PrivateLink memungkinkan Anda mengakses layanan yang dideploy di VPC lain secara aman dan andal dari VPC Alibaba Cloud maupun pusat data lokal melalui jaringan pribadi. Fitur ini menyederhanakan arsitektur jaringan dan menghilangkan risiko keamanan akibat mengekspos layanan ke internet.
Pendahuluan
PrivateLink menyediakan koneksi jaringan pribadi yang aman, fleksibel, dan sangat tersedia untuk layanan lintas akun dan VPC yang berbeda. Berdasarkan kasus penggunaan, pengguna PrivateLink dikategorikan sebagai konsumen layanan atau penyedia layanan:
Sebagai konsumen layanan, Anda dapat menghubungkan VPC Alibaba Cloud atau pusat data lokal ke layanan yang dideploy di VPC lain tanpa perlu mengonfigurasi komponen seperti Gateway IPv4, Gateway IPv6, gateway NAT, alamat IP elastis, router transit, atau gateway Express Connect.
Sebagai penyedia layanan, Anda dapat fokus pada pengembangan layanan. PrivateLink menyederhanakan konektivitas jaringan bagi konsumen layanan dan menghilangkan kebutuhan untuk mengonfigurasi rute serta aturan keamanan yang kompleks.
PrivateLink mendukung skenario koneksi berikut:
Koneksi dalam satu wilayah: Endpoint dan layanan titik akhir dideploy di wilayah yang sama.
Koneksi cross-region: Endpoint dan layanan titik akhir dideploy di wilayah yang berbeda.
PrivateLink memungkinkan pembuatan koneksi pribadi antar akun di situs Alibaba Cloud Tiongkok daratan dan situs Internasional. Misalnya, akun di situs Tiongkok daratan dapat menggunakan endpoint untuk terhubung ke layanan titik akhir di akun di situs Internasional. Namun, koneksi lintas situs antara wilayah di Tiongkok daratan dan wilayah di luar Tiongkok daratan tidak didukung.
Kasus Penggunaan
Skenario 1: Mengakses layanan Alibaba Cloud
Anda dapat menggunakan PrivateLink untuk mengakses layanan Alibaba Cloud secara privat. Dalam skenario ini, Alibaba Cloud bertindak sebagai penyedia layanan.
Untuk daftar layanan Alibaba Cloud yang terintegrasi dengan PrivateLink, lihat Layanan Alibaba Cloud yang terintegrasi dengan PrivateLink.
Jika Anda perlu mengakses layanan Alibaba Cloud dari VPC dan pusat data lokal untuk keperluan bisnis, tentukan nama layanan Alibaba Cloud saat membuat endpoint di VPC. Semua permintaan yang dikirim ke endpoint tersebut akan diteruskan ke layanan Alibaba Cloud yang sesuai melalui PrivateLink. Selain itu, klien di pusat data lokal dapat menggunakan produk jaringan untuk membuat koneksi jaringan dengan VPC, sehingga memungkinkan mereka mengakses layanan Alibaba Cloud melalui endpoint di VPC tersebut.
Saat menggunakan interface endpoint untuk mengakses layanan Alibaba Cloud, Anda dapat mengonfigurasi kebijakan endpoint dan grup keamanan untuk mengontrol sumber daya klien mana yang dapat mengakses layanan melalui interface endpoint tersebut. Hal ini memungkinkan Anda memenuhi persyaratan keamanan tertentu.
Saat menggunakan reverse endpoint untuk mengakses layanan Alibaba Cloud, Anda dapat mengonfigurasi grup keamanan untuk mengontrol sumber daya klien mana yang dapat diakses oleh layanan Alibaba Cloud.
Saat menggunakan endpoint GWLB (GWLBe) untuk mengakses layanan Alibaba Cloud, Anda dapat menentukan kebijakan rute VPC kustom untuk mengontrol sumber daya klien mana yang dapat mengakses layanan melalui GWLBe.
gateway endpoint tidak bergantung pada PrivateLink dan hanya mendukung akses ke sejumlah terbatas layanan Alibaba Cloud. Saat membuat gateway endpoint, Anda dapat mengonfigurasi kebijakan endpoint untuk mengamankan akses ke layanan Alibaba Cloud tersebut.
Skenario 2: Berbagi layanan yang dibuat pengguna
Sebagai penyedia layanan, Anda dapat membangun layanan di Alibaba Cloud dan membagikannya kepada konsumen layanan.
Anda dapat membuat layanan titik akhir di VPC Anda dan mengaitkannya dengan sumber daya layanan, seperti Network Load Balancer (NLB), Classic Load Balancer (CLB), atau Application Load Balancer (ALB). Dengan mengonfigurasi daftar putih layanan, Anda dapat memberikan izin kepada pengguna Alibaba Cloud lain untuk mengakses layanan Anda. Pengguna tersebut kemudian dapat membuat interface endpoint di VPC mereka dengan menentukan nama layanan Anda untuk terhubung ke layanan titik akhir Anda. Semua permintaan yang dikirim ke interface endpoint tersebut akan diteruskan ke layanan Anda melalui PrivateLink.
Skenario 3: Mengakses perangkat jaringan virtual
Sebagai penyedia layanan, Anda dapat menggunakan Gateway Load Balancer (GWLB) untuk mendePLOY perangkat jaringan virtual, seperti firewall, sistem pendeteksian intrusi, perangkat pencerminan lalu lintas, atau sistem Deep Packet Inspection. Anda kemudian dapat membagikan perangkat ini kepada pengguna Alibaba Cloud lain.
Anda dapat membuat layanan titik akhir di VPC Anda dan memilih GWLB sebagai sumber daya layanan. Dengan mengonfigurasi daftar putih layanan, Anda memberikan izin kepada pengguna Alibaba Cloud lain untuk mengakses perangkat jaringan virtual Anda. Pengguna tersebut kemudian dapat membuat endpoint GWLB (GWLBe) di VPC mereka dengan menentukan nama layanan Anda untuk terhubung ke layanan titik akhir Anda. Semua trafik yang dikirim ke GWLBe ini akan diteruskan ke perangkat jaringan virtual Anda melalui PrivateLink.
Sebagai konsumen layanan, Anda dapat mengonfigurasi GWLBe sebagai lompatan berikutnya di tabel rute VPC. Dengan menggunakan kebijakan rute VPC, Anda dapat mengontrol secara tepat trafik klien mana yang diarahkan ke GWLBe. Setelah trafik mencapai GWLBe, PrivateLink meneruskannya ke GWLB di zona yang sama. GWLB kemudian membungkus paket asli dalam saluran data Geneve dan meneruskan trafik ke perangkat jaringan virtual backend yang sehat berdasarkan algoritma penjadwalan trafiknya.
Manfaat
Transmisi jaringan yang aman
Saat Anda menggunakan PrivateLink untuk mengakses layanan, trafik ditransmisikan melalui jaringan pribadi, yang lebih aman dibandingkan mengakses layanan melalui internet. PrivateLink menyediakan rangkaian fitur keamanan lengkap untuk kontrol akses detail halus.
Manajemen jaringan yang disederhanakan
Jaringan penyedia layanan dan konsumen layanan terisolasi, memungkinkan penggunaan alamat IP yang tumpang tindih dan menghilangkan kebutuhan untuk mengonfigurasi rute serta aturan keamanan yang kompleks.
PrivateLink memungkinkan konsumen layanan mengakses layanan menggunakan alamat IP pribadi di dalam VPC mereka. Fitur ini terintegrasi secara mulus dengan arsitektur jaringan yang sudah ada, memungkinkan akses layanan lintas VPC dan dari pusat data lokal.
Ketersediaan tinggi dan auto-scaling
Permintaan akses diteruskan antara klien dan server dalam zona yang sama, memastikan latensi minimal. Saat digunakan bersama DNS Alibaba Cloud, interface endpoint menyediakan pemulihan bencana multi-zona.
PrivateLink mendukung auto-scaling untuk menangani fluktuasi trafik. Layanan ini menyediakan batas penskalaan berbeda berdasarkan jenis sumber daya layanan guna memenuhi berbagai kebutuhan elastisitas.
Konektivitas cross-region
PrivateLink mendukung koneksi cross-region, memungkinkan endpoint dan layanan titik akhir dideploy di wilayah yang berbeda. Fitur ini mendukung akses privat dalam arsitektur multi-wilayah dan menghilangkan kebutuhan untuk mendePLOY layanan yang sama di setiap wilayah.
Mengakses PrivateLink
Anda dapat mengakses dan mengelola PrivateLink dengan cara berikut:
Konsol PrivateLink: Konsol berbasis web dengan antarmuka pengguna interaktif yang membantu Anda mengelola akses privat ke layanan Anda.
SDK Alibaba Cloud: SDK untuk berbagai bahasa pemrograman, termasuk Java, Go, PHP, Python, C#, dan C++.
OpenAPI Explorer: Memungkinkan Anda mencari, memanggil, dan men-debug API dengan cepat, serta menghasilkan kode contoh SDK secara dinamis.
Terraform: Tool open-source yang memungkinkan Anda menggunakan file konfigurasi untuk menyediakan dan mengelola sumber daya di Alibaba Cloud dan platform lain yang didukung.