PrivateLink:Cara kerja

Penyedia layanan

Sebagai pemilik layanan, penyedia layanan menggunakan resource Alibaba Cloud untuk membangun dan menyediakan endpoint service kepada konsumen layanan. Konsumen layanan mengakses layanan tersebut dengan menghubungkan ke endpoint yang ditautkan ke endpoint service tersebut.

• Resource layanan: Endpoint service dapat menggunakan load balancer yang diterapkan di beberapa zona ketersediaan sebagai resource layanan. Jenis resource layanan yang didukung mencakup Network Load Balancer (NLB), Application Load Balancer (ALB), Classic Load Balancer (CLB), dan Gateway Load Balancer (GWLB).

• Nama endpoint service: Ini adalah pengidentifikasi unik untuk endpoint service. Saat membuat endpoint, konsumen layanan menggunakan nama ini untuk mengidentifikasi layanan target.

• Daftar putih layanan: Secara default, endpoint service tidak terlihat oleh semua konsumen layanan. Untuk memberikan akses ke VPC di Akun Alibaba Cloud lain, penyedia layanan harus menambahkan ID akun konsumen ke daftar putih layanan.

  Setelah endpoint service dibuat, ID akun penyedia layanan secara otomatis ditambahkan ke daftar putih layanan.

• Status endpoint service: Creating, Modifying, Available, Deleting.

Konsumen layanan

Konsumen layanan membuat Endpoint untuk mengakses layanan tersebut dari VPC atau pusat data lokal.

• Jenis endpoint: Konsumen layanan membuat jenis endpoint tertentu berdasarkan endpoint service yang perlu diakses.

  gateway endpoint adalah fitur terpisah yang tidak bergantung pada PrivateLink. Fitur ini bertindak sebagai gerbang virtual saat VPC mengakses layanan cloud tertentu. Fitur ini menggunakan ruang alamat IP reservasi 100.64.0.0/10 dan menyediakan akses yang lebih aman melalui kebijakan endpoint. Saat ini, satu-satunya layanan cloud yang mendukung gateway endpoint adalah Object Storage Service (OSS).

  • Interface endpoint: Konsumen layanan menggunakan interface endpoint untuk mengakses endpoint service yang menggunakan instans NLB, CLB, atau ALB sebagai resource layanan.

  • Gateway load balancer endpoint: Konsumen layanan menggunakan gateway load balancer endpoint untuk mengakses endpoint service yang menggunakan instans GWLB sebagai resource layanan. Gateway load balancer endpoint dapat dikonfigurasi sebagai next hop dalam tabel rute VPC untuk mengarahkan lalu lintas.

  • Reverse endpoint: Memungkinkan penyedia layanan memulai koneksi ke layanan cloud di dalam VPC konsumen layanan. Konsumen layanan dapat membatasi akses penyedia dengan mengonfigurasi security group pada reverse endpoint. Reverse endpoint hanya dapat terhubung ke endpoint service untuk layanan Alibaba Cloud.

• Zona ketersediaan endpoint: Saat konsumen layanan membuat endpoint, PrivateLink membuat elastic network interface di zona ketersediaan endpoint yang ditentukan. Antarmuka ini berfungsi sebagai titik masuk lokal untuk lalu lintas layanan.

• Kebijakan endpoint: Anda dapat mengonfigurasi kebijakan endpoint hanya untuk interface endpoint yang mengakses layanan Alibaba Cloud. Secara default, pengguna atau layanan apa pun di dalam VPC dengan kredensial Alibaba Cloud yang valid dapat mengakses resource apa pun di layanan yang sesuai.

• Status endpoint: Creating, Modifying, Available, Deleting.

Koneksi titik akhir

Saat konsumen layanan membuat endpoint, endpoint service milik penyedia layanan menerima permintaan koneksi. Setelah penyedia layanan menerima permintaan tersebut, koneksi titik akhir dibuat antara endpoint dan endpoint service.

Koneksi titik akhir dapat berada dalam salah satu status berikut: Connecting, Connected, Disconnecting, Disconnected, Modifying, Deleting, atau EndpointServiceDeleted.

Status Disconnected dapat terjadi dalam situasi berikut:

• Jika endpoint service tidak dikonfigurasi untuk menerima koneksi secara otomatis, status awal endpoint adalah Disconnected.

• Endpoint service telah menolak permintaan koneksi atau belum menyetujuinya.

• Endpoint memiliki pembayaran tertunda.

• Endpoint service memiliki pembayaran tertunda.

Nama domain endpoint service

Saat konsumen layanan membuat interface endpoint, Alibaba Cloud menghasilkan nama domain tingkat wilayah dan tingkat zona berikut untuk koneksi layanan:

• Nama domain layanan titik akhir: <var id="32cc055c01ju8">endpoint_id</var>.<var id="6a53940079gn9">endpoint_service_id</var>.<var id="8b3259887bpof">service_region</var>.privatelink.aliyuncs.com

  • <var id="fb61a078abajz">endpoint_id</var>: ID titik akhir, yang dibuat secara otomatis setelah titik akhir dibuat.

  • <var id="e6365c2be7m8x">endpoint_service_id</var>: ID layanan titik akhir.

  • <var id="19bf2000c8oi6">service_region</var>: ID Wilayah tempat layanan dideploy, seperti cn-hangzhou.

  • privatelink.aliyuncs.com: Akhiran domain tetap.

• Nama domain spesifik zona: <var id="48767308aeevb">endpoint_id</var>-<var id="1b4c4e774dgch">endpoint_zone</var>.<var id="2a148f98e09ag">endpoint_service_id</var>.<var id="8c8076fe39fjx">service_region</var>.privatelink.aliyuncs.com

  • <var id="fa3efc918394z">endpoint_zone</var>: ID zona ketersediaan titik akhir, seperti cn-hangzhou-j.

  • -: Tanda hubung yang memisahkan ID endpoint dan ID zona ketersediaan.

Saat Anda mengakses layanan Alibaba Cloud dari VPC, biasanya Anda menggunakan nama domain layanan tertentu. Jika layanan dikonfigurasi dengan nama domain layanan kustom, Anda dapat mengaktifkan fitur ini untuk interface endpoint. Setelah diaktifkan, Anda dapat terus menggunakan nama domain yang sama untuk mengakses layanan melalui PrivateLink tanpa mengubah alamat layanan di aplikasi Anda.

Nama domain layanan kustom hanya berlaku di dalam VPC tempat interface endpoint berada, dan hanya VPC ini yang dapat melakukan resolusi ke alamat IP pribadi. VPC lain dan pusat data on-premises dapat menggunakan nama domain layanan kustom untuk mengakses layanan asalkan terhubung ke VPC interface endpoint dan resolusi DNS telah dikonfigurasi.

Versi IP

Penyedia layanan dapat menawarkan endpoint service melalui IPv4 atau dual-stack.

• Anda hanya dapat memilih dual-stack jika semua resource layanan yang ditambahkan ke endpoint service mendukung dual-stack.

• Jika endpoint service mendukung dual-stack, konsumen layanan dapat mengonfigurasi endpoint dual-stack, sehingga klien dapat mengakses layanan menggunakan alamat IPv4 dan IPv6.

1. Penyedia layanan mengonfigurasi resource layanan untuk endpoint service di beberapa zona ketersediaan.

   • Jika resource layanan berupa instans NLB, ALB, atau GWLB, tambahkan instans yang tersebar di beberapa zona ketersediaan.

   • Jika resource layanan berupa instans CLB, tambahkan beberapa instans CLB yang memiliki primary availability zone berbeda.

2. Konsumen layanan memilih vSwitch di minimal dua zona ketersediaan saat membuat interface endpoint.

3. Konsumen layanan menggunakan nama domain endpoint untuk mengakses layanan. Alibaba Cloud menyediakan pemeriksaan kesehatan yang sepenuhnya dikelola untuk memastikan failover cepat jika suatu zona ketersediaan tidak tersedia:

   • Ketersediaan alamat IP elastic network interface di berbagai zona ketersediaan endpoint dipantau secara real time. Jika terdeteksi anomali, rekaman DNS yang sesuai akan dihapus untuk mencegah gangguan layanan atau kehilangan data.

   • Setelah kegagalan teratasi, PrivateLink secara otomatis memulihkan rekaman DNS yang sesuai.

Kinerja elastis

PrivateLink mendukung skalabilitas elastis otomatis:

• Bandwidth untuk setiap endpoint di suatu zona ketersediaan diskalakan secara otomatis sesuai lalu lintas Anda.

• Ini menyediakan batas penskalaan yang berbeda tergantung pada jenis titik akhir dan jenis sumber daya layanan.

• Metrik bandwidth elastis hanya mencerminkan kemampuan antarmuka jaringan endpoint di suatu zona ketersediaan. Kapasitas end-to-end aktual bergantung pada jenis resource layanan backend dan daya pemrosesan aplikasi.

Jika aplikasi Anda memerlukan throughput yang lebih tinggi, hubungi account manager Anda untuk mengajukan permohonan.

Bandwidth elastis dan pembatasan kecepatan

• Bandwidth elastis: Penskalaan bandwidth otomatis yang disediakan sistem di tingkat zona ketersediaan. Ini merepresentasikan bandwidth maksimum yang didukung oleh setiap endpoint di setiap zona ketersediaan dan tidak memerlukan konfigurasi awal.

• Pembatasan kecepatan: Kebijakan pengendalian lalu lintas yang dikonfigurasi oleh penyedia layanan untuk koneksi endpoint guna mencegah resource layanan backend kelebihan beban. Penyedia layanan dapat menetapkan nilai pembatasan kecepatan berbeda untuk koneksi endpoint yang berbeda.

  • Mekanisme pewarisan: Saat penyedia layanan menetapkan batas pembatasan kecepatan pada koneksi endpoint, elastic network interface endpoint tersebut di setiap zona ketersediaan secara otomatis mewarisi dan menerapkan batas ini, sehingga memungkinkan pengendalian lalu lintas yang presisi.

  • Cara melihat batas:

    • Panggil operasi GetVpcEndpointAttribute dan periksa nilai Bandwidth.

    • Di halaman detail endpoint, lihat Bandwidth Limit di bagian Informasi Dasar.

Perlu diperhatikan bahwa pembatasan kecepatan bukan merupakan komitmen service level agreement (SLA). Karena arsitektur terdistribusi, nilai pembatasan kecepatan untuk suatu endpoint didistribusikan ke beberapa perangkat di dalam zona ketersediaan. Mencapai batas yang dikonfigurasi memerlukan beberapa koneksi. Kinerja pembatasan kecepatan aktual dapat bervariasi dan kadang-kadang melebihi batas yang ditetapkan.