PrivateLink membangun koneksi aman dan privat antara virtual private cloud (VPC) Anda dan Alibaba Cloud Object Storage Service (OSS). Koneksi ini memberikan isolasi lalu lintas pada lapisan jaringan secara asli, mengurangi risiko keamanan, mencegah konflik alamat IP, dan menyederhanakan pengelolaan jaringan. Hal ini memungkinkan Anda membangun arsitektur akses yang aman dan dapat dikelola untuk penyimpanan cloud Anda.
Cara kerjanya
PrivateLink bekerja dengan membuat titik akhir privat khusus di VPC Anda yang terhubung ke OSS. Ini memastikan bahwa semua lalu lintas akses tetap berada dalam backbone network Alibaba Cloud dan tidak pernah terpapar ke internet publik. PrivateLink juga menyediakan kontrol akses yang tepat berdasarkan alamat IP sumber dan audit log aliran VPC, membantu Anda membangun sistem keamanan data tingkat perusahaan. Dibandingkan dengan titik akhir internal default yang disediakan oleh OSS, PrivateLink menawarkan tingkat isolasi keamanan jaringan asli yang lebih tinggi dan kontrol yang lebih rinci, menjadikannya ideal untuk kasus penggunaan berikut:
Kasus Penggunaan | Titik Akhir Internal | PrivateLink |
Persyaratan Keamanan dan Kepatuhan Ketat | Akses dilakukan melalui titik akhir internal bersama, yang mengekspos permukaan serangan di dalam jaringan penyedia cloud. Kontrol keamanan bergantung terutama pada kebijakan lapisan aplikasi. | Mengurangi permukaan serangan. Titik akhir berada di dalam VPC Anda, sehingga VPC lain tidak dapat menemukan atau mengaksesnya. Lalu lintas diisolasi secara asli pada lapisan jaringan. |
Kontrol akses lapisan jaringan yang detail halus | Anda tidak dapat menggunakan grup keamanan untuk mengontrol akses ke OSS. Kontrol akses bergantung pada kebijakan bucket. | Mendukung grup keamanan. Anda dapat menambahkan aturan grup keamanan ke titik akhir PrivateLink untuk mengontrol secara tepat alamat IP sumber mana yang dapat mengakses OSS. |
Audit Semua Upaya Koneksi Jaringan | Log akses OSS hanya mencatat permintaan yang berhasil. Mereka tidak dapat digunakan untuk mengaudit upaya koneksi yang ditolak pada lapisan jaringan. | Mendukung log aliran VPC. Anda dapat menangkap dan mengaudit semua lalu lintas yang mencoba mengakses titik akhir, baik berhasil maupun tidak. |
Jaringan Hybrid Cloud yang Kompleks dengan Potensi Konflik IP | Layanan Alibaba Cloud menggunakan blok CIDR 100.64.0.0/10 secara default. Ini mungkin bertentangan dengan skema alamat IP pusat data lokal Anda. | Menghindari Konflik Alamat IP. Titik akhir menggunakan alamat IP dari blok CIDR VPC Anda. Ini sesuai dengan rencana IP kustom Anda dan menyederhanakan konfigurasi routing hybrid cloud. |
Wilayah yang Didukung
Jepang (Tokyo), Indonesia (Jakarta), Thailand (Bangkok), Jerman (Frankfurt), AS (Silicon Valley), AS (Virginia).
Tersedia atas permintaan dengan menghubungi dukungan teknis.
Konfigurasikan dan Gunakan PrivateLink
Anda dapat membuat titik akhir untuk menetapkan koneksi PrivateLink guna mengakses sumber daya OSS secara aman dari VPC atau pusat data lokal.
Buat dan verifikasi titik akhir
Anda dapat membuat titik akhir untuk menetapkan koneksi aman dan privat antara VPC Anda dan OSS. Setelah titik akhir dibuat, Anda dapat menggunakan instance ECS untuk memverifikasi konektivitas jaringan dan akses ke OSS.
Sebelum memulai, pastikan Anda telah membuat VPC dan vSwitch. Langkah verifikasi memerlukan instance ECS. Jika Anda tidak memiliki instance yang ada, buat instans berbayar sesuai penggunaan. Untuk informasi lebih lanjut, lihat Beli Instance ECS.
Langkah 1: Buat titik akhir
Pergi ke halaman Titik Akhir VPC dan klik Create Endpoint. Jika ini pertama kalinya Anda menggunakan PrivateLink, ikuti petunjuk di layar untuk mengaktifkan layanan.
Konfigurasikan parameter berikut. Gunakan nilai default untuk parameter yang tidak terdaftar.
Region: Pilih wilayah bucket OSS target, seperti China (Hangzhou).
Endpoint Name: Masukkan nama deskriptif untuk titik akhir, seperti
privatelink-oss.Endpoint Type: Pilih Interface Endpoint.
Endpoint Service: Pilih Alibaba Cloud Service. Dalam daftar layanan, pilih layanan titik akhir OSS. Nama layanan berakhir dengan
oss.VPC: Pilih VPC target tempat Anda ingin membuat titik akhir. Jika tidak ada VPC yang tersedia, klik Create VPC.
Security Group: Pilih grup keamanan untuk disambungkan ke titik akhir. Grup keamanan mengontrol izin akses. Jika tidak ada grup keamanan yang cocok, klik Create Security Group.
Zone And VSwitch: Pilih zona tempat titik akhir akan diterapkan dan vSwitch yang sesuai. Jika tidak ada vSwitch yang tersedia, klik Create VSwitch.
Klik OK. Sistem secara otomatis membuat titik akhir. Setelah titik akhir dibuat, pergi ke halaman detailnya untuk melihat dan menyalin Endpoint Domain Name. Anda akan menggunakan nama domain ini untuk akses OSS selanjutnya.
Langkah 2: Verifikasi nama domain titik akhir
Anda dapat memverifikasi konfigurasi titik akhir dengan menguji konektivitas jaringan dan mengunduh file dari OSS. Ini memastikan bahwa koneksi PrivateLink berfungsi dengan benar.
Verifikasi Konektivitas Jaringan
Gunakan perintah
pinguntuk menguji konektivitas jaringan nama domain titik akhir. Ini memverifikasi bahwa resolusi DNS dan jalur jaringan berfungsi.ping -c 4 ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.comVerifikasi Unduhan File
Gunakan alat ossutil pada instance ECS di wilayah yang sama untuk mengunduh file dari OSS. Ini memverifikasi bahwa data dapat ditransfer melalui koneksi.
Gunakan nama domain titik akhir, seperti
ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com, untuk mengakses sumber daya OSS. Contoh berikut menunjukkan cara mengunduh file bernamadest.jpgdari bucket bernamaexample-bucket:ossutil cp oss://example-bucket/dest.jpg /tmp/ -e ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com --addressing-style pathPerintah yang berhasil menampilkan keluaran berikut, yang menunjukkan bahwa unduhan selesai. Anda dapat menemukan file yang diunduh di direktori
/tmp.Success: Total 1 object, size 134102 B, Download done:(1 files, 134102 B), avg 680.112 KiB/s 0.193189(s) elapsed
Tingkatkan keamanan untuk akses VPC
Setelah Anda memverifikasi bahwa PrivateLink berfungsi, Anda dapat mengonfigurasi kebijakan bucket untuk lebih meningkatkan keamanan. Contoh berikut menunjukkan cara membatasi akses ke objek sehingga mereka hanya dapat diakses dari VPC yang terkait dengan koneksi PrivateLink. Konfigurasi ini memberikan kontrol akses pada lapisan jaringan dan aplikasi.
Pergi ke halaman Bucket dan klik nama bucket target.
Di panel navigasi di sebelah kiri, klik .
Klik Authorize dan konfigurasikan parameter berikut. Gunakan nilai default untuk parameter lainnya.
Authorized User: Pilih All Accounts (*).
Authorized Operation: Pilih Advanced Settings.
Effect: Pilih Deny.
Actions: Pilih oss:GetObject.
Condition: Pilih VPC ≠ dan pilih VPC yang terpasang pada titik akhir PrivateLink.
Klik OK untuk menyimpan kebijakan bucket.
Akses dari perangkat lokal menggunakan SSL-VPN
Solusi SSL-VPN memberikan akses VPC yang cepat dan fleksibel untuk perangkat lokal individu, seperti workstation pengembang atau perangkat seluler. Setelah Anda menerapkan SSL-VPN Gateway di VPC Anda, perangkat dapat membuat terowongan terenkripsi dan kemudian menggunakan titik akhir PrivateLink yang dikonfigurasikan untuk mengakses OSS secara aman. Metode ini ideal untuk pekerjaan jarak jauh, pengembangan dan pengujian, serta akses darurat.
Langkah 1: Buat gateway SSL-VPN dan konfigurasikan klien
Untuk menetapkan koneksi terenkripsi antara perangkat lokal Anda dan VPC, terapkan SSL-VPN Gateway dan selesaikan konfigurasi klien. Untuk informasi lebih lanjut, lihat Akses VPC dari Klien melalui Koneksi SSL-VPN.
Langkah 2: Verifikasi akses PrivateLink ke OSS
Untuk memastikan jalur akses privat berfungsi dengan benar, verifikasi koneksi PrivateLink dengan menguji konektivitas dan mengunduh file.
Verifikasi Konektivitas
Gunakan perintah
pinguntuk menguji konektivitas jaringan nama domain titik akhir. Ini memverifikasi bahwa resolusi DNS dan jalur jaringan berfungsi.ping -c 4 ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.comVerifikasi Unduhan File
ossutil
Pada instance ECS di wilayah yang sama, gunakan alat ossutil untuk melakukan operasi file di OSS. Ini memverifikasi fungsionalitas dan stabilitas transfer data koneksi PrivateLink.
Gunakan nama domain titik akhir, seperti
ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com, untuk mengakses sumber daya OSS. Contoh berikut menunjukkan cara mengunduh file bernamadest.jpgdari bucket bernamaexample-bucket:ossutil cp oss://example-bucket/dest.jpg /tmp/ -e ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com --addressing-style pathPerintah yang berhasil menampilkan keluaran berikut, yang menunjukkan bahwa unduhan selesai. Anda dapat menemukan file yang diunduh di direktori
/tmp.Success: Total 1 object, size 134102 B, Download done:(1 files, 134102 B), avg 680.112 KiB/s 0.193189(s) elapsed
SDK
Menggunakan SDK lebih mendekati simulasi lingkungan produksi nyata. Metode ini mendukung integrasi logika bisnis kompleks dan penanganan pengecualian. SDK bahasa berikut mendukung akses OSS melalui PrivateLink.
Java
Saat Anda mengakses OSS melalui PrivateLink, gunakan
setSLDEnabled(true)untuk mengaktifkan akses gaya path. Saat Anda mengakses OSS melalui internet publik, gunakansetSLDEnabled(false).import com.aliyun.oss.*; import com.aliyun.oss.common.auth.*; import com.aliyun.oss.common.comm.SignVersion; import com.aliyun.oss.model.GetObjectRequest; import java.io.File; /** * OSS PrivateLink Access Demo. * Demo ini menunjukkan cara mengakses OSS dan mengunduh file melalui PrivateLink. */ public class Test { public static void main(String[] args) throws Exception { // Nama domain titik akhir PrivateLink. String endpoint = "https://ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com"; // Tentukan wilayah yang sesuai dengan titik akhir, misalnya, cn-hangzhou. String region = "cn-hangzhou"; // Dapatkan kredensial akses dari variabel lingkungan. // Sebelum menjalankan kode ini, pastikan variabel lingkungan OSS_ACCESS_KEY_ID dan OSS_ACCESS_KEY_SECRET telah diatur. EnvironmentVariableCredentialsProvider credentialsProvider = CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider(); // Tentukan nama bucket, misalnya, example-bucket. String bucketName = "example-bucket"; // Tentukan jalur lengkap objek, tidak termasuk nama bucket. String objectName = "dest.jpg"; // Nama file lokal untuk disimpan. String pathName = "dest.jpg"; // Konfigurasikan parameter klien. ClientBuilderConfiguration clientBuilderConfiguration = new ClientBuilderConfiguration(); // Aktifkan akses gaya path untuk PrivateLink. Atur ini ke false saat mengakses melalui titik akhir publik bucket. clientBuilderConfiguration.setSLDEnabled(true); // Nyatakan secara eksplisit penggunaan algoritma tanda tangan V4. clientBuilderConfiguration.setSignatureVersion(SignVersion.V4); // Buat instance klien OSS. OSS ossClient = OSSClientBuilder.create() .endpoint(endpoint) .credentialsProvider(credentialsProvider) .clientConfiguration(clientBuilderConfiguration) .region(region) .build(); try { // Unduh objek ke file lokal dan simpan ke jalur lokal yang ditentukan. // Jika file lokal ada, itu akan ditimpa. Jika tidak ada, itu akan dibuat. ossClient.getObject(new GetObjectRequest(bucketName, objectName), new File(pathName)); } catch (OSSException oe) { // Tangani pengecualian sisi server OSS. System.out.println("Menangkap OSSException, yang berarti permintaan Anda sampai ke server OSS tetapi ditolak dengan respons kesalahan."); System.out.println("Pesan Kesalahan: " + oe.getErrorMessage()); System.out.println("Kode Kesalahan: " + oe.getErrorCode()); System.out.println("ID Permintaan: " + oe.getRequestId()); System.out.println("ID Host: " + oe.getHostId()); } catch (ClientException ce) { // Tangani pengecualian sisi klien. System.out.println("Menangkap ClientException, yang berarti klien mengalami masalah internal serius saat mencoba berkomunikasi dengan OSS, " + "seperti tidak dapat mengakses jaringan."); System.out.println("Pesan Kesalahan: " + ce.getMessage()); } finally { // Rilis sumber daya. if (ossClient != null) { ossClient.shutdown(); } } } }Python
Saat Anda mengakses OSS melalui PrivateLink, gunakan
is_path_style=Trueuntuk mengaktifkan akses gaya path.# -*- coding: utf-8 -*- """ OSS PrivateLink Access Demo Akses OSS melalui PrivateLink dan unduh file ke mesin lokal Anda. """ import oss2 from oss2.credentials import EnvironmentVariableCredentialsProvider def main(): """Fungsi utama: Menunjukkan cara mengakses OSS dan mengunduh file melalui PrivateLink.""" # Konfigurasikan kredensial akses. # Catatan: Pasangan AccessKey akun Alibaba Cloud memiliki izin pada semua operasi API. Ini adalah operasi berisiko tinggi. # Buat dan gunakan pengguna RAM untuk akses API atau O&M harian. Masuk ke konsol RAM untuk membuat pengguna RAM. auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider()) # Nama domain titik akhir PrivateLink. endpoint = 'https://ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com' # Nama bucket. bucket_name = 'example-bucket' # Buat objek bucket. # is_path_style=True mengaktifkan akses gaya path, yang cocok untuk kasus penggunaan tertentu seperti PrivateLink. bucket = oss2.Bucket(auth, endpoint, bucket_name, is_path_style=True) # Jalur objek OSS (jalur lengkap tanpa nama bucket). object_name = 'dest.jpg' # Jalur file lokal untuk disimpan. local_file_path = 'dest.jpg' # Unduh objek ke file lokal. # Jika file lokal ada, itu akan ditimpa. Jika tidak ada, itu akan dibuat. bucket.get_object_to_file(object_name, local_file_path) print(f"File berhasil diunduh: {object_name} -> {local_file_path}") if __name__ == '__main__': main()Go
Saat Anda mengakses OSS melalui PrivateLink, gunakan
ForcePathStyle(true)untuk mengaktifkan akses gaya path.package main import ( "fmt" "os" "github.com/aliyun/aliyun-oss-go-sdk/oss" ) const ( // Titik akhir PrivateLink. endpoint = "https://ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com" // Nama bucket. bucketName = "example-bucket" // Jalur objek OSS (jalur lengkap tanpa nama bucket). objectName = "dest.jpg" // Jalur file lokal untuk disimpan. localFilePath = "dest.jpg" ) func main() { // Inisialisasi penyedia kredensial. // Dapatkan kredensial akses dari variabel lingkungan. // Sebelum menjalankan kode ini, pastikan variabel lingkungan OSS_ACCESS_KEY_ID dan OSS_ACCESS_KEY_SECRET telah diatur. provider, err := oss.NewEnvironmentVariableCredentialsProvider() if err != nil { fmt.Printf("Gagal menginisialisasi penyedia kredensial: %v\n", err) os.Exit(-1) } // Buat instance klien OSS. // oss.ForcePathStyle(true) mengaktifkan akses gaya path, yang cocok untuk kasus penggunaan tertentu seperti PrivateLink. client, err := oss.New( endpoint, "", // AccessKeyId diperoleh melalui penyedia kredensial. "", // AccessKeySecret diperoleh melalui penyedia kredensial. oss.SetCredentialsProvider(&provider), oss.ForcePathStyle(true), ) if err != nil { fmt.Printf("Gagal membuat klien OSS: %v\n", err) os.Exit(-1) } // Dapatkan objek bucket. bucket, err := client.Bucket(bucketName) if err != nil { fmt.Printf("Gagal mendapatkan objek bucket: %v\n", err) os.Exit(-1) } // Unduh objek ke file lokal. // Jika file lokal ada, itu akan ditimpa. Jika tidak ada, itu akan dibuat. // Jika tidak ada jalur lokal yang ditentukan, file yang diunduh disimpan ke jalur lokal default proyek. err = bucket.GetObjectToFile(objectName, localFilePath) if err != nil { fmt.Printf("Gagal mengunduh file: %v\n", err) os.Exit(-1) } fmt.Printf("File berhasil diunduh: %s -> %s\n", objectName, localFilePath) }C++
Saat Anda mengakses OSS melalui PrivateLink, gunakan
conf.isPathStyle = trueuntuk mengaktifkan akses gaya path.#include <alibabacloud/oss/OssClient.h> #include <memory> #include <fstream> #include <iostream> using namespace AlibabaCloud::OSS; int main(void) { // Nama domain titik akhir PrivateLink. std::string Endpoint = "https://ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com"; // Nama bucket. std::string BucketName = "example-bucket"; // Jalur objek OSS (jalur lengkap tanpa nama bucket). std::string ObjectName = "dest.jpg"; // Jalur file lokal untuk disimpan. // Jika file lokal ada, itu akan ditimpa. Jika tidak ada, itu akan dibuat. // Jika tidak ada jalur lokal yang ditentukan, file yang diunduh disimpan ke jalur lokal default proyek. std::string FileNametoSave = "dest.jpg"; // Inisialisasi sumber daya SDK OSS, seperti jaringan. InitializeSdk(); // Konfigurasikan parameter klien. ClientConfiguration conf; // Dapatkan kredensial akses dari variabel lingkungan. // Sebelum menjalankan kode ini, pastikan variabel lingkungan OSS_ACCESS_KEY_ID dan OSS_ACCESS_KEY_SECRET telah diatur. auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>(); // Aktifkan akses gaya path, yang cocok untuk kasus penggunaan tertentu seperti PrivateLink. conf.isPathStyle = true; // Buat instance klien OSS. OssClient client(Endpoint, credentialsProvider, conf); // Bangun permintaan GetObject. GetObjectRequest request(BucketName, ObjectName); // Atur pabrik aliran respons untuk membuat aliran file lokal. request.setResponseStreamFactory([=]() { return std::make_shared<std::fstream>( FileNametoSave, std::ios_base::out | std::ios_base::in | std::ios_base::trunc | std::ios_base::binary ); }); // Jalankan operasi unduhan. auto outcome = client.GetObject(request); // Proses hasil unduhan. if (outcome.isSuccess()) { std::cout << "File berhasil diunduh, ukuran: " << outcome.result().Metadata().ContentLength() << " bytes" << std::endl; std::cout << "File disimpan di: " << FileNametoSave << std::endl; } else { // Tangani kesalahan. std::cout << "Pengunduhan file gagal" << std::endl << "Kode kesalahan: " << outcome.error().Code() << std::endl << "Pesan kesalahan: " << outcome.error().Message() << std::endl << "ID Permintaan: " << outcome.error().RequestId() << std::endl; // Rilis sumber daya dan kembalikan kode kesalahan. ShutdownSdk(); return -1; } // Rilis sumber daya SDK OSS, seperti jaringan. ShutdownSdk(); return 0; }
Hubungkan dari pusat data lokal menggunakan sirkuit Express Connect atau Gateway VPN
Untuk menggunakan PrivateLink untuk akses privat ke OSS, pusat data perusahaan dapat terhubung ke VPC Alibaba Cloud melalui sirkuit Express Connect atau Gateway VPN. Express Connect menyediakan performa jaringan yang stabil dan bandwidth yang dijamin, sedangkan Gateway VPN menawarkan koneksi terenkripsi yang fleksibel. Kedua solusi tersebut cocok untuk transfer data skala besar dalam lingkungan produksi. Untuk informasi lebih lanjut, lihat Hubungkan VPC ke Pusat Data atau Cloud Lain.
Terapkan dalam Produksi
Praktik Terbaik
Optimalkan Konfigurasi Grup Keamanan
Konfigurasikan aturan grup keamanan berdasarkan prinsip hak istimewa minimal. Berikan akses ke port titik akhir hanya dari rentang alamat IP yang diperlukan dan tetapkan proses tinjauan reguler untuk aturan keamanan Anda. Kontrol sumber IP yang tepat dan pembatasan port memastikan bahwa kebijakan akses Anda memenuhi kebutuhan bisnis sambil mencegah akses tidak sah.
Monitor Konektivitas Jaringan
Aktifkan log aliran VPC untuk menetapkan mekanisme deteksi anomali berdasarkan pola lalu lintas dan memantau perilaku akses PrivateLink serta status transmisi data secara real-time.
Terapkan di Beberapa Zona
Untuk membangun arsitektur layanan toleransi kesalahan dan ketersediaan tinggi dalam lingkungan produksi, sebarkan titik akhir di beberapa zona. Gunakan penyeimbangan beban atau DNS round-robin untuk distribusi lalu lintas cerdas. Jika satu zona gagal, lalu lintas secara otomatis dialihkan ke titik akhir sehat di zona lain, yang memastikan kontinuitas layanan dan stabilitas operasional.
Penagihan
PrivateLink ditagih berdasarkan penggunaan aktual, dan tagihan dihasilkan setiap jam. Item yang dapat ditagih termasuk biaya instans dan biaya transfer data. Pengguna layanan dan penyedia dapat berupa akun Alibaba Cloud yang berbeda, dan biaya dapat ditagihkan ke akun yang ditunjuk. Untuk informasi lebih lanjut, lihat Penagihan PrivateLink.