洛神研究所丨洛神3.0之应用连接:私网连接助力企业应用生态互联

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
应用型负载均衡 ALB,每月750个小时 15LCU
EMR Serverless StarRocks,5000CU*H 48000GB*H
简介: 前言 作为洛神3.0“应用-云-边-端"体系的重要组成部分,本文将介绍私网连接如何能够化繁为简,助力企业应用生态互联。



前言


作为洛神3.0“应用-云-边-端"体系的重要组成部分,本文将介绍私网连接如何能够化繁为简,助力企业应用生态互联。

image.png


两个趋势


私网连接产品的诞生,与云计算和互联网的发展趋势密切相关。


趋势一:从消费互联网向产业互联网发展。


在消费互联网的时代,更多的2C的服务,是企业与个人,或者个人与个人的连接。这些连接都是建立在一个开放的,尽力而为的网络之上。


而到了产业互联网时代更多的是企业与企业之间的相互连接。而企业与企业之间的连接,需要的是一个安全稳定可靠私密的网络连接


发布在公网上的企业应用,就如同好像路边的小吃摊一样。无论这个摊位的自己卫生做的多好,还是会受基础环境的影响。发布在公网上的应用,受到公网整体安全的限制,还是无法避免流量劫持、水坑攻击等问题。


image.gifimage.png


以往企业私网互联的成本非常高,无论是专线还是VPN互联,都不是一件简单的事情。现在,云计算已经让这个门槛大大降低。大家在云上,连接是轻而易举的事情。同时,我们也在和业界的伙伴们一起,让云上云下的连接也要变得更加简单


过去的10年,我们一直在努力让网络更简单。利用阿里云遍布全球的基础设施,云网络可以帮助企业用户快速的构建一张全球网络。无论是云上组网还是上云网络,都变得更简单。我们也在利用智能化的能力,让网络变得更聪明,能够快速发现、定位问题,快速恢复




趋势二:从网络互联到应用互联


用户更希望关注的是网络上的应用,而不是网络本身。并且随着应用的发展,应用之间的连接也变得更加复杂。网络作为基础设施,最终还是要服务于应用,才能发挥价值。所以我们也在不断的思考和探索,让网络能够更好的帮助应用进行连接,能够更加方便的进行应用的发布和管理,让我们的用户能够有更多的精力关注应用和业务本身的发展。


image.png


趋势之下,面临的挑战


在这两个趋势之下,企业用户无论内部还是外部,都面临着应用生态互联的挑战。


这些挑战可能来源于企业内部业务或组织的不断发展和调整,也可能是因为外部行业或者合作伙伴的不断发展变化。


这些变化,给我们的网络规划和运维带来了巨大挑战,大家都知道绝大部分故障都是因为变更导致,业务又不能不发展,变更是不可避免的,那么如何控制故障的保障半径就成了关键问题


另外还有安全策略管理问题,业务的交互越来越复杂,安全策略的管理也越来越困难。我们有用户在防火墙上配置了上千条规则,但是时间一长,根本没人搞的清楚这些规则谁创建的,为什么创建,修改配置的风险也很大。怎么在满足业务要求的情况下,降低安全风险,是个非常令人头疼的问题


面向外部,我们既要控制对外暴露的服务给合作伙伴访问,也要控制能够访问哪些外部服务。这就导致公网的访问策略也非常复杂。另外,确保公网的数据传输的安全性也至关重要。


image.gifimage.png

那么在云上,我们有没有更好的办法解决这些问题?


答案是肯定的。


这个关键性的产品就是我们去年云栖大会发布的私网连接产品。




01

什么是私网连接?


对于在VPC中通过SLB部署的应用,我们除了可以通过绑定弹性公网IP的方式提供公网访问的能力,也可以将这个应用通过私网连接发布成一个私网服务。


那么另一个VPC或者另外一个账号的用户就可以在自己VPC中创建一个终端节点连接到这个服务,并通过这个VPC内的终端节点来访问这个应用。


image.gifimage.png


这种方式不需要通过任何方式把双方的网络直接连通,不需要公网,不需要配置路由,甚至都不需要知道对方的地址段或者任何信息,完全保持了双方网络的独立性和封闭性,只提供了特定应用的单向访问能力。


流量完全在内网中点到点传输,确保了数据的安全性。


私网连接也是一个云网络所特有的产品,充分发挥了虚拟网络的能力,像一个虫洞一样连接了2个相互独立的网络空间。





02

私网连接有什么价值和优势?


首先流量的传输更加的安全。应用数据的传输全部都是在内网中点到点传输,不会经过公网,极大的降低了数据传输过程中的泄露风险。对于服务的使用方,入口直接就在VPC内部,并且相互独立,这就极大的降低了流量被劫持的风险。


私网连接能够提供更加安全的服务连接控制能力。每个用户都有独立的服务连接,服务方就可以对每个用户的连接进行独立的管理和控制,甚至对每个连接的带宽单独限制。


在公网上发布的服务,面临的一个很大的安全威胁是拒绝服务攻击(DoS/DDoS)。拒绝服务攻击之所以难以防护,根本的原因是因为互联网是一个开放的网络,无法从源端控制访问者的行为,只能在服务侧进行被动的防御。也就是说,只能等到敌人打到家门口了,才能够进行防护,那只能拼刺刀,看谁的带宽大处理能力强了,成本极高。而私网连接精确的连接监控和控制能力,从根本上解决了这个问题


对于用户,每个服务入口都是独立的,并且可以通过安全组等VPC的安全能力对入口加以保护。通过私网连接和SLB提供的是单向的服务访问能力,用户只能主动访问特定的服务,服务方也不能主动访问用户的网络,保证了双方的安全。


另外,私网连接可以具备同可用区的服务访问能力,提供了低于1ms的并且稳定的网络时延。也可以通过域名实现多可用区的高可用。


最后也是最重要的一点,使用私网连接可以极大的简化网络的管理,确保双方网络的独立,缩小了故障的爆炸半径,大大降低了网络规划、运维、安全配置,以及账号管理的复杂度。


image.gif

image.png


03

可以应用在哪些场景?


对于企业SaaS应用,比如CRM、ERP这些系统,我们可以结合混合云产品,提供一个端到端的全程私网访问能力,确保应用和数据在一个安全的网络环境中。


对于行业数据服务,比如敏感的位置信息、医疗数据,私网连接提供一个安全可用的私网数据传输,满足合规的要求。


私网连接也可以为金融证券的量化交易提供超低时延的交易链路,为安全审计提供服务化的内网接入能力,同时为人工智能服务提供超大带宽的私网数据传输能力


image.gifimage.png


下面为大家分享一些有意思的方案。


现在零信任是一个非常热的话题,在零信任的安全体系中,精细化的访问控制是非常关键的一个能力。利用私网连接,我们可以精确的控制应用的访问。比如我们可以在终端接入VPC中创建所需服务的入口,而无需把接入VPC和服务直接联通。结合阿里云强大的混合云能力,以及Cloud  Smart Branch和CCIOT这些终端产品,再加上身份管理,云防火墙等安全产品,就构建了一个涵盖云边端加应用的整体安全方案。


image.gif


利用私网连接,可以实现超精细的安全域和故障域划分每个应用都可以有一张自己独立网络


对用户而言,可以像安装手机应用一样,在自己的网络中创建并管理所需的应用入口。这些应用,可以是内部应用,也可以是第三方的SaaS服务。


image.png

私网连接也可以与云企业网来结合使用,利用阿里云的全球一张网能力,快速实现企业应用的全球私网发布。相比较公网的方式,服务访问和数据传输都在内网中进行,可以提供更好的安全性和网络质量。

image.gif

image.png

今年三月份,我们发布了VPC流量镜像能力,便于用户对VPC内网流量进行采集分析,快速发现安全问题。通过私网连接,可以实现集中的流量采集和分析。无需在每个业务的VPC中都部署采集集群,也无需连接到这些业务的网络,只需要在这些VPC中创建一个终端节点来接收镜像流量即可。有个这个能力,阿里云上的安全服务提供商也可以为用户提供一个标准化的安全监控服务


image.png

私网连接提供了跨VPC跨账号的私网服务发布和访问关键能力,可以与其它的云网络产品、安全产品,甚至第三方产品一起,构建出更多意想不到的解决方案,满足各种场景的要求。


更新特性,更多体验


这一年来,我们也不断完善产品和生态能力。我们正在与云市场合作,为云市场的API和SaaS类商品提供私网连接接入能力。


用户在云市场购买了支持私网连接能力的API和SaaS类商品,就可以在VPC中访问服务,而无需通过公网。在提升安全性和服务质量的同时,也降低了使用成本


目前,阿里云的CLB产品已经全部支持私网连接特性,包括存量的CLB实例。这就意味着所有已经在使用CLB的应用,包括通过ACK等容器产品部署的应用,也都能够通过私网连接进行发布。


在处理能力上,我们把单可用区的处理能力提升到10Gbps,但是价格没有任何增加


支持同可用区就近访问可以让用户既能获得最小的访问时延,又能够充分利用多可用区的高可用能力


支持服务资源调度,可以让服务提供方可以灵活的分配和调整服务资源,既可以让用户独享服务集群,也可以共用服务集群


image.gifimage.png


未来,共创


这一年来,已有越来越多的生态伙伴和企业用户开始使用私网连接,为外部和内部的用户提供私网服务访问能力,构建服务化的云上网络。我们也期待与内外部的生态伙伴一起,为用户提供更多的应用和解决方案。



     image.png关于作者

image.gif

顾杰(木卅)

阿里云网络产品线 高级技术专家

15年以上的IP网络和云计算行业经验,在运营商网络、企业网络和网络安全等领域有深入研究,从事过运营商IP承载网、网络安全以及云网络等相关的产品的研发设计工作,有丰富的大型企业上云组网解决方案设计和部署实施经验。


image.gif








相关文章
|
云安全 弹性计算 负载均衡
第二届云网络峰会丨孙成浩:生而为云,连接增长——洛神云网络3.0持续演进
12月1日,第二届中国云网络峰会在线举办,在「云网融合」分论坛上,阿里云智能 云网络产品线副总经理 孙成浩(梵叶)发表《云网络:生而为云,连接增长——洛神云网络3.0持续演进》主题演讲,孙成浩结合产业发展趋势和应用场景需求,深度剖析了阿里云飞天洛神云网络的技术演进与产品迭代。
564 0
第二届云网络峰会丨孙成浩:生而为云,连接增长——洛神云网络3.0持续演进
《飞天技术汇—构建云上云下高速互联弹性网络,护航央视世界杯 蜀客》电子版地址
飞天技术汇—构建云上云下高速互联弹性网络,护航央视世界杯 蜀客
81 0
《飞天技术汇—构建云上云下高速互联弹性网络,护航央视世界杯 蜀客》电子版地址
|
弹性计算 编解码 负载均衡
阿里云飞天洛神2.0:开放弹性的云网络NFV平台
作为飞天系统的核心组件,洛神平台支撑了超大规模租户、超大规模虚拟机的高性能云网络。其中洛神2.0 NFV平台的定位是构建通用、灵活的平台能力,降低业务网元NFV化的门槛和成本,实现了复杂业务网元超高的灵活性和弹性。
4577 0
阿里云飞天洛神2.0:开放弹性的云网络NFV平台
|
6月前
|
存储 运维 达摩院
清能互联:智能优化上云,共建能源互联
能源互联网,行业智能优化先行者
129 0
清能互联:智能优化上云,共建能源互联
|
运维 Kubernetes 负载均衡
阿里云洛神云网络集中式网关丨技术解读与产品实践
随着云原生在生产领域的大规模使用,服务网格这一方案也越来越受到开发/运维人员的重视,其中当之无愧最值得注意的就是Istio。Istio原生的方案是使用SideCar Per-Pod的转发方式,而在9月初的时候Istio社区又提出了Ambient Mesh方案,简单来说,Ambient Mesh为了解决SideCar的一些缺陷,更倾向于使用共享代理的方式对4/7流量进行转发。而我们做的一些工作主要是摒弃掉了SideCar,对转发/控制平面进行了一些改造工作,通过使用一个集群内共享的转发节点来接管整个集群的东西向流量,这个共享的转发节点就是Alibaba集中式网关。
943 0
阿里云洛神云网络集中式网关丨技术解读与产品实践
|
运维 负载均衡 安全
阿里云混合云开放网络生态的探索与实践
2022年F5多云应用服务科技峰会于4月正式召开。阿里云智能混合云平台高级网络架构师张然(然犀)应邀于合作伙伴生态专场分享了阿里云混合云在开放网络生态领域的探索与实践。
1658 1
阿里云混合云开放网络生态的探索与实践
|
弹性计算 人工智能 运维
2021 SD-WAN大会丨阿里云洛神云网络:构筑智能云分支,加速企业数字化转型
12月17日,第四届SD-WAN峰会在北京举办。阿里云智能云网络产品总监谭礼铨(花名:李泉)在主论坛发表《构筑智能云分支,加速企业数字化》主题演讲。会上,阿里云丨洛神·云网荣获主办方颁发的年度风云企业奖。
642 0
2021 SD-WAN大会丨阿里云洛神云网络:构筑智能云分支,加速企业数字化转型
|
运维 负载均衡 监控
|
运维 云计算 虚拟化
阿里云祝顺民:网络应该全面云化
6月18日,在第五届未来网络发展大会上,阿里云智能云网络产品线总经理祝顺民在“未来网络技术发展与变革”主论坛上发表了《云网络技术发展和产业融合》主题演讲。
阿里云祝顺民:网络应该全面云化
|
弹性计算 运维 Cloud Native
阿里云SAG 2.0发布,助力企业全球互联
企业出海,网络先行。面对越来越多的出海企业和跨国企业采用公有云强大的弹性能力来构建可弹性伸缩的企业IT系统时,网络成为了企业上云的第一环和云上业务落地线下的最后一环。因此,在6月阿里云企业出海全球化网络新品发布会上,阿里云洛神云网络率先升级SAG 2.0,为全球百行百业的客户提供更强的接入能力,更好的网络质量和更极简的运维体验,继续引领混合云网络接入领域的发展趋势。
阿里云SAG 2.0发布,助力企业全球互联

相关产品

  • 私网连接