Bagikan layanan Anda

Penyedia layanan dapat membuat layanan titik akhir untuk berbagi layanan secara pribadi dengan pengguna yang berwenang, menyederhanakan arsitektur jaringan tanpa mengekspos layanan ke internet publik.

Akses pribadi yang aman: Trafik layanan dikirimkan melalui jaringan pribadi, melindungi data dari eksposur internet dan risiko keamanan.
Arsitektur jaringan yang disederhanakan: PrivateLink membuat antarmuka jaringan elastis (ENI) di virtual private cloud (VPC) konsumen, berfungsi sebagai titik akses lokal. Konsumen dapat mengakses layanan seperti resource VPC lainnya, menghilangkan kebutuhan akan koneksi peering VPC atau instans Cloud Enterprise Network (CEN), serta mencegah konflik alamat IP.

Cara kerja

Penyedia layanan: Men-deploy instans Server Load Balancer (SLB), termasuk Network Load Balancer (NLB), Application Load Balancer (ALB), atau Classic Load Balancer (CLB), di wilayah layanan, lalu membuat layanan titik akhir.
Konsumen layanan: Membuat titik akhir antarmuka di VPC mereka menggunakan nama layanan titik akhir untuk membangun akses jaringan pribadi. Setelah terhubung ke VPC lain atau pusat data, mereka dapat mengakses layanan melalui titik akhir antarmuka tersebut.

Kedua belah pihak—penyedia dan konsumen layanan—harus merupakan pengguna Alibaba Cloud. Titik akhir dan layanan titik akhir harus berada di wilayah yang sama.

Penyedia layanan harus men-deploy instans SLB dengan server backend dan membuat layanan titik akhir di wilayah target.

Sumber daya layanan yang didukung: Instans NLB (publik atau pribadi), Instans ALB (publik atau pribadi), dan Instans CLB (pribadi, pay-as-you-go).

Sebelum memulai, pastikan sumber daya layanan telah dikonfigurasi dan layanan backend telah dideploy.

Konsol

Buat layanan titik akhir (Penyedia layanan)

Buka halaman Create Endpoint Service di Konsol PrivateLink, lalu konfigurasikan pengaturan berikut:
- Region: Pilih wilayah layanan.
- EPS Resource Type: Pilih jenis resource. Untuk ketersediaan tinggi, tambahkan sumber daya layanan dari beberapa zona.
- Automatically Accept Endpoint Connections: Pilih apakah akan menerima permintaan koneksi secara otomatis. Pengaturan ini tidak memengaruhi koneksi yang sudah ada jika diubah nanti.
  - Yes: Koneksi dibuat secara otomatis ketika konsumen membuat titik akhir antarmuka.
  - No: Anda harus menyetujui setiap permintaan koneksi secara manual.
- Zone Affinity: Aktifkan fitur ini jika konsumen memerlukan akses dengan latensi rendah. Ketika penyedia dan konsumen sama-sama mengaktifkan zone affinity, trafik dari zona yang sama akan diarahkan ke ENI lokal untuk performa optimal.
- IP Version: Pilih IPv4 atau Dual-stack. Pilih Dual-stack hanya jika semua sumber daya layanan mendukungnya (CLB tidak mendukung dual-stack).
- Payer: Pilih siapa yang membayar koneksi PrivateLink (detail penagihan). Secara default adalah konsumen layanan. Pengaturan ini tidak dapat diubah setelahnya.
Setelah membuat layanan titik akhir, konfigurasikan daftar putih layanan untuk memberi otorisasi kepada akun lain agar dapat terhubung.
Pada halaman detail layanan titik akhir, klik tab Service Whitelist, lalu klik Add to Whitelist:
- *: Izinkan semua akun Alibaba Cloud untuk terhubung.
- UID Akun: Izinkan hanya akun tertentu untuk terhubung.

Buat titik akhir antarmuka (Konsumen layanan)

Buka halaman Buat Titik Akhir.
Konfigurasikan titik akhir antarmuka dengan pengaturan berikut:
- Region: Pilih wilayah yang sama dengan layanan titik akhir (koneksi cross-region tidak didukung).
- Endpoint Service: Pilih Other Endpoint Services dan masukkan nama layanan untuk melakukan autentikasi dan mendapatkan akses.
- VPC dan Zone and vSwitch:
  - Pilih zona tempat layanan titik akhir tersedia. Zona tersebut harus sesuai dengan zona sumber daya layanan. Untuk ketersediaan tinggi, pilih vSwitch di minimal dua zona.
  - Secara opsional, tetapkan alamat IP spesifik dari vSwitch ke ENI. Jika tidak ditentukan, sistem akan menetapkan alamat IP secara otomatis.
    Jangan gunakan alamat IP yang dicadangkan sistem.
- Security Group: Asosiasikan security group untuk mengontrol lalu lintas inbound untuk semua ENI zona titik akhir.
- IP Version: Pilih Dual-stack jika layanan mendukungnya (memungkinkan akses IPv4 dan IPv6). Jika tidak, pilih IPv4.
- Zone Affinity: Jika layanan mendukung zone affinity, aktifkan untuk performa optimal:
  - Saat mengakses dari zona yang sama menggunakan nama domain titik akhir, trafik diarahkan ke ENI lokal untuk latensi terendah.
  - Saat mengakses dari zona berbeda, trafik didistribusikan ke seluruh zona titik akhir.

Uji koneksi dari instans ECS di VPC yang sama:

ping <alamat IP ENI di zona titik akhir>
# Temukan alamat IP pribadi ENI di tab Zones and ENIs pada halaman detail instans.
# Untuk layanan HTTP/HTTPS, akses langsung port layanan.
curl -sI https://<nama domain titik akhir>
# Temukan nama domain titik akhir di halaman daftar instans.

API

Penyedia layanan: Panggil operasi CreateVpcEndpointService untuk membuat layanan titik akhir.
Konsumen layanan: Panggil operasi CreateVpcEndpoint untuk membuat titik akhir.

Kontrol akses layanan

Kontrol siapa yang dapat mengakses layanan titik akhir Anda menggunakan daftar putih dan pengaturan penerimaan otomatis:

Hanya pengguna tepercaya: Tambahkan ID akun spesifik ke daftar putih dan aktifkan penerimaan otomatis.
Akses lebih luas dengan persetujuan: Tambahkan * ke daftar putih dan nonaktifkan penerimaan otomatis untuk meninjau setiap permintaan secara manual.

Daftar putih layanan

Secara default, hanya akun Anda yang dapat mengakses layanan titik akhir. Tambahkan akun lain ke daftar putih untuk memberikan akses:

Peluncuran bertahap: Tambahkan ID akun secara bertahap selama pengujian. Tambahkan * saat siap untuk akses publik.
Akses terbatas: Tambahkan hanya ID akun tertentu untuk layanan privat.

Konsol

Pada halaman detail layanan titik akhir, buka Service Whitelist > Add to Whitelist:

*: Izinkan semua akun
UID Akun: Izinkan hanya akun tertentu

API

Panggil operasi AddUserToVpcEndpointService untuk menambahkan akun ke daftar putih layanan.
Panggil operasi RemoveUserFromVpcEndpointService untuk menghapus akun dari daftar putih layanan.

Terima koneksi titik akhir secara otomatis

Konsumen layanan hanya dapat mengakses layanan titik akhir melalui jaringan pribadi setelah penyedia layanan menerima permintaan koneksi titik akhir.

Konsol

Saat membuat layanan titik akhir, atur Automatically Accept Endpoint Connections:
- Yes: Koneksi dibuat secara otomatis.
- No: Buka tab Endpoint Connections dari layanan titik akhir target dan pilih Allow atau Deny di kolom Actions untuk setiap permintaan koneksi.
Setelah layanan titik akhir dibuat, buka tab Basic Information dari layanan titik akhir target untuk Enable atau Disable penerimaan otomatis koneksi titik akhir. Mengubah opsi ini setelah pembuatan tidak memengaruhi koneksi yang sudah ada.

API

Saat memanggil operasi CreateVpcEndpointService dan UpdateVpcEndpointServiceAttribute, atur parameter AutoAcceptEnabled untuk menentukan apakah koneksi titik akhir diterima secara otomatis.
Jika Anda mengatur AutoAcceptEnabled ke false, panggil operasi EnableVpcEndpointConnection atau DisableVpcEndpointConnection untuk mengizinkan atau menolak permintaan koneksi titik akhir.

Pastikan ketersediaan tinggi untuk akses layanan

Konfigurasikan sumber daya layanan di beberapa zona untuk layanan titik akhir.
- Jika sumber daya layanan adalah instans NLB atau ALB, tambahkan instans dari beberapa zona.
- Jika sumber daya layanan adalah instans CLB, tambahkan beberapa instans CLB dengan zona primary yang berbeda.
Pilih vSwitch dari minimal dua zona saat membuat titik akhir antarmuka.
Gunakan nama domain titik akhir untuk mengakses layanan. Alibaba Cloud menyediakan pemantauan ketersediaan yang sepenuhnya dikelola untuk memastikan failover cepat ke zona lain jika terjadi gangguan:
- Alamat IP ENI di zona titik akhir yang berbeda dipantau secara real time. Jika terdeteksi anomali, rekaman DNS yang sesuai akan dihapus untuk mencegah gangguan layanan atau kehilangan data.
- Setelah gangguan teratasi, rekaman DNS yang sesuai dipulihkan secara otomatis.

Konsol

Konfigurasikan sumber daya layanan multi-zona untuk layanan titik akhir sebagai penyedia layanan

Saat membuat layanan titik akhir, pilih sumber daya layanan dari beberapa zona.
Setelah pembuatan, klik ID layanan titik akhir. Pada tab Basic Information, klik Add Service Resource, lalu pilih instans sumber daya yang akan ditambahkan.

Konfigurasikan beberapa zona untuk titik akhir antarmuka sebagai konsumen layanan

Saat membuat titik akhir antarmuka, pilih vSwitch dari minimal dua zona.
Setelah pembuatan, klik ID titik akhir antarmuka. Di tab Zones And ENIs, klik Add Zone.

Untuk memastikan ketersediaan tinggi, gunakan nama domain titik akhir untuk mengakses layanan. Anda dapat menemukan Endpoint Domain Name di halaman Interface Endpoints.

API

Konfigurasi layanan titik akhir

Panggil AttachResourceToVpcEndpointService untuk menambahkan sumber daya layanan ke layanan titik akhir.
Panggil DetachResourceFromVpcEndpointService untuk menghapus sumber daya layanan dari layanan titik akhir.

Konfigurasi titik akhir

Panggil AddZoneToVpcEndpoint untuk menambahkan zona ke titik akhir.
Panggil RemoveZoneFromVpcEndpoint untuk menghapus zona dari titik akhir.

Alokasikan sumber daya layanan

Untuk mencegah overload sumber daya layanan, tambahkan beberapa sumber daya layanan ke setiap zona layanan titik akhir. Hal ini mendistribusikan trafik dengan memungkinkan koneksi titik akhir yang berbeda menggunakan sumber daya layanan yang berbeda. Jika satu sumber daya layanan gagal, koneksi titik akhir secara otomatis melakukan failover ke sumber daya layanan lain yang tersedia di zona yang sama.

Jika sumber daya layanan adalah instans CLB, Anda dapat langsung mengganti sumber daya layanan suatu zona tanpa memutus koneksi titik akhir.

Fitur untuk mengganti sumber daya layanan zona dan mengalokasikan sumber daya layanan secara manual dinonaktifkan secara default. Untuk mengaktifkannya, buka konsol Quota Center dan ajukan kuota privatelink_whitelist/svc_res_mgt_uat.

Metode alokasi sumber daya layanan: Tentukan apakah akan mengalokasikan sumber daya layanan secara otomatis atau manual ke koneksi zona titik akhir. Setiap zona harus memiliki minimal satu sumber daya layanan yang dapat dialokasikan secara otomatis.
Alokasikan sumber daya layanan untuk koneksi zona titik akhir:
- Saat penyedia layanan menerima koneksi titik akhir secara otomatis:
  - PrivateLink secara otomatis mengalokasikan sumber daya layanan dari zona yang sama ke koneksi zona titik akhir berdasarkan bandwidth resource dan jumlah koneksi. Sumber daya layanan yang dialokasikan harus dikonfigurasi untuk alokasi otomatis.
  - Jika sumber daya layanan yang dialokasikan secara otomatis tidak mencukupi, putuskan koneksi zona titik akhir, alokasikan sumber daya layanan yang berbeda secara manual, lalu izinkan koneksi kembali.
- Saat penyedia layanan menerima koneksi titik akhir secara manual:
  - Alokasikan sumber daya layanan secara manual sebelum mengizinkan koneksi. Jika Anda tidak mengalokasikan sumber daya layanan secara manual, pilih Allow Connection And Automatically Allocate Service Resource saat mengizinkan koneksi titik akhir.
  - Jika sumber daya layanan yang dialokasikan secara otomatis tidak mencukupi, putuskan koneksi zona titik akhir, alokasikan sumber daya layanan yang berbeda secara manual, lalu izinkan koneksi kembali.

Tambah/Hapus Sumber Daya Layanan

Konsol

Tambahkan sumber daya layanan

Buka halaman Endpoint Services dan klik ID layanan titik akhir target untuk membuka halaman detailnya.
Di tab Basic Information, pada bagian Service Resources, klik Add Service Resource. Pilih zona dan sumber daya layanan spesifik.

Hapus sumber daya layanan

Di tab Basic Information dari layanan titik akhir target, pada bagian Service Resources, temukan sumber daya layanan target dan klik Delete di kolom Actions. Ini menghapus sumber daya layanan dari layanan titik akhir tanpa menghapus instans SLB yang mendasarinya.

Anda tidak dapat menghapus sumber daya layanan yang terkait dengan koneksi zona titik akhir. Putuskan koneksi zona titik akhir terlebih dahulu.

API

Panggil AttachResourceToVpcEndpointService untuk menambahkan sumber daya layanan ke layanan titik akhir.
Panggil DetachResourceFromVpcEndpointService untuk menghapus sumber daya layanan dari layanan titik akhir.

Atur metode alokasi untuk sumber daya layanan tertentu

Konsol

Di halaman detail layanan titik akhir target, buka tab Basic Information. Di bagian Service Resources, aktifkan atau nonaktifkan sakelar Automatic Allocation untuk sumber daya layanan target guna mengontrol apakah sumber daya layanan tersebut dapat dialokasikan secara otomatis ke koneksi titik akhir.

Pastikan setiap zona memiliki minimal satu sumber daya layanan yang dapat dialokasikan secara otomatis.
Mengubah pengaturan Automatic Allocation untuk sumber daya layanan tidak memengaruhi koneksi titik akhir yang sudah ada.

API

Panggil UpdateVpcEndpointServiceResourceAttribute dan atur parameter AutoAllocatedEnabled untuk menentukan metode alokasi sumber daya layanan.

Alokasikan sumber daya layanan secara manual ke koneksi zona titik akhir

Konsol

Di halaman detail layanan titik akhir target, buka tab Endpoint Connections. Putuskan koneksi titik akhir dengan salah satu cara berikut:
- Putuskan koneksi di semua zona: Temukan titik akhir target dan klik Reject di kolom Actions. Ini membuat layanan titik akhir tidak tersedia. Lakukan dengan hati-hati.
- Putuskan koneksi di zona tertentu: Klik ikon di samping titik akhir target, temukan zona target, lalu klik Disconnect Service Resource di kolom Actions. Ini dapat mengganggu koneksi layanan. Evaluasi dampaknya sebelum melanjutkan.
Sesuaikan metode alokasi sumber daya layanan:
- Alokasikan sumber daya layanan secara otomatis: Klik ikon di samping titik akhir target, temukan zona target, lalu klik Allocate Service Resource di kolom Actions. Pilih Automatic Allocation dan klik Connect Service Resource.
  Jika koneksi zona titik akhir sudah memiliki sumber daya layanan yang ditentukan, memilih Automatic Allocation akan menghapus sumber daya layanan yang ditentukan tersebut.
- Alokasikan sumber daya layanan secara manual: Klik ikon di samping titik akhir target, temukan zona target, lalu klik Allocate Service Resource di kolom Actions. Klik Manual Allocation, pilih sumber daya layanan yang ada, lalu klik Connect Service Resource.

API

Panggil DisableVpcEndpointZoneConnection untuk memutus koneksi zona titik akhir.
Panggil UpdateVpcEndpointZoneConnectionResourceAttribute untuk mengalokasikan sumber daya layanan ke zona titik akhir:
1. Atur ResourceAllocateMode ke Auto untuk mengalokasikan sumber daya layanan secara otomatis.
2. Atur ResourceAllocateMode ke Manual dan tentukan ResourceId untuk mengalokasikan sumber daya layanan secara manual.
Panggil EnableVpcEndpointZoneConnection untuk mengizinkan koneksi zona titik akhir.

Ganti sumber daya layanan zona

Jika sumber daya layanan adalah instans CLB, Anda dapat langsung mengganti sumber daya layanan zona tanpa memutus koneksi titik akhir.

Konsol

Di halaman detail layanan titik akhir target, buka tab Basic Information. Di bagian Service Resources, nonaktifkan Automatic Allocation untuk sumber daya layanan target.
Ganti sumber daya layanan untuk koneksi titik akhir target dengan salah satu dari dua cara berikut:
- Di tab Basic Information pada halaman detail layanan titik akhir, di bagian Service Resources, temukan sumber daya layanan target dan klik Replace Resource di kolom Actions. Pilih sumber daya layanan baru dan koneksi titik akhir target yang ingin diganti sumber daya layanannya.
- Di tab Endpoint Connections pada halaman detail layanan titik akhir, klik ikon di samping titik akhir target. Temukan zona target dan klik Replace Service Resource di kolom Actions.
Pilih metode migrasi. Migrasi lancar direkomendasikan. Migrasi paksa dapat mengganggu koneksi layanan. Evaluasi dampaknya sebelum melanjutkan.
- Smooth Migration:
  - Sistem pertama-tama membuat ENI baru untuk koneksi zona titik akhir, menghubungkan ENI baru ke sumber daya layanan baru, lalu menambahkan alamat IP ENI baru ke rekaman DNS.
  - Sistem kemudian menghapus alamat IP ENI lama dari rekaman DNS.
  - Anda harus menentukan kapan semua koneksi yang ada telah diputus. Lalu, di kolom Actions zona target, klik Disconnect Old Service Resource. Setelah diputus, ENI lama akan dihapus secara permanen.
- Forcible Migration: Setelah migrasi selesai, sumber daya layanan asli langsung dihapus dari layanan titik akhir. Migrasi paksa memutus semua koneksi layanan yang bergantung pada sumber daya layanan asli dan dapat mengganggu koneksi layanan. Evaluasi dampaknya sebelum melanjutkan.

API

Panggil UpdateVpcEndpointZoneConnectionResourceAttribute untuk mengganti sumber daya layanan untuk koneksi zona titik akhir.

Ubah bandwidth koneksi titik akhir

Anda dapat mengonfigurasi pembatasan bandwidth untuk koneksi titik akhir guna mengontrol trafik secara tepat dan mencegah overload sumber daya layanan backend. ENI di setiap zona titik akhir secara otomatis mewarisi batas bandwidth koneksi titik akhir tersebut.

Batas bandwidth default: Batas bandwidth default diterapkan pada koneksi titik akhir saat koneksi tersebut memasuki status Connected.
- Saat sumber daya layanan adalah CLB:
  - Batas bandwidth default untuk koneksi titik akhir adalah 3.072 Mbit/s. Nilai valid: 100 hingga 10.240. Satuan: Mbit/s.
  - Batas bandwidth default dapat diubah. Perubahan pada batas bandwidth default tidak memengaruhi bandwidth koneksi titik akhir yang sudah ada. Perubahan hanya berlaku untuk koneksi titik akhir baru.
- Jika sumber daya layanan adalah instans NLB atau ALB, batas bandwidth default tidak didukung.
Konfigurasikan pembatasan bandwidth untuk koneksi titik akhir tertentu: Anda dapat mengatur batas bandwidth yang sesuai untuk mencegah overload sumber daya layanan. Setelah mengonfigurasi pembatasan bandwidth untuk koneksi titik akhir tertentu, batas bandwidth default tidak lagi berlaku untuk koneksi tersebut.
- Aktifkan pembatasan bandwidth:
  - Jika layanan titik akhir dikonfigurasi untuk menerima koneksi titik akhir secara otomatis, Anda dapat mengaktifkan pembatasan bandwidth setelah koneksi titik akhir dibuat.
  - Jika layanan titik akhir dikonfigurasi untuk menerima koneksi titik akhir secara manual, Anda dapat mengaktifkan pembatasan bandwidth saat menerima koneksi titik akhir.
- Rentang batas bandwidth untuk sumber daya layanan berbeda:
  - NLB dan ALB: Bandwidth minimum 100 Mbit/s dan maksimum 25 Gbit/s.
  - CLB: Bandwidth minimum 100 Mbit/s dan maksimum 10.240 Mbit/s.

Konsol

Ubah batas bandwidth default: Di halaman detail layanan titik akhir target, di tab Basic Information, klik Modify di samping Default Bandwidth Limit.
Konfigurasikan pembatasan bandwidth untuk koneksi titik akhir tertentu: Di halaman detail layanan titik akhir target, di tab Endpoint Connections, temukan titik akhir target dan di kolom Actions, aktifkan, ubah, atau nonaktifkan pembatasan bandwidth.

API

Panggil UpdateVpcEndpointServiceAttribute dan konfigurasikan parameter Bandwidth untuk mengubah bandwidth layanan titik akhir.
Panggil UpdateVpcEndpointConnectionAttribute dan konfigurasikan parameter Bandwidth untuk mengubah bandwidth koneksi titik akhir.

Hentikan layanan titik akhir

Penyedia layanan dapat menghapus layanan titik akhir untuk berhenti menyediakannya. Jika Anda menghapus layanan titik akhir, layanan tersebut menjadi tidak tersedia dan semua koneksi titik akhir ke layanan tersebut akan diputus. Lakukan dengan hati-hati.

Konsol

Sebelum menghapus layanan titik akhir, Anda harus memutus atau menolak semua koneksi titik akhir ke layanan tersebut dan menghapus semua sumber daya layanan dari layanan tersebut.
Klik Delete di kolom Actions dari layanan titik akhir target.

API

Panggil DisableVpcEndpointZoneConnection untuk memutus koneksi zona titik akhir.
Panggil DetachResourceFromVpcEndpointService untuk menghapus sumber daya layanan dari layanan titik akhir.
Panggil DeleteVpcEndpointService untuk menghapus layanan titik akhir.

FAQ

Mengapa konsumen layanan tidak dapat menemukan layanan titik akhir?
Pastikan ID akun Alibaba Cloud konsumen layanan telah ditambahkan ke daftar putih layanan. Hanya akun Alibaba Cloud yang ditambahkan ke daftar putih layanan yang dapat mencari dan terhubung ke layanan titik akhir.
Mengapa status koneksi selalu Disconnected?
Periksa apakah Automatically Accept Endpoint Connections diaktifkan untuk layanan titik akhir. Jika fitur ini tidak diaktifkan, buka tab Endpoint Connections untuk mengizinkan permintaan koneksi titik akhir.