2.4. 解绑EIP ..................................................................................................................................... 15
2.3. SDK调用 ............................................................................................................................................ 15
2.3.1. 方法一:request_network ........................................................................................................ 15
2.3.2. 方法二:endpoint ..................................................................................................................... 16
2.3.3. 编程语言参考 ........................................................................................................................... 17
2.4. CLI调用.............................................................................................................................................. 17
3. 使用PrivateZone解析互联网域名 .................................................................................................................. 18
3.1. PrivateZone配置 ............................................................................................................................... 18
3.2. SDK调用 ............................................................................................................................................ 19
3.3. CLI调用.............................................................................................................................................. 21
3.4. 小结 ................................................................................................................................................... 22
文档版本:20210325 V
7通过私网访问云服务最佳实践 前置条件
前置条件
在执行本文操作前,请完成以下准备工作:
注册阿里云账号,并完成企业实名认证。您可以登录阿里云控制台,并前往企业
实名认证(https://account.console.aliyun.com/v2/#/authc/home)页面查看是否
已经完成实名认证。
阿里云账户余额大于 100 元。您可以登录阿里云控制台,并前往账户总览
(https://expense.console.aliyun.com/#/account/home)页面查看账户余额。
文档版本:20210325 1
8通过私网访问云服务最佳实践 通过 VPC接入地址调用API
1. 使用 PrivateLink实现私网访问云服务
私网连接(PrivateLink)能够实现专有网络 VPC与其他 VPC部署的服务建立安全稳
定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜
在安全风险。目前 PrivateLink只支持访问用户 VPC内的云服务,暂时不支持访问阿
里云产品的云服务。
核心原理和步骤如下:
1. VPC2作为服务端,创建支持 PrivateLink的负载均衡,再创建终端节点服务,将
负载均衡实例添加为服务资源。等待其他 VPC通过创建终端节点建立私网连接。
2. VPC1作为客户端,创建终端节点,与终端节点服务建立私有连接之后,VPC1内
的 ECS就可以通过访问终端节点而访问到 VPC2的负载均衡提供的服务。
3. 终端节点服务位于服务端 VPC,终端节点位于客户端 VPC,但前提要求是终端节
点和终端节点服务位于同一可用区。VPC2和 VPC1可以是同一个账号的,也可
以是跨账号的。
1.1. 使用限制
阿里云在部分地域的部分可用区支持 PrivateLink 服务,参考
https://help.aliyun.com/document_detail/193819.html
相关配额限制请参考 https://help.aliyun.com/document_detail/174057.html
文档版本:20210325 2