使用计算巢打造纯内网部署的PaaS服务

简介: 阿里云计算巢中,私有化部署的PaaS软件常开启公网IP,但这样做不符合最佳实践,尤其是对数据库这类核心数据存储。公网访问增加了安全风险和管理成本。计算巢为此推出了内网WEB服务安全代理,解决纯内网部署难题。该代理提供与公网一致的体验,消除安全风险,无需公网费用。`

私有化部署PaaS软件的公网访问需求

在阿里云计算巢,我们发现,很多本来应该只在VPC内网使用的三方PaaS软件和中间件,在部署时都开启了公网IP,这并不符合最佳实践。

以数据库为例,数据库保存了对企业来说最重要的核心数据,一般来说,只应该只开放给部署在内网的应用访问。阿里云官方的RDS数据库,创建完成后是默认是不开放公网访问的,内网访问也需要加入白名单才可以连接。

但计算巢上私有化部署的数据库软件,很多开放了公网,原因是数据库软件需要提供基于WEB的管控面板和监控面板(比如Grafana)。如果不提供公网服务,用户就没有办法登录基于WEB GUI的管控面板进行管理。除非用户的本地网络通过VPN与线上VPC打通,但大部分用户无法满足这个条件。


公网访问带来的问题

数据库服务提供了公网服务以后,其管控面板和监控面板的公网暴漏成为了安全的突破口,给用户的数据安全会带来很大风险。

为了安全,要求服务商的WEB服务能够支持HTTPS等安全机制,更进一步,可能要求用户部署SSL证书。另一方面,服务商要经常更新软件修复漏洞,但是对于私有化部署的服务,服务商无法像托管服务一样很便捷的更新软件。

从用户角度,除了安全风险,公网访问也会给用户带来额外的流量费用、增加了部署的复杂性。如果一套生产环境中部署了多个PaaS软件或中间件,可能会部署多个公网IP,给用户带来了管理成本。


计算巢内网WEB服务安全代理

计算巢提供了内网WEB服务安全代理,解决了服务商无法纯内网部署软件的痛点。

如果一个服务的输出中存在内网的WEB服务地址(http/https),计算巢控制台在WEB地址盘展示一个”安全代理直接访问的“按钮,用户点击后,即可在新窗口打开网页。

使用此功能,服务商只有少量的接入工作:

  • WEB服务所在的ECS实例安全组需要对Workbench内网地址开放
  • 服务输出增加内网的WEB地址

对用户来说,带来了很多好处:

  • 和公网访问WEB服务完全一致的体验
  • 消除了公网访问,大大提升安全度、
  • 通过RAM鉴权,只有实例的Owner账号才可以访问
  • 没有公网费用


在用户点击背后,计算巢和Workbench做了一系列工作:

  1. 计算巢需要验证用户的身份和权限,保证只有服务实例的Owner才可以访问。
  2. 计算巢需要从内网WEB地址中,解析出底层的VPC信息、ECS信息、IP和端口信息等等。
  3. 计算巢调用Workbench接口,传入访问信息,Workbench对访问者鉴权后返回VPC内网WEB代理地址。
  4. 计算巢控制台在新窗口打开代理地址,Workbench将用户请求转发到对应的内网ECS端口上,并返回WEB服务的响应。
  5. 代理链路对用户透明,Workbench提供https服务保证用户数据安全。


yuque_diagram.jpg



客户案例 - AutoMQ

AutoMQ for Kafka 是基于云原生理念重新设计的新一代 Kafka 发行版。在保持和 Apache Kafka 100%兼容前提下,AutoMQ 可以为用户提供高达 50% 的成本节省以及百倍的弹性优势,同时支持秒级分区迁移和流量自动重平衡,解决运维痛点。

AutoMQ依赖其控制台来进行Kafka实例的创建,因此控制台是一个必须使用的组件。在以前,AutoMQ在部署时默认给用户开启公网访问。现在,此选项可以默认关闭了,只有少量有需求的用户需要。

image.png

在计算巢部署了AutoMQ实例后,可以通过计算巢控制台访问VPC内网部署的控制台。

input-ezgif.com-video-to-gif-converter.gif



参考

计算巢产品文档

使用计算巢安全代理功能消除公网依赖

使用安全代理访问服务实例的VPC私网Web地址

目录
相关文章
|
29天前
|
运维
计算巢如何使用fluxcd在ack部署helm chart
为支持helm服务运维管理功能,现在改用fluxcd的方式进行helm chart部署,这里计算巢对fluxcd进行部署helm chart的过程进行了封装,封装成了ROS公共模块MODULE::ACS::ComputeNest::FluxOciHelmDeploy,下面将主要介绍下怎么使用这个模块在计算巢中进行Helm Chart的部署。
40 3
|
10天前
|
Cloud Native 安全 持续交付
计算巢是什么?计算巢提供了哪些服务?
本文简要介绍了计算巢和计算巢提供的服务。
76 5
|
21天前
|
存储 安全 大数据
蚂蚁数科MAPPIC密态计算云平台入驻阿里云计算巢,打造云上密态计算服务
蚂蚁数科MAPPIC密态计算云平台入驻阿里云计算巢,打造云上密态计算服务
|
22天前
|
弹性计算 人工智能 安全
蚂蚁数科MAPPIC密态计算云平台入驻阿里云计算巢,打造云上密态计算服务
阿里云计算巢新添成员——蚂蚁数科的MAPPIC密态计算云平台,旨在为企业提供安全的大数据和模型密态计算服务,促进数据资产和模型资产的挖掘。MAPPIC是融合AI和BI的隐私保护平台,支持N+接入方式和弹性计算。通过阿里云计算巢,企业能快速创建密态计算集群,降低使用门槛,同时提升业务可靠性和审计追溯能力。双方合作将加速密态计算在云上的应用,应对数据隐私和安全挑战。
蚂蚁数科MAPPIC密态计算云平台入驻阿里云计算巢,打造云上密态计算服务
|
29天前
|
弹性计算 监控 算法
计算巢开发者活动(二):TOPIAM开发者基于计算巢云化部署和交付使
内容介绍: 一、 关于 TOPIAM 企业数字身份管控平台 二、 数字化转型的现状和挑战 三、 借助计算巢助力产品交付加速商业化进程
45 0
|
29天前
|
弹性计算 数据安全/隐私保护 对象存储
【新】如何使用计算巢SaaS Boost完成服务定价和售卖?
本文介绍了一种可帮您实现软件快速上云的阿里云计算巢开源工具,并给出了开发者指引和常见问题。基于该计算巢服务可快速帮助您的软件实现上云和售卖。
134 0
|
29天前
|
弹性计算 数据安全/隐私保护 对象存储
如何使用计算巢SaaS Boost完成服务定价和售卖?
本文介绍了一种可帮您实现快速SaaS化转型的阿里云计算巢开源工具的详细使用说明,开发者指引和常见问题。可使用计算巢SaaS Boost工具完成服务定价和售卖。
145 2
如何使用计算巢SaaS Boost完成服务定价和售卖?
|
29天前
|
弹性计算 网络安全 调度
通过计算巢轻松部署Salt服务
Salt基于Python构建,是一个事件驱动的自动化工具和框架,用于部署、配置和管理复杂的IT系统。使用Salt来自动化公共基础设施管理任务,并确保基础设施的所有组件都以一致的期望状态运行。 本文向您介绍如何开通计算巢上的Salt服务,以及部署流程和使用说明。
51 0
|
29天前
|
弹性计算 监控 持续交付
通过计算巢轻松部署 Walrus
Walrus 是一个用于管理和部署应用程序的平台,它提供了一个集中化的管理界面,使用户能够轻松地管理应用的生命周期,包括创建、配置、部署、监控和维护应用。Walrus 还提供了一些高级功能,如应用版本控制、自动化部署和弹性扩展,以帮助用户更好地管理和运行他们的应用。 阿里云计算巢是一个给企业应用服务商和其客户的服务管理PaaS平台,为客户提供云上软件一键部署的能力。计算巢推出了 Walrus 快速部署的功能,只需选择少量的参数,就能部署一套 Walrus 的环境。
37 1
通过计算巢轻松部署 Walrus
|
29天前
幻兽帕鲁计算巢部署 - 服务版本升级说明
计算巢版本已经升级至63,乃至更新的版本,为大家提供了存档、服务器等更多的操作功能,老版本的用户只要大于等于25版本的用户,均可以支持升级到最新;24以及以前的,暂时还没法升级。升级流程请参考文档。

相关产品

  • 计算巢服务