VPC為您提供了在雲上邏輯隔離的網路環境,您在VPC中可以部署阿里雲資源和訪問阿里雲服務。PrivateLink可以讓VPC中的資源使用其VPC的私人IP地址串連到部署在其他VPC中的服務,這些服務包括阿里雲服務和使用者自建服務。本文為您介紹PrivateLink的基本概念,以便您更好地使用PrivateLink。
工作原理
PrivateLink的工作原理如下圖所示。服務使用方建立終端節點以訪問由服務提供者提供的終端節點服務,服務使用方和服務提供者可以是同帳號或者跨帳號。
服務提供者
服務提供者是服務的所有者,服務提供者使用阿里雲資源,如負載平衡、Elastic Compute Service等,構建並提供服務給服務使用方。服務提供者包括阿里雲和擁有阿里雲帳號的阿里雲使用者。
終端節點服務
終端節點服務由服務提供者建立,服務名稱是其唯一標識。服務使用方通過訪問與該終端節點服務串連的終端節點,實現對服務的訪問。終端節點服務支援添加部署在多個可用性區域的負載平衡應用服務叢集作為服務資源,服務資源類型分為以下四種。
網路型負載平衡 NLB
傳統型負載平衡 CLB
網關型負載平衡 GWLB
應用型負載平衡 ALB
服務名稱
每個終端節點服務都有唯一的服務名稱,服務使用方在建立終端節點時,通過服務名稱唯一確定已連線的服務。
服務白名單
您的服務並不是對所有服務使用方預設可見。如果您希望其他阿里雲帳號下的VPC可以訪問您的終端節點服務,您需要手動將該帳號ID添加到服務白名單。
建立終端節點服務後,本帳號ID將自動被添加至服務白名單中。
終端節點服務狀態
終端節點服務狀態如下表所示。
終端節點服務狀態 | 狀態含義 |
建立中 | 終端節點服務正在建立中 |
修改中 | 終端節點服務正在修改中 |
可用 | 終端節點服務處於可用狀態,可被服務使用方正常訪問 |
刪除中 | 終端節點服務正在刪除中 |
服務使用方
訪問服務的使用者稱為服務使用方。通過建立終端節點,服務使用方可以實現從VPC或本機資料中心訪問終端節點服務。
終端節點
服務使用方通過指定服務名稱建立終端節點,以實現將自身VPC串連到目標終端節點服務。終端節點支援多種類型,服務使用方需根據所要訪問的服務類型,建立相應類型的終端節點。
終端節點類型如下:
介面終端節點:服務使用方通過介面終端節點,可以訪問服務資源類型為NLB/CLB/ALB服務。介面終端節點支援多級網域名稱訪問,以滿足使用者多可用性區域容災的服務訪問訴求。
網關型負載平衡終端節點:服務使用方通過網關型負載平衡終端節點,可以訪問服務資源類型為GWLB服務。網關型負載平衡終端節點支援作為VPC路由下一跳,支援使用者通過路由實現引流。
反向終端節點:允許服務提供者主動發起訪問至服務使用方VPC中的雲端服務,服務使用方可通過在反向終端節點上配置安全性群組限制其存取範圍。反向終端節點串連的終端節點服務僅支援阿里雲服務。
使用網關終端節點安全訪問雲端服務:網關終端節點是一種特殊的終端節點,與其他終端節點不同,它不依賴PrivateLink。網關終端節點使用保留的地址空間100.64.0.0/10,並通過終端節點策略實現更安全的雲端服務訪問。當前,支援網關終端節點的雲端服務為Object Storage Service。
終端節點可用性區域與彈性網卡
服務使用方在建立終端節點時,需要指定終端節點可用性區域。一旦終端節點建立成功,它將由一個或多個終端節點可用性區域組成,每個可用性區域都與服務使用方VPC中的特定交換器上的託管彈性網卡一一對應。所有發送到這個彈性網卡的服務要求,都將通過PrivateLink轉寄至對應服務提供者在相同可用性區域的服務資源。
當終端節點支援IPv4網路類型時,終端節點具有IPv4地址;當終端節點支援雙棧網路類型時,終端節點具有IPv4和IPv6地址。
網關型負載平衡終端節點僅支援一個終端節點可用性區域。
終端節點策略
終端節點策略是一種基於資源的策略,採用RAM Policy語言編寫的JSON格式文檔。通過將終端節點策略與介面終端節點綁定,服務使用方可以控制哪些資源被允許通過該終端節點訪問特定終端節點服務的特定操作。預設情況下,終端節點策略允許所有資源通過該終端節點訪問服務的所有操作。
終端節點策略適用於訪問阿里雲服務情境。
支援為介面終端節點設定終端節點策略。
雖然網關終端節點不依賴PrivateLink,但是支援為其設定終端節點策略。
終端節點狀態
在建立終端節點時,終端節點服務將收到串連請求,服務提供者可以選擇接受或者拒絕該請求。如果服務提供者接受請求,則在終端節點進入可用狀態後,服務使用方可以使用該終端節點。
終端節點狀態如下表所示。
終端節點狀態 | 狀態含義 |
建立中 | 終端節點正在建立中 |
修改中 | 終端節點正在修改中 |
可用 | 終端節點可以使用 |
刪除中 | 終端節點正在刪除中 |
終端節點串連
終端節點串連是指終端節點和終端節點服務之間的串連。服務使用方建立終端節點時將發起到終端節點服務的串連請求,服務提供者可以自動或手動接受串連請求。
終端節點串連狀態
終端節點串連狀態如下表所示。
終端節點串連狀態 | 狀態含義 |
串連中 | 終端節點和終端節點服務之間正在建立串連。 |
已串連 | 終端節點和終端節點服務之間已經建立串連。 |
中斷連線中 | 終端節點和終端節點服務之間中斷連線中。 |
未串連 | 未串連狀態可能是以下幾種情況:
|
修改中 | 終端節點和終端節點服務之間的串連狀態正在修改中。 |
刪除中 | 終端節點和終端節點服務之間的串連正在刪除中。 |
終端節點對應的服務已刪除 | 與終端節點串連的終端節點服務已經被刪除,建議您儘快刪除該終端節點。 |
自訂服務網域名稱
服務網域名稱是由一串用點分隔的字元組成的服務名稱。服務使用方通過使用服務網域名稱,可以更輕鬆地訪問服務,無需記住複雜的IP地址。
PrivateLink的介面終端節點提供預設服務網域名稱。預設服務網域名稱採用權威解析,這是一種安全、快速、穩定且可擴充的權威DNS服務,能夠協助使用者將訪問流量高效地路由到對應的服務。
當服務提供者為阿里雲時,為了相容不同的雲端服務訪問方式並簡化使用者訪問,部分雲端服務支援通過自訂服務網域名稱提供與公網訪問或其他雲端服務訪問方式相同的網域名稱。自訂服務網域名稱基於內網DNS解析 (PrivateZone)實現,PrivateZone為阿里雲使用者在VPC網路環境中的各種用戶端(如ECS執行個體、容器等)提供網域名稱解析服務,確保使用者在VPC中能夠便捷地訪問所需資源。
服務使用方在建立介面終端節點時,可以選擇開啟自訂服務網域名稱。開啟後,您可以通過該自訂服務網域名稱訪問阿里雲服務,同時,也可以使用介面終端節點提供的預設服務網域名稱進行訪問。