前言
作為洛神3.0“應用-雲-邊-端"體系的重要組成部分,本文将介紹私網連接配接如何能夠化繁為簡,助力企業應用生态互聯。
兩個趨勢
私網連接配接産品的誕生,與雲計算和網際網路的發展趨勢密切相關。
趨勢一:從消費網際網路向産業網際網路發展。
在消費網際網路的時代,更多的2C的服務,是企業與個人,或者個人與個人的連接配接。這些連接配接都是建立在一個開放的,盡力而為的網絡之上。
而到了産業網際網路時代更多的是企業與企業之間的互相連接配接。而企業與企業之間的連接配接,需要的是一個安全穩定可靠私密的網絡連接配接。
釋出在公網上的企業應用,就如同好像路邊的小吃攤一樣。無論這個攤位的自己衛生做的多好,還是會受基礎環境的影響。釋出在公網上的應用,受到公網整體安全的限制,還是無法避免流量劫持、水坑攻擊等問題。
以往企業私網互聯的成本非常高,無論是專線還是VPN互聯,都不是一件簡單的事情。現在,雲計算已經讓這個門檻大大降低。大家在雲上,連接配接是輕而易舉的事情。同時,我們也在和業界的夥伴們一起,讓雲上雲下的連接配接也要變得更加簡單。
過去的10年,我們一直在努力讓網絡更簡單。利用阿裡雲遍布全球的基礎設施,雲網絡可以幫助企業使用者快速的建構一張全球網絡。無論是雲上組網還是上雲網絡,都變得更簡單。我們也在利用智能化的能力,讓網絡變得更聰明,能夠快速發現、定位問題,快速恢複。
趨勢二:從網絡互聯到應用互聯
使用者更希望關注的是網絡上的應用,而不是網絡本身。并且随着應用的發展,應用之間的連接配接也變得更加複雜。網絡作為基礎設施,最終還是要服務于應用,才能發揮價值。是以我們也在不斷的思考和探索,讓網絡能夠更好的幫助應用進行連接配接,能夠更加友善的進行應用的釋出和管理,讓我們的使用者能夠有更多的精力關注應用和業務本身的發展。
趨勢之下,面臨的挑戰
在這兩個趨勢之下,企業使用者無論内部還是外部,都面臨着應用生态互聯的挑戰。
這些挑戰可能來源于企業内部業務或組織的不斷發展和調整,也可能是因為外部行業或者合作夥伴的不斷發展變化。
這些變化,給我們的網絡規劃和運維帶來了巨大挑戰,大家都知道絕大部分故障都是因為變更導緻,業務又不能不發展,變更是不可避免的,那麼如何控制故障的保障半徑就成了關鍵問題。
另外還有安全政策管理問題,業務的互動越來越複雜,安全政策的管理也越來越困難。我們有使用者在防火牆上配置了上千條規則,但是時間一長,根本沒人搞的清楚這些規則誰建立的,為什麼建立,修改配置的風險也很大。怎麼在滿足業務要求的情況下,降低安全風險,是個非常令人頭疼的問題。
面向外部,我們既要控制對外暴露的服務給合作夥伴通路,也要控制能夠通路哪些外部服務。這就導緻公網的通路政策也非常複雜。另外,確定公網的資料傳輸的安全性也至關重要。
”
那麼在雲上,我們有沒有更好的辦法解決這些問題?
答案是肯定的。
這個關鍵性的産品就是我們去年雲栖大會釋出的私網連接配接産品。
01
什麼是私網連接配接?
對于在VPC中通過SLB部署的應用,我們除了可以通過綁定彈性公網IP的方式提供公網通路的能力,也可以将這個應用通過私網連接配接釋出成一個私網服務。
那麼另一個VPC或者另外一個賬号的使用者就可以在自己VPC中建立一個終端節點連接配接到這個服務,并通過這個VPC内的終端節點來通路這個應用。
這種方式不需要通過任何方式把雙方的網絡直接連通,不需要公網,不需要配置路由,甚至都不需要知道對方的位址段或者任何資訊,完全保持了雙方網絡的獨立性和封閉性,隻提供了特定應用的單向通路能力。
流量完全在内網中點到點傳輸,確定了資料的安全性。
私網連接配接也是一個雲網絡所特有的産品,充分發揮了虛拟網絡的能力,像一個蟲洞一樣連接配接了2個互相獨立的網絡空間。
02
私網連接配接有什麼價值和優勢?
首先流量的傳輸更加的安全。應用資料的傳輸全部都是在内網中點到點傳輸,不會經過公網,極大的降低了資料傳輸過程中的洩露風險。對于服務的使用方,入口直接就在VPC内部,并且互相獨立,這就極大的降低了流量被劫持的風險。
私網連接配接能夠提供更加安全的服務連接配接控制能力。每個使用者都有獨立的服務連接配接,服務方就可以對每個使用者的連接配接進行獨立的管理和控制,甚至對每個連接配接的帶寬單獨限制。
在公網上釋出的服務,面臨的一個很大的安全威脅是拒絕服務攻擊(DoS/DDoS)。拒絕服務攻擊之是以難以防護,根本的原因是因為網際網路是一個開放的網絡,無法從源端控制通路者的行為,隻能在服務側進行被動的防禦。也就是說,隻能等到敵人打到家門口了,才能夠進行防護,那隻能拼刺刀,看誰的帶寬大處理能力強了,成本極高。而私網連接配接精确的連接配接監控和控制能力,從根本上解決了這個問題。
對于使用者,每個服務入口都是獨立的,并且可以通過安全組等VPC的安全能力對入口加以保護。通過私網連接配接和SLB提供的是單向的服務通路能力,使用者隻能主動通路特定的服務,服務方也不能主動通路使用者的網絡,保證了雙方的安全。
另外,私網連接配接可以具備同可用區的服務通路能力,提供了低于1ms的并且穩定的網絡時延。也可以通過域名實作多可用區的高可用。
最後也是最重要的一點,使用私網連接配接可以極大的簡化網絡的管理,確定雙方網絡的獨立,縮小了故障的爆炸半徑,大大降低了網絡規劃、運維、安全配置,以及賬号管理的複雜度。
03
可以應用在哪些場景?
對于企業SaaS應用,比如CRM、ERP這些系統,我們可以結合混合雲産品,提供一個端到端的全程私網通路能力,確定應用和資料在一個安全的網絡環境中。
對于行業資料服務,比如敏感的位置資訊、醫療資料,私網連接配接提供一個安全可用的私網資料傳輸,滿足合規的要求。
私網連接配接也可以為金融證券的量化交易提供超低延遲時間的交易鍊路,為安全審計提供服務化的内網接入能力,同時為人工智能服務提供超大帶寬的私網資料傳輸能力。
下面為大家分享一些有意思的方案。
現在零信任是一個非常熱的話題,在零信任的安全體系中,精細化的通路控制是非常關鍵的一個能力。利用私網連接配接,我們可以精确的控制應用的通路。比如我們可以在終端接入VPC中建立所需服務的入口,而無需把接入VPC和服務直接聯通。結合阿裡雲強大的混合雲能力,以及Cloud Smart Branch和CCIOT這些終端産品,再加上身份管理,雲防火牆等安全産品,就建構了一個涵蓋雲邊端加應用的整體安全方案。
利用私網連接配接,可以實作超精細的安全域和故障域劃分,每個應用都可以有一張自己獨立網絡。
對使用者而言,可以像安裝手機應用一樣,在自己的網絡中建立并管理所需的應用入口。這些應用,可以是内部應用,也可以是第三方的SaaS服務。
私網連接配接也可以與雲企業網來結合使用,利用阿裡雲的全球一張網能力,快速實作企業應用的全球私網釋出。相比較公網的方式,服務通路和資料傳輸都在内網中進行,可以提供更好的安全性和網絡品質。
今年三月份,我們釋出了VPC流量鏡像能力,便于使用者對VPC内網流量進行采集分析,快速發現安全問題。通過私網連接配接,可以實作集中的流量采集和分析。無需在每個業務的VPC中都部署采集叢集,也無需連接配接到這些業務的網絡,隻需要在這些VPC中建立一個終端節點來接收鏡像流量即可。有個這個能力,阿裡雲上的安全服務提供商也可以為使用者提供一個标準化的安全監控服務。
私網連接配接提供了跨VPC跨賬号的私網服務釋出和通路關鍵能力,可以與其它的雲網絡産品、安全産品,甚至第三方産品一起,建構出更多意想不到的解決方案,滿足各種場景的要求。
更新特性,更多體驗
這一年來,我們也不斷完善産品和生态能力。我們正在與雲市場合作,為雲市場的API和SaaS類商品提供私網連接配接接入能力。
使用者在雲市場購買了支援私網連接配接能力的API和SaaS類商品,就可以在VPC中通路服務,而無需通過公網。在提升安全性和服務品質的同時,也降低了使用成本。
目前,阿裡雲的CLB産品已經全部支援私網連接配接特性,包括存量的CLB執行個體。這就意味着所有已經在使用CLB的應用,包括通過ACK等容器産品部署的應用,也都能夠通過私網連接配接進行釋出。
在處理能力上,我們把單可用區的處理能力提升到10Gbps,但是價格沒有任何增加。
支援同可用區就近通路可以讓使用者既能獲得最小的通路時延,又能夠充分利用多可用區的高可用能力。
支援服務資源排程,可以讓服務提供方可以靈活的配置設定和調整服務資源,既可以讓使用者獨享服務叢集,也可以共用服務叢集。
未來,共創
這一年來,已有越來越多的生态夥伴和企業使用者開始使用私網連接配接,為外部和内部的使用者提供私網服務通路能力,建構服務化的雲上網絡。我們也期待與内外部的生态夥伴一起,為使用者提供更多的應用和解決方案。
關于作者
顧傑(木卅)
阿裡雲網絡産品線 進階技術專家
15年以上的IP網絡和雲計算行業經驗,在營運商網絡、企業網絡和網絡安全等領域有深入研究,從事過營運商IP承載網、網絡安全以及雲網絡等相關的産品的研發設計工作,有豐富的大型企業上雲組網解決方案設計和部署實施經驗。