3.6.3 私网连接的优势
私网连接是云网络独有的服务连接方式,充分发挥了虚拟网络在多租户网络隔离和服务互通方面的灵活性。与公网、VPC 对等连接等方式相比,私网连接在安全性、简化管理等方面有比较大的优势。
(1)安全访问云上服务。与公网提供的服务相比,通过私网连接提供的服务具有更好的私密性。这一方面体现在,流量本身不会离开内网,甚至不会进行跨机房的传输。另一方面,服务本身的发布、连接和访问都在双方的VPC 中进行,不需要任何的公网出入口,避免了公网攻击等网络安全问题。
(2)保持监管合规性。金融服务、医疗保健行业和政府部门的敏感数据保护尤为重要,防止敏感数据(如用户记录)进入互联网有助于用户遵守相关的隐私保护法规。借助阿里云私网连接,阿里云资源、VPC 和第三方服务之间的数据将停留在云网络上,而云网络有强大的控制措施来维护安全性和合规性。
(3)访问精确可控。服务的提供方利用私网连接可以精确控制允许哪些用户账号建立终端节点连接,并且控制每个连接的带宽。服务的使用方也可以通过VPC 的网络访问控制列表( Network Access Control List,NACL)、安全组等,控制对特定服务的访问。由于私网连接只提供单向的访问,也不会对服务使用方的VPC造成入方向的安全威胁。
(4)低时延、高可靠。由于私网连接只进行同可用区的流量转发,所以,用户可以自己控制所访问服务资源的位置。对于时延非常敏感的服务,用户可以访问同可用区的服务资源,有效控制网络时延,获得更高的网络质量。同时,用户可以在多个可用区中创建终端节点网卡,并利用服务域名获得多可用区的高可用能力。
(5)网络管理解耦。私网连接保持了服务双方的网络隔离,无须担心地址冲突问题,无须配置复杂的网络路由,也无须部署额外的安全策略。另外私网连接天然支持跨账号的服务访问,大大简化了不同账号之间的服务访问配置。
3.6.4 私网连接的主要应用场景
私网连接为云上服务的交互提供了一种全新的方式,类似云服务总线,既可以帮助用户更加方便安全地访问云上的服务,也可以帮助用户更加方便地构建服务化的云上网络。更重要的是,私网连接为企业SaaS 服务生态的发展打开了一扇新的大门,让服务提供商能够以一种全新的方式为云上客户提供更加安全的服务访问。下面我们介绍私网连接的三种典型主要应用场景。
(1)访问云服务。云上用户可以通过创建VPC 中的终端节点访问特定的云服务。由于终端节点网卡使用的是VPC 的私网地址,用户可以非常方便地进行网络地址规划,便于在多VPC、跨VPC 和混合云的场景下访问云服务。
(2)访问企业内部服务。利用私网连接,企业可以将内部的公共服务提供给各个业务的VPC 访问,同时保持公共服务的网络与业务的网络环境相互隔离,以满足运维管理和安全隔离的要求。采用这种方式,可以大大简化企业云上网络的管理,避免复杂的路由和安全策略配置。
(3)云上应用生态。企业级应用往往对于安全性有更高的要求,不适合通过互联网发布和访问。利用私网连接,企业SaaS 应用的提供商可以在云上私有网络中发布和提供服务,所有的交互数据都不经过互联网,更加安全可靠。结合阿里云的混合云产品,企业线下数据中心和分支的终端也能够访问发布在阿里云上的企业应用和服务。
