PrivateLink能夠建立VPC與阿里云上的服務之間安全穩定的私有連接,本文以VPC私網訪問OSS為例,為您介紹如何通過PrivateLink私網訪問阿里云服務。
背景信息
在訪問云服務的過程中,用戶常常面臨如下挑戰:
數據安全隱憂:通過公共網絡訪問云服務,可能導致敏感信息泄露,威脅數據安全。
地址空間沖突:鑒于云服務默認占用100.64網段,若本地數據中心(IDC)已使用同一網段,將不可避免地遭遇地址沖突。
運維管控難題:傳統的私網接入方式,運維團隊無法單獨對訪問云服務的流量做審計。
為應對上述挑戰,我們推薦采用PrivateLink解決方案,其核心價值在于:
強化數據隱私:通過私網訪問機制,有效防止數據直接暴露于公網,顯著降低數據泄露風險。
網絡架構優化:無需繁瑣的路由配置,有效規避云上與云下地址空間沖突,簡化網絡管理。
增強訪問控制:PrivateLink支持源端鑒權,精準限定訪問權限,確保數據安全;同時,借助VPC流日志和流量鏡像功能,可實現對訪問流量的全面監控與審計,進一步提升安全性。
場景示例
本文以下圖場景為例,某公司在印度尼西亞(雅加達)部署了OSS服務,OSS服務中創建了私有的Bucket1和Bucket2,并且都上傳了Object,目前要實現本地數據中心僅訪問OSS服務中的Bucket1。為避免敏感信息暴露公網、本地數據中心與云服務100.64網段沖突等問題,您可以通過PrivateLink實現該私網訪問。
您首先需要將OSS作為終端節點服務,在VPC中創建連接OSS服務的終端節點,實現VPC私網訪問OSS,然后通過高速通道,VPN 網關將本地數據中心與VPC連接起來,實現本地數據中心私網訪問阿里云服務。
使用限制
僅華東1(杭州)、華東2(上海)、華南1(深圳)、華北2(北京)、中國香港、印度尼西亞(雅加達)、新加坡地域支持通過終端節點私網訪問OSS。
終端節點與阿里云服務OSS必須部署在同一地域。
前提條件
已聯系OSS技術支持申請使用終端節點私網訪問OSS資源。更多信息,請參見通過終端節點私網訪問OSS資源。
已在OSS中創建私有的Bucket1和Bucket2,并且都上傳對應的Object。具體操作,請參見創建存儲空間。
已在與OSS服務相同的地域創建VPC和交換機,并且創建了ECS實例。具體操作,請參見創建專有網絡和交換機,通過控制臺使用ECS實例(快捷版)。
步驟一:創建接口終端節點
在頂部菜單欄處,選擇印度尼西亞(雅加達)。
在終端節點頁面,單擊創建終端節點。
在創建終端節點頁面,根據以下信息配置終端節點,然后單擊確定創建。
此處僅列舉和本文強相關的配置,其余參數的配置,請參見創建和管理終端節點。
配置
說明
所屬地域
本文默認選擇印度尼西亞(雅加達)。
節點名稱
輸入自定義終端節點的名稱。
終端節點類型
本文選擇接口終端節點。
終端節點服務
選擇目標終端節點服務。
本文先單擊阿里云服務,然后選擇名稱為
com.aliyuncs.privatelink.ap-southeast-5.oss
的終端節點服務。專有網絡
選擇需要創建終端節點的VPC。
安全組
選擇要與終端節點網卡關聯的安全組。
可用區與交換機
選擇VPC下的可用區與交換機。
訪問策略
選擇訪問策略,本文選擇自定義策略。本文中授予阿里云賬號123456789012****下所有的RAM用戶可以通過IP地址為172.16.0.1的ECS從
Bucket1
中下載1.txt
文件的權限,策略內容示例如下所示:{ "Version": "1", "Statement": [ { "Action": [ "oss:GetObject" ], "Effect": "Allow", "Principal": { "RAM": "acs:ram::123456789012****:*" }, "Resource": [ "acs:oss:*:*:Bucket1/1.txt" ], "Condition": { "IpAddress": { "acs:SourceIp": [ "172.16.0.1" ] } } } ] }
終端節點訪問策略能夠控制服務訪問權限,您可以用來控制哪些阿里云主體能通過終端節點對阿里云服務中的哪些資源執行哪些操作,從而增強網絡安全性,保護敏感數據,滿足特定的安全需求。具體操作,請參見終端節點策略。
創建完成后,您需要記錄生成的終端節點域名,用于后續訪問OSS服務。
步驟二:VPC私網訪問OSS
登錄VPC中的ECS實例。具體操作,請參見連接方式概述。
通過ossutil以終端節點域名的方式訪問OSS。您還可以使用SDK方式訪問OSS。具體操作,請參見SDK。
在已創建的ECS實例安裝1.7.17及以上版本的ossutil。具體操作,請參見安裝ossutil。
說明本文創建的ECS操作系統為Alibaba Cloud Linux 3.2104 LTS 64,在ECS中下載ossutil之前,請確保ECS具有公網能力。具體操作,請參見綁定和解綁彈性公網IP。
配置ossutil工具時,Endpoint需設置為步驟一:創建接口終端節點中生成的終端節點域名,其他參數的配置,請參見配置ossutil。
執行
ossutil64 cp oss://examplebucket/examplefile.txt /tmp/ -e ep-k1aid5cd5d5249e9****.oss.ap-southeast-5.privatelink.aliyuncs.com --force-path-style
命令,將examplebucket
中examplefile.txt
文件下載到本地目錄/tmp/
中。示例中通過
-e
選項指定終端節點域名,使用--force-path-style
選項指定以Path-Style的方式訪問OSS。ECS訪問Bucket1,返回結果如下:
ECS訪問Bucket2,返回結果如下:
由此可見VPC可以通過PrivateLink僅私網訪問OSS服務中的Bucket1。
步驟三:本地數據中心連接VPC
您可以通過VPN 網關或高速通道(Express Connect)實現本地數據中心和VPC之間的數據同步。具體操作,請參見DTS基于VPN網關實現本地數據中心和VPC之間的數據同步,DTS通過物理專線訪問本地IDC數據庫。