3.6 私網連接配接
前面講到VPC 網絡具有隔離性,VPC 之間無法通信。當一個VPC 中的終端需要通路部署在另一個VPC 中的服務時,就産生了VPC 間的通信需求。這個時候, 有兩種選擇:一種是通過公網通信,可以讓服務提供方的VPC 暴露公網服務到網際網路,服務使用方VPC 通過公網來調用,而這會讓VPC 資源面臨安全風險;另一種是通過私網通信,可以通過VPC 對等連接配接打通兩個VPC 的私有網絡,但這種方式打破了VPC 之間的隔離性,将不同VPC 的網絡連接配接成了一個大的網絡,需要通過部署其他的安全政策確定服務使用方和服務提供方各自的安全。這種方式更加适用于一個組織内部,并且是可以進行統一運維管理的網絡。如果服務提供方和服務使用方的網絡都是獨立運維和管理的,甚至屬于不同的組織,并不希望把網絡直接打通,那該怎麼辦呢?
試想一下,有沒有一個模型,類似于在服務使用方的VPC 和服務提供方的VPC 之間接上一根虛拟電纜,這根虛拟電纜的連接配接不需要通過網際網路或NAT 網關, 且電纜的兩端,分别在自己的VPC 之内,同時又分别在對方VPC 之外,這樣既滿足了網絡隔離的要求,又滿足了服務互通的要求。
這個模型就是私網連接配接(PrivateLink)産品的設計思路。
3.6.1 什麼是私網連接配接
私網連接配接允許使用者在自己的VPC 内通過私網通路阿裡雲服務、第三方服務或者自己釋出的服務,這些服務都部署在服務提供方的VPC 内。
服務使用方使用私網連接配接在自己的VPC 内建立終端節點時,使用的是彈性網絡接口(ENI)和自己VPC 子網内的IP 位址,是可以使用安全組(Security Group)來管理終端通路的。
服務提供方使用私網連接配接,可以在自己的VPC 釋出私網服務,也可以自主要制連接配接過來的終端,實作服務的釋出、管理和售賣。
與VPC 對等連接配接等方式不同,私網連接配接并不是直接将兩個VPC 連接配接在一起, 變成一個網絡空間,而是更像通過一個“蟲洞”将兩個網絡空間打通。服務使用方可以在VPC 中通過PrivateLink 提供的入口(即終端節點)單向通路服務提供方在其VPC 中提供的特定服務(即終端節點服務)。使用私網連接配接的方式,雙方可以各自獨立規劃和管理自己的VPC,不用擔心網絡位址沖突,也無須配置複雜的網絡路由,如圖3-23 所示。
圖3-23 私網連接配接
3.6.2 私網連接配接的組成
私網連接配接可以分為服務使用方元件和服務提供方元件兩大部分。服務使用方和服務提供方可以是同一個阿裡雲賬号,也可以是不同的阿裡雲賬号。
服務使用方最重要的元件是終端節點。終端節點代表了服務使用方VPC 中的服務入口。當服務使用方需要使用某個服務時,可以建立一個連接配接到這個服務的終端節點,參考圖3-24。
圖3-24 終端節點
終端節點是一個邏輯上的元件,通路服務的請求流量實際發送到了與終端節點相關聯的彈性網卡上。與ECS 上的彈性網卡一樣,終端節點網卡需要連接配接到服務使用方VPC 的vSwitch 上,并且配置設定一個vSwitch 私網位址段的IP 位址。服務使用方所通路的服務位址,就是這個ENI 的私網IP 位址。
服務提供方最重要的元件是終端節點服務。終端節點服務代表了一個服務提供方所提供的雲服務。終端節點服務可以接收終端節點的連接配接請求。服務提供方可以選擇自動或者手動控制是否接受連接配接請求。
終端節點服務是一個邏輯上的元件,真正提供服務的是與終端節點服務所關聯的服務資源。目前,阿裡雲支援将SLB 作為私網連接配接的服務資源,後續還将支援更多類型的網元作為服務資源。
需要注意的是,私網連接配接隻會轉發同可用區的流量。也就是說,發給某個可用區vSwitch 終端節點網卡的請求,隻會轉發到同一可用區的終端節點服務資源(即SLB 叢集)。是以當服務提供方沒有在某個可用區提供服務資源時,服務使用方也無法在對應可用區的vSwitch 中建立對應的終端節點網卡。