Akses OSS melalui jaringan pribadi menggunakan PrivateLink - Object Storage Service

PrivateLink membangun koneksi aman dan pribadi antara Virtual Private Cloud (VPC) dan Alibaba Cloud Object Storage Service (OSS). Koneksi ini menyediakan isolasi trafik native di lapisan jaringan untuk mengurangi risiko keamanan selama transfer data, menyelesaikan konflik alamat jaringan, serta mengurangi kompleksitas operasional. PrivateLink membantu Anda membangun arsitektur yang aman dan terkendali untuk mengakses penyimpanan cloud.

Cara kerja

PrivateLink bekerja dengan membuat private endpoint khusus di VPC Anda yang terhubung ke layanan Alibaba Cloud OSS. Hal ini memastikan bahwa seluruh trafik akses hanya berjalan di dalam backbone network Alibaba Cloud dan tidak pernah melewati internet publik. PrivateLink juga menyediakan kontrol akses berbasis IP sumber yang presisi serta kemampuan audit log aliran VPC untuk membangun kerangka keamanan data tingkat enterprise. Dibandingkan dengan internal endpoint yang disediakan oleh OSS, PrivateLink menawarkan tingkat isolasi keamanan jaringan native dan kontrol detail halus yang lebih tinggi, sehingga cocok untuk kasus penggunaan berikut:

Kasus penggunaan	Internal endpoint standar	PrivateLink
Persyaratan keamanan dan kepatuhan yang ketat	Endpoint standar menggunakan titik masuk layanan publik, yang memperluas permukaan serangan ke semua VPC di wilayah tersebut. Kontrol keamanan terutama mengandalkan kebijakan di lapisan aplikasi.	Mengurangi permukaan serangan. Endpoint berada di dalam VPC Anda, mencegah VPC lain menemukan atau mengaksesnya. Trafik diisolasi secara native di lapisan jaringan.
Kebutuhan kontrol detail halus di lapisan jaringan terhadap sumber akses	Anda tidak dapat menggunakan security group untuk mengontrol akses ke OSS. Anda hanya dapat mengandalkan bucket policy.	Mendukung pengikatan security group. Anda dapat menyambungkan aturan grup keamanan ke endpoint PrivateLink untuk mengontrol secara tepat IP sumber mana yang dapat mengakses OSS.
Kebutuhan untuk mengaudit semua upaya koneksi jaringan	Log akses OSS hanya mencatat permintaan yang berhasil dan tidak dapat mengaudit upaya koneksi yang ditolak di lapisan jaringan.	Mendukung VPC flow logs. Anda dapat menangkap dan mengaudit seluruh trafik yang mencoba mengakses endpoint, terlepas dari apakah koneksi berhasil atau tidak.
Arsitektur jaringan cloud hibrida kompleks dengan potensi konflik alamat IP	Layanan cloud menggunakan blok CIDR 100.64.0.0/10 secara default, yang mungkin bertentangan dengan paket jaringan pusat data lokal Anda.	Menghindari konflik IP. Endpoint menggunakan alamat IP dari ruang alamat VPC Anda, sepenuhnya menghormati rencana IP kustom Anda dan menyederhanakan konfigurasi routing cloud hibrida.

Wilayah yang didukung

Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), Hong Kong (Tiongkok), Jepang (Tokyo), Korea Selatan (Seoul), Singapura, Indonesia (Jakarta), Thailand (Bangkok), Jerman (Frankfurt), AS (Silicon Valley), AS (Virginia), dan Inggris (London).

Konfigurasi dan gunakan PrivateLink

Buat endpoint untuk membangun koneksi PrivateLink guna mengakses sumber daya OSS secara aman dari VPC atau pusat data lokal Anda.

Buat dan verifikasi endpoint

Pertama, buat endpoint untuk membangun koneksi aman dan pribadi antara VPC dan OSS Anda. Setelah membuat endpoint, verifikasi konektivitas jaringan dan akses ke OSS dari instance ECS untuk memastikan konfigurasi berfungsi.

Sebelum memulai, pastikan Anda telah membuat VPC dan vSwitch. Langkah verifikasi memerlukan instance ECS. Jika Anda belum memiliki instance, lihat Purchase an ECS instance untuk membuat instans pay-as-you-go.

Langkah 1: Buat endpoint

Buka halaman VPC endpoint dan klik Create Endpoint. Jika ini pertama kalinya, ikuti petunjuk di layar untuk mengaktifkan layanan PrivateLink.
Konfigurasikan parameter berikut. Anda dapat membiarkan parameter lain pada nilai default-nya.
- Region: Pilih wilayah tempat bucket OSS target berada, misalnya Tiongkok (Hangzhou).
- Endpoint Name: Masukkan nama deskriptif untuk endpoint, seperti privatelink-oss.
- Endpoint Type: Pilih Interface Endpoint.
- Endpoint Service: Pilih Alibaba Cloud Service, lalu pilih layanan endpoint OSS dari daftar layanan. Nama layanan diakhiri dengan oss.
  Catatan
  Jika layanan endpoint OSS tidak muncul di daftar layanan, hubungi technical support untuk meminta aktivasi.
- VPC: Pilih VPC target tempat Anda ingin membuat endpoint. Jika tidak ada VPC yang tersedia, klik Create VPC untuk membuatnya.
- Security Groups: Pilih grup keamanan yang akan diikat ke endpoint untuk kontrol akses. Jika tidak ada grup keamanan yang sesuai, klik Create Security Group untuk membuatnya.
- Zone and vSwitch: Pilih zona ketersediaan dan vSwitch yang sesuai tempat Anda ingin men-deploy endpoint. Jika tidak ada vSwitch yang tersedia, klik Create vSwitch untuk membuatnya.
Klik OK. Sistem akan membuat endpoint secara otomatis. Setelah endpoint dibuat, buka halaman detail endpoint untuk melihat dan menyalin Domain Name of Endpoint Service, yang akan Anda gunakan untuk mengakses OSS.

Langkah 2: Verifikasi endpoint

Jalankan uji konektivitas dan unduh file untuk memastikan endpoint PrivateLink berfungsi.

Verifikasi konektivitas jaringan
Gunakan perintah ping untuk menguji nama domain endpoint dan memastikan resolusi DNS serta jalur jaringan berfungsi.
```
ping -c 4 ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com
```
Verifikasi pengunduhan file
Dari instance ECS di wilayah yang sama, gunakan ossutil untuk mengunduh file dari OSS. Ini memverifikasi fungsionalitas end-to-end koneksi PrivateLink.
1. Install and configure ossutil 2.0.
2. Gunakan nama domain endpoint (misalnya, ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com) untuk mengakses sumber daya OSS. Contoh berikut mengunduh file bernama dest.jpg dari bucket bernama example-bucket:
```
ossutil cp oss://example-bucket/dest.jpg /tmp/ -e ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com --addressing-style path
```
  Eksekusi perintah yang berhasil menghasilkan output berikut, menunjukkan bahwa file telah diunduh. Anda dapat melihat file yang diunduh di direktori /tmp.
```
Success: Total 1 object, size 134102 B, Download done:(1 files, 134102 B), avg 680.112 KiB/s

0.193189(s) elapsed
```

Tingkatkan keamanan untuk akses VPC

Setelah memverifikasi fungsionalitas PrivateLink, konfigurasikan bucket policy untuk meningkatkan keamanan lebih lanjut. Contoh berikut menunjukkan cara membatasi akses file hanya ke VPC yang terkait dengan PrivateLink, menerapkan kontrol akses di kedua lapisan jaringan dan aplikasi.

Buka Bucket list dan klik bucket target.
Di panel navigasi kiri, klik Permission Control > Bucket Policy.
Klik Authorize dan konfigurasikan parameter berikut. Anda dapat membiarkan parameter lain pada nilai default-nya.
- Authorized User: Pilih All Accounts (*).
- Authorized Operation: Pilih Advanced Settings.
- Effect: Pilih Reject.
- Actions: Pilih oss:GetObject.
- Condition: Pilih VPC ≠ dan pilih VPC yang terkait dengan PrivateLink dari daftar drop-down.
Klik OK untuk menyimpan bucket policy.

Hubungkan perangkat lokal melalui SSL-VPN

Gateway SSL-VPN yang dideploy di VPC memungkinkan perangkat lokal individual, seperti workstation developer atau perangkat mobile, terhubung secara cepat dan fleksibel ke VPC Anda. Setelah perangkat membangun saluran data terenkripsi menggunakan SSL-VPN, perangkat tersebut dapat mengakses OSS secara aman melalui endpoint PrivateLink yang dikonfigurasi. Pendekatan ini cocok untuk skenario kerja jarak jauh, pengembangan dan pengujian, serta akses darurat.

Langkah 1: Buat gateway SSL-VPN dan konfigurasi klien

Deploy gateway SSL-VPN dan konfigurasikan klien untuk membangun koneksi terenkripsi antara perangkat lokal dan VPC. Untuk langkah-langkah detail, lihat Connect a PC or Android client to a VPC by using an SSL-VPN connection.

Langkah 2: Verifikasi akses pribadi ke OSS

Jalankan uji konektivitas dan unduh file untuk memastikan koneksi PrivateLink dari perangkat lokal berfungsi.

Verifikasi konektivitas
Gunakan perintah ping untuk menguji nama domain endpoint dan memastikan resolusi DNS serta jalur jaringan berfungsi.
```
ping -c 4 ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com
```

Verifikasi pengunduhan file

ossutil

Gunakan ossutil untuk melakukan operasi file guna memverifikasi fungsionalitas koneksi PrivateLink.

Install and configure ossutil 2.0.
Gunakan nama domain endpoint (misalnya, ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com) untuk mengakses sumber daya OSS. Contoh berikut mengunduh file bernama dest.jpg dari bucket bernama example-bucket:
```
ossutil cp oss://example-bucket/dest.jpg /tmp/ -e ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com --addressing-style path
```
Eksekusi perintah yang berhasil menghasilkan output berikut, menunjukkan bahwa file telah diunduh. Anda dapat melihat file yang diunduh di direktori /tmp.
```
Success: Total 1 object, size 134102 B, Download done:(1 files, 134102 B), avg 680.112 KiB/s

0.193189(s) elapsed
```

SDK

Menggunakan SDK lebih representatif untuk lingkungan produksi karena memungkinkan logika bisnis kompleks dan penanganan exception.

Java

Saat mengakses OSS melalui PrivateLink, panggil setSLDEnabled(true) untuk mengaktifkan akses gaya path. Untuk akses internet publik, atur parameter ini menjadi setSLDEnabled(false).

import com.aliyun.oss.*;
import com.aliyun.oss.common.auth.*;
import com.aliyun.oss.common.comm.SignVersion;
import com.aliyun.oss.model.GetObjectRequest;
import java.io.File;

/**
 * Contoh akses OSS PrivateLink
 * Menunjukkan cara mengakses OSS dan mengunduh file menggunakan PrivateLink.
 */
public class Test {

    public static void main(String[] args) throws Exception {
        // Domain endpoint PrivateLink.
        String endpoint = "https://ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com";

        // Tentukan wilayah yang sesuai dengan endpoint. Misalnya, cn-hangzhou.
        String region = "cn-hangzhou";

        // Dapatkan kredensial dari variabel lingkungan.
        // Sebelum menjalankan kode contoh ini, pastikan variabel lingkungan OSS_ACCESS_KEY_ID dan OSS_ACCESS_KEY_SECRET telah diatur.
        EnvironmentVariableCredentialsProvider credentialsProvider =
                CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider();

        // Tentukan nama bucket. Misalnya, example-bucket.
        String bucketName = "example-bucket";

        // Tentukan path lengkap objek. Jangan sertakan nama bucket dalam path lengkap.
        String objectName = "dest.jpg";

        // Tentukan path lokal untuk menyimpan file yang diunduh.
        String pathName = "dest.jpg";

        // Konfigurasi parameter klien.
        ClientBuilderConfiguration clientBuilderConfiguration = new ClientBuilderConfiguration();

        // Aktifkan akses gaya path untuk PrivateLink. Atur parameter ini ke false untuk akses internet publik melalui nama domain publik bucket.
        clientBuilderConfiguration.setSLDEnabled(true);

        // Gunakan eksplisit Signature Version 4.
        clientBuilderConfiguration.setSignatureVersion(SignVersion.V4);

        // Buat instance klien OSS.
        OSS ossClient = OSSClientBuilder.create()
                .endpoint(endpoint)
                .credentialsProvider(credentialsProvider)
                .clientConfiguration(clientBuilderConfiguration)
                .region(region)
                .build();

        try {
            // Unduh objek ke file lokal.
            // Jika file lokal yang ditentukan sudah ada, file tersebut akan ditimpa. Jika tidak ada, file tersebut akan dibuat.
            // Jika Anda tidak menentukan path lokal, file akan diunduh ke direktori root proyek.
            ossClient.getObject(new GetObjectRequest(bucketName, objectName), new File(pathName));

        } catch (OSSException oe) {
            // Tangani exception sisi server OSS.
            System.out.println("Terjadi OSSException, yang berarti permintaan Anda sampai ke server OSS, tetapi ditolak dengan respons kesalahan.");
            System.out.println("Pesan Kesalahan: " + oe.getErrorMessage());
            System.out.println("Kode Kesalahan: " + oe.getErrorCode());
            System.out.println("ID Permintaan: " + oe.getRequestId());
            System.out.println("ID Host: " + oe.getHostId());

        } catch (ClientException ce) {
            // Tangani exception sisi klien.
            System.out.println("Terjadi ClientException, yang berarti klien mengalami masalah internal serius saat mencoba berkomunikasi dengan OSS, " +
                    "seperti tidak dapat mengakses jaringan.");
            System.out.println("Pesan Kesalahan: " + ce.getMessage());

        } finally {
            // Lepaskan sumber daya.
            if (ossClient != null) {
                ossClient.shutdown();
            }
        }
    }
}

Python

Saat mengakses OSS melalui PrivateLink, atur is_path_style=True untuk mengaktifkan akses gaya path.

# -*- coding: utf-8 -*-
"""
Contoh akses OSS PrivateLink
Contoh ini menunjukkan cara mengakses OSS dan mengunduh file ke path lokal melalui koneksi PrivateLink.
"""

import oss2
from oss2.credentials import EnvironmentVariableCredentialsProvider


def main():
    """Fungsi utama: Menunjukkan cara mengakses OSS dan mengunduh file menggunakan PrivateLink."""
    
    # Konfigurasi kredensial.
    # Pasangan AccessKey Akun Alibaba Cloud memiliki izin penuh pada semua operasi API. Menggunakan kredensial ini menimbulkan risiko keamanan tinggi.
    # Kami sangat menyarankan Anda membuat dan menggunakan RAM user untuk memanggil operasi API atau melakukan O&M rutin.
    auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
    
    # Domain endpoint PrivateLink.
    endpoint = 'https://ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com'
    
    # Nama bucket.
    bucket_name = 'example-bucket'
    
    # Buat objek Bucket.
    # Atur is_path_style=True untuk mengaktifkan akses gaya path, yang diperlukan untuk skenario seperti PrivateLink.
    bucket = oss2.Bucket(auth, endpoint, bucket_name, is_path_style=True)
    
    # Path objek OSS. Jangan sertakan nama bucket dalam path.
    object_name = 'dest.jpg'
    
    # Path lokal untuk menyimpan file yang diunduh.
    local_file_path = 'dest.jpg'
    
    # Unduh objek ke file lokal.
    # Jika file lokal yang ditentukan sudah ada, file tersebut akan ditimpa. Jika tidak ada, file tersebut akan dibuat.
    bucket.get_object_to_file(object_name, local_file_path)
    
    print(f"File berhasil diunduh: {object_name} -> {local_file_path}")


if __name__ == '__main__':
    main()

Go

Saat mengakses OSS melalui PrivateLink, gunakan ForcePathStyle(true) untuk mengaktifkan akses gaya path.

package main

import (
	"fmt"
	"os"

	"github.com/aliyun/aliyun-oss-go-sdk/oss"
)

const (
	// Domain endpoint PrivateLink.
	endpoint = "https://ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com"

	// Nama bucket.
	bucketName = "example-bucket"

	// Path objek OSS. Jangan sertakan nama bucket dalam path.
	objectName = "dest.jpg"

	// Path lokal untuk menyimpan file yang diunduh.
	localFilePath = "dest.jpg"
)

func main() {
	// Inisialisasi penyedia kredensial.
	// Dapatkan kredensial dari variabel lingkungan.
	// Sebelum menjalankan kode contoh ini, pastikan variabel lingkungan OSS_ACCESS_KEY_ID dan OSS_ACCESS_KEY_SECRET telah diatur.
	provider, err := oss.NewEnvironmentVariableCredentialsProvider()
	if err != nil {
		fmt.Printf("Gagal menginisialisasi penyedia kredensial: %v\n", err)
		os.Exit(-1)
	}

	// Buat instance klien OSS.
	// Gunakan oss.ForcePathStyle(true) untuk mengaktifkan akses gaya path, yang diperlukan untuk skenario seperti PrivateLink.
	client, err := oss.New(
		endpoint,
		"", // ID AccessKey diperoleh dari penyedia dan dapat dibiarkan kosong di sini.
		"", // Rahasia AccessKey diperoleh dari penyedia dan dapat dibiarkan kosong di sini.
		oss.SetCredentialsProvider(&provider),
		oss.ForcePathStyle(true),
	)
	if err != nil {
		fmt.Printf("Gagal membuat klien OSS: %v\n", err)
		os.Exit(-1)
	}

	// Dapatkan objek bucket.
	bucket, err := client.Bucket(bucketName)
	if err != nil {
		fmt.Printf("Gagal mendapatkan objek bucket: %v\n", err)
		os.Exit(-1)
	}

	// Unduh objek ke file lokal.
	// Jika file lokal yang ditentukan sudah ada, file tersebut akan ditimpa. Jika tidak ada, file tersebut akan dibuat.
	// Jika Anda tidak menentukan path lokal, file akan diunduh ke direktori root proyek.
	err = bucket.GetObjectToFile(objectName, localFilePath)
	if err != nil {
		fmt.Printf("Gagal mengunduh file: %v\n", err)
		os.Exit(-1)
	}

	fmt.Printf("File berhasil diunduh: %s -> %s\n", objectName, localFilePath)
}

C++

Saat mengakses OSS melalui PrivateLink, atur conf.isPathStyle = true untuk mengaktifkan akses gaya path.

#include <alibabacloud/oss/OssClient.h>
#include <memory>
#include <fstream>
#include <iostream>

using namespace AlibabaCloud::OSS;

int main(void)
{
    // Domain endpoint PrivateLink.
    std::string Endpoint = "https://ep-bp1i****************.oss.cn-hangzhou.privatelink.aliyuncs.com";
    
    // Nama bucket.
    std::string BucketName = "example-bucket";
    
    // Path objek OSS. Jangan sertakan nama bucket dalam path.
    std::string ObjectName = "dest.jpg";
    
    // Path lokal untuk menyimpan file yang diunduh.
    // Jika file lokal yang ditentukan sudah ada, file tersebut akan ditimpa. Jika tidak ada, file tersebut akan dibuat.
    // Jika Anda tidak menentukan path lokal, file akan diunduh ke direktori root proyek.
    std::string FileNametoSave = "dest.jpg";

    // Inisialisasi sumber daya SDK OSS.
    InitializeSdk();

    // Konfigurasi parameter klien.
    ClientConfiguration conf;
    
    // Dapatkan kredensial dari variabel lingkungan.
    // Sebelum menjalankan kode contoh ini, pastikan variabel lingkungan OSS_ACCESS_KEY_ID dan OSS_ACCESS_KEY_SECRET telah diatur.
    auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>();
    
    // Aktifkan akses gaya path, yang diperlukan untuk skenario seperti PrivateLink.
    conf.isPathStyle = true;
    
    // Buat instance klien OSS.
    OssClient client(Endpoint, credentialsProvider, conf);

    // Bangun permintaan untuk mengunduh objek.
    GetObjectRequest request(BucketName, ObjectName);
    
    // Atur factory aliran respons untuk membuat aliran file lokal.
    request.setResponseStreamFactory([=]() {
        return std::make_shared<std::fstream>(
            FileNametoSave, 
            std::ios_base::out | std::ios_base::in | std::ios_base::trunc | std::ios_base::binary
        );
    });

    // Jalankan operasi pengunduhan.
    auto outcome = client.GetObject(request);

    // Tangani hasil pengunduhan.
    if (outcome.isSuccess()) {
        std::cout << "File berhasil diunduh. Ukuran: " 
                  << outcome.result().Metadata().ContentLength() 
                  << " byte" << std::endl;
        std::cout << "Disimpan ke: " << FileNametoSave << std::endl;
    }
    else {
        // Tangani kesalahan.
        std::cout << "Pengunduhan gagal" << std::endl
                  << "Kode kesalahan: " << outcome.error().Code() << std::endl
                  << "Pesan kesalahan: " << outcome.error().Message() << std::endl
                  << "ID Permintaan: " << outcome.error().RequestId() << std::endl;
        
        // Lepaskan sumber daya dan kembalikan kode kesalahan.
        ShutdownSdk();
        return -1;
    }

    // Lepaskan sumber daya SDK OSS.
    ShutdownSdk();
    return 0;
}

Hubungkan pusat data melalui Express Connect atau VPN

Pusat data enterprise dapat terhubung ke VPC Alibaba Cloud melalui sirkuit Express Connect atau gateway VPN, lalu menggunakan PrivateLink untuk mengakses OSS melalui jaringan pribadi. Express Connect memberikan kinerja jaringan stabil dan bandwidth terjamin, sedangkan gateway VPN menyediakan koneksi terenkripsi yang fleksibel. Kedua solusi ini cocok untuk transfer data skala besar di lingkungan produksi. Untuk informasi lebih lanjut, lihat Connect a VPC to an on-premises data center or another cloud.

Lingkungan produksi

Praktik terbaik

Optimalkan konfigurasi security group
Konfigurasikan aturan grup keamanan berdasarkan prinsip hak istimewa minimal. Berikan akses port hanya ke rentang alamat IP yang diperlukan, dan tinjau secara berkala aturan keamanan. Kontrol presisi terhadap IP sumber dan port mencegah akses tidak sah dan penyebaran izin berlebihan, memastikan kebijakan selaras dengan kebutuhan bisnis.
Monitor konektivitas jaringan
Aktifkan VPC flow logs dan gunakan pola lalu lintas untuk mendeteksi anomali serta memantau perilaku akses PrivateLink dan transfer data secara real-time.
Menyebarkan di Beberapa Zona Ketersediaan
Di lingkungan produksi, deploy endpoint di beberapa availability zone untuk ketersediaan tinggi dan pemulihan bencana. Gunakan load balancing atau DNS round-robin untuk mendistribusikan trafik secara cerdas. Jika satu availability zone gagal, lalu lintas layanan secara otomatis beralih ke endpoint sehat di availability zone lain, memastikan kelangsungan layanan dan operasi yang stabil.

Tagihan

PrivateLink ditagih per jam berdasarkan penggunaan aktual. Biaya mencakup biaya instans dan biaya transfer data. Pengguna layanan dan penyedia layanan dapat merupakan akun Alibaba Cloud yang berbeda, dan biaya dapat ditagihkan ke akun yang ditentukan. Untuk informasi lebih lanjut, lihat Billing overview.