Virtual Private Cloud (VPC) adalah lingkungan jaringan yang terisolasi secara logis di cloud tempat Anda dapat menerapkan sumber daya Alibaba Cloud dan mengakses layanan Alibaba Cloud. PrivateLink memungkinkan sumber daya dalam VPC menggunakan alamat IP pribadi mereka untuk terhubung ke layanan Alibaba Cloud dan layanan yang dibangun pengguna yang diterapkan di VPC lain.
Gambar berikut menggunakan layanan yang dibangun pengguna sebagai contoh. Konsumen layanan membuat titik akhir untuk mengakses layanan titik akhir yang disediakan oleh penyedia layanan. Konsumen layanan dan penyedia layanan dapat berada di Akun Alibaba Cloud yang sama atau di Akun Alibaba Cloud yang berbeda.
Penyedia layanan
Penyedia layanan adalah pemilik layanan. Penyedia layanan menggunakan sumber daya Alibaba Cloud seperti Server Load Balancer (SLB) dan Elastic Compute Service (ECS) untuk membangun dan menyediakan layanan kepada konsumen layanan. Penyedia layanan bisa menjadi Alibaba Cloud atau pengguna Alibaba Cloud.
Layanan titik akhir
Layanan titik akhir dibuat oleh penyedia layanan dan diidentifikasi secara unik dengan nama layanan. Konsumen layanan mengakses layanan tersebut dengan terhubung ke titik akhir yang terkait dengan layanan titik akhir. Layanan titik akhir mendukung menambahkan kluster layanan aplikasi Server Load Balancer (SLB) yang diterapkan di beberapa zona sebagai sumber daya layanan. Jenis-jenis sumber daya layanan berikut didukung:
Network Load Balancer (NLB)
Classic Load Balancer (CLB)
Gateway Load Balancer (GWLB)
Application Load Balancer (ALB)
Nama layanan
Setiap layanan titik akhir memiliki nama layanan yang unik. Saat konsumen layanan membuat titik akhir, nama layanan digunakan untuk mengidentifikasi layanan yang dituju oleh titik akhir tersebut.
Daftar putih layanan
Secara default, layanan Anda tidak terlihat oleh semua konsumen layanan. Jika Anda ingin mengizinkan VPC yang dimiliki oleh Akun Alibaba Cloud lain untuk mengakses layanan titik akhir Anda, Anda harus menambahkan ID akun tersebut ke daftar putih layanan.
Setelah Anda membuat layanan titik akhir, ID akun Anda akan otomatis ditambahkan ke daftar putih layanan.
Status layanan titik akhir
Tabel berikut menjelaskan status dari layanan titik akhir.
Status layanan titik akhir | Deskripsi status |
Membuat | Layanan titik akhir sedang dibuat. |
Memodifikasi | Layanan titik akhir sedang dimodifikasi. |
Aktif | Layanan titik akhir aktif dan dapat diakses oleh konsumen layanan. |
Menghapus | Layanan titik akhir sedang dihapus. |
Konsumen layanan
Pengguna yang mengakses layanan disebut konsumen layanan. Dengan membuat titik akhir, konsumen layanan dapat mengakses layanan titik akhir dari VPC atau pusat data lokal.
Titik akhir
Konsumen layanan membuat titik akhir dengan menentukan nama layanan untuk menghubungkan VPC mereka ke layanan titik akhir tujuan. Titik akhir tersedia dalam berbagai jenis. Konsumen layanan harus membuat titik akhir dari tipe yang diperlukan oleh layanan.
Jenis-jenis titik akhir berikut tersedia:
Titik akhir antarmuka: Titik akhir antarmuka memungkinkan konsumen layanan mengakses layanan NLB, CLB, atau ALB. Titik akhir antarmuka mendukung akses domain multi-level untuk memenuhi persyaratan pemulihan bencana multi-zona.
Titik akhir Gateway Load Balancer: Titik akhir Gateway Load Balancer (GWLBe) memungkinkan konsumen layanan mengakses layanan GWLB. GWLBe dapat ditentukan sebagai lompatan berikutnya dalam tabel rute VPC untuk mengalihkan lalu lintas.
Titik akhir balik: Titik akhir balik memungkinkan penyedia layanan memulai koneksi ke layanan cloud di VPC konsumen layanan. Konsumen layanan dapat mengonfigurasi grup keamanan untuk titik akhir balik untuk membatasi cakupan akses. Layanan titik akhir yang terhubung ke titik akhir balik hanya dapat berupa layanan Alibaba Cloud.
Titik akhir gateway adalah jenis titik akhir khusus. Untuk informasi lebih lanjut, lihat Mengakses layanan cloud dari VPC melalui koneksi pribadi. Berbeda dengan titik akhir lainnya, titik akhir gateway tidak bergantung pada PrivateLink. Ini menggunakan rentang alamat IP cadangan 100.64.0.0/10 dan kebijakan titik akhir untuk memberikan akses yang lebih aman ke layanan cloud. Saat ini, Object Storage Service (OSS) adalah satu-satunya layanan cloud yang mendukung titik akhir gateway.
Zona titik akhir dan antarmuka jaringan elastis
Saat konsumen layanan membuat titik akhir, mereka harus menentukan satu atau lebih zona untuk titik akhir tersebut. Setelah titik akhir dibuat, ia terdiri dari satu atau lebih antarmuka jaringan elastis titik akhir (ENI). Setiap ENI titik akhir adalah ENI yang dikelola yang terkait dengan vSwitch di VPC konsumen layanan. Semua permintaan layanan yang dikirim ke ENI titik akhir diteruskan ke sumber daya layanan penyedia layanan di zona yang sama melalui PrivateLink.
Jika titik akhir mendukung tipe jaringan IPv4, titik akhir tersebut memiliki alamat IPv4. Jika titik akhir mendukung tipe jaringan dual-stack, titik akhir tersebut memiliki alamat IPv4 dan alamat IPv6.
Titik akhir Gateway Load Balancer hanya mendukung satu zona.
Kebijakan titik akhir
Kebijakan titik akhir adalah kebijakan berbasis sumber daya yang ditulis dalam format JSON berdasarkan bahasa kebijakan RAM. Anda dapat melampirkan kebijakan titik akhir ke titik akhir antarmuka untuk mengontrol Pengguna RAM mana yang dapat melakukan operasi tertentu pada layanan titik akhir melalui titik akhir. Secara default, kebijakan titik akhir mengizinkan semua Pengguna RAM untuk melakukan semua operasi pada layanan melalui titik akhir.
Kebijakan titik akhir berlaku saat Anda mengakses layanan Alibaba Cloud.
Anda dapat mengonfigurasi kebijakan titik akhir untuk titik akhir antarmuka.
Meskipun titik akhir gateway tidak bergantung pada PrivateLink, Anda dapat mengonfigurasi kebijakan titik akhir untuk mereka.
Status titik akhir
Saat Anda membuat titik akhir, layanan titik akhir menerima permintaan koneksi. Penyedia layanan dapat menerima atau menolak permintaan tersebut. Jika penyedia layanan menerima permintaan, konsumen layanan dapat menggunakan titik akhir setelah memasuki status Aktif.
Tabel berikut menjelaskan status dari titik akhir.
Status titik akhir | Deskripsi status |
Membuat | Titik akhir sedang dibuat. |
Memodifikasi | Titik akhir sedang dimodifikasi. |
Aktif | Anda dapat menggunakan titik akhir |
Menghapus | Titik akhir sedang dihapus. |
Koneksi titik akhir
Koneksi titik akhir adalah koneksi antara titik akhir dan layanan titik akhir. Saat konsumen layanan membuat titik akhir, permintaan koneksi dikirim ke layanan titik akhir. Penyedia layanan dapat menerima permintaan koneksi secara otomatis atau manual.
Status koneksi titik akhir
Tabel berikut menjelaskan status dari koneksi titik akhir.
Status koneksi titik akhir | Deskripsi status |
Menghubungkan | Koneksi sedang dibuat antara titik akhir dan layanan titik akhir. |
Terhubung | Koneksi telah dibuat antara titik akhir dan layanan titik akhir. |
Memutuskan | Koneksi antara titik akhir dan layanan titik akhir sedang diputus. |
Terputus | Koneksi titik akhir berada dalam status Terputus karena salah satu alasan berikut:
|
Memodifikasi | Koneksi antara titik akhir dan layanan titik akhir sedang dimodifikasi. |
Menghapus | Koneksi antara titik akhir dan layanan titik akhir sedang dihapus. |
Layanan Dihapus | Layanan titik akhir yang terhubung ke titik akhir telah dihapus. Hapus titik akhir sesegera mungkin. |
Nama domain layanan kustom
Nama domain layanan adalah rangkaian karakter yang dipisahkan oleh titik yang mengidentifikasi layanan. Konsumen layanan dapat menggunakan nama domain layanan untuk dengan mudah mengakses layanan tanpa harus mengingat alamat IP yang kompleks.
Titik akhir antarmuka PrivateLink menyediakan nama domain layanan default. Nama domain layanan default menggunakan resolusi DNS otoritatif. Resolusi DNS otoritatif adalah layanan Domain Name System (DNS) yang aman, cepat, stabil, dan skalabel yang dapat secara efisien mengarahkan lalu lintas akses ke layanan tujuan.
Jika penyedia layanan adalah Alibaba Cloud, beberapa layanan cloud mendukung nama domain layanan kustom untuk memastikan kompatibilitas dengan metode akses yang berbeda dan menyederhanakan akses pengguna. Nama domain layanan kustom tersebut sama dengan nama domain yang digunakan untuk akses publik atau akses dari layanan cloud lainnya. Nama domain layanan kustom diselesaikan berdasarkan resolusi DNS internal (PrivateZone). PrivateZone menyediakan resolusi nama domain untuk klien, seperti instance ECS dan kontainer, di VPC untuk memastikan akses yang nyaman ke sumber daya.
Saat konsumen layanan membuat titik akhir antarmuka, mereka dapat mengaktifkan fitur nama domain layanan kustom. Setelah Anda mengaktifkan fitur ini, Anda dapat menggunakan nama domain layanan kustom untuk mengakses layanan Alibaba Cloud. Anda juga dapat menggunakan nama domain layanan default yang disediakan oleh titik akhir antarmuka untuk mengakses layanan.