前言
作为洛神3.0“应用-云-边-端"体系的重要组成部分,本文将介绍私网连接如何能够化繁为简,助力企业应用生态互联。
两个趋势
私网连接产品的诞生,与云计算和互联网的发展趋势密切相关。
趋势一:从消费互联网向产业互联网发展。
在消费互联网的时代,更多的2C的服务,是企业与个人,或者个人与个人的连接。这些连接都是建立在一个开放的,尽力而为的网络之上。
而到了产业互联网时代更多的是企业与企业之间的相互连接。而企业与企业之间的连接,需要的是一个安全稳定可靠私密的网络连接。
发布在公网上的企业应用,就如同好像路边的小吃摊一样。无论这个摊位的自己卫生做的多好,还是会受基础环境的影响。发布在公网上的应用,受到公网整体安全的限制,还是无法避免流量劫持、水坑攻击等问题。
以往企业私网互联的成本非常高,无论是专线还是VPN互联,都不是一件简单的事情。现在,云计算已经让这个门槛大大降低。大家在云上,连接是轻而易举的事情。同时,我们也在和业界的伙伴们一起,让云上云下的连接也要变得更加简单。
过去的10年,我们一直在努力让网络更简单。利用阿里云遍布全球的基础设施,云网络可以帮助企业用户快速的构建一张全球网络。无论是云上组网还是上云网络,都变得更简单。我们也在利用智能化的能力,让网络变得更聪明,能够快速发现、定位问题,快速恢复。
趋势二:从网络互联到应用互联
用户更希望关注的是网络上的应用,而不是网络本身。并且随着应用的发展,应用之间的连接也变得更加复杂。网络作为基础设施,最终还是要服务于应用,才能发挥价值。所以我们也在不断的思考和探索,让网络能够更好的帮助应用进行连接,能够更加方便的进行应用的发布和管理,让我们的用户能够有更多的精力关注应用和业务本身的发展。
趋势之下,面临的挑战
在这两个趋势之下,企业用户无论内部还是外部,都面临着应用生态互联的挑战。
这些挑战可能来源于企业内部业务或组织的不断发展和调整,也可能是因为外部行业或者合作伙伴的不断发展变化。
这些变化,给我们的网络规划和运维带来了巨大挑战,大家都知道绝大部分故障都是因为变更导致,业务又不能不发展,变更是不可避免的,那么如何控制故障的保障半径就成了关键问题。
另外还有安全策略管理问题,业务的交互越来越复杂,安全策略的管理也越来越困难。我们有用户在防火墙上配置了上千条规则,但是时间一长,根本没人搞的清楚这些规则谁创建的,为什么创建,修改配置的风险也很大。怎么在满足业务要求的情况下,降低安全风险,是个非常令人头疼的问题。
面向外部,我们既要控制对外暴露的服务给合作伙伴访问,也要控制能够访问哪些外部服务。这就导致公网的访问策略也非常复杂。另外,确保公网的数据传输的安全性也至关重要。
”
那么在云上,我们有没有更好的办法解决这些问题?
答案是肯定的。
这个关键性的产品就是我们去年云栖大会发布的私网连接产品。
01
什么是私网连接?
对于在VPC中通过SLB部署的应用,我们除了可以通过绑定弹性公网IP的方式提供公网访问的能力,也可以将这个应用通过私网连接发布成一个私网服务。
那么另一个VPC或者另外一个账号的用户就可以在自己VPC中创建一个终端节点连接到这个服务,并通过这个VPC内的终端节点来访问这个应用。
这种方式不需要通过任何方式把双方的网络直接连通,不需要公网,不需要配置路由,甚至都不需要知道对方的地址段或者任何信息,完全保持了双方网络的独立性和封闭性,只提供了特定应用的单向访问能力。
流量完全在内网中点到点传输,确保了数据的安全性。
私网连接也是一个云网络所特有的产品,充分发挥了虚拟网络的能力,像一个虫洞一样连接了2个相互独立的网络空间。
02
私网连接有什么价值和优势?
首先流量的传输更加的安全。应用数据的传输全部都是在内网中点到点传输,不会经过公网,极大的降低了数据传输过程中的泄露风险。对于服务的使用方,入口直接就在VPC内部,并且相互独立,这就极大的降低了流量被劫持的风险。
私网连接能够提供更加安全的服务连接控制能力。每个用户都有独立的服务连接,服务方就可以对每个用户的连接进行独立的管理和控制,甚至对每个连接的带宽单独限制。
在公网上发布的服务,面临的一个很大的安全威胁是拒绝服务攻击(DoS/DDoS)。拒绝服务攻击之所以难以防护,根本的原因是因为互联网是一个开放的网络,无法从源端控制访问者的行为,只能在服务侧进行被动的防御。也就是说,只能等到敌人打到家门口了,才能够进行防护,那只能拼刺刀,看谁的带宽大处理能力强了,成本极高。而私网连接精确的连接监控和控制能力,从根本上解决了这个问题。
对于用户,每个服务入口都是独立的,并且可以通过安全组等VPC的安全能力对入口加以保护。通过私网连接和SLB提供的是单向的服务访问能力,用户只能主动访问特定的服务,服务方也不能主动访问用户的网络,保证了双方的安全。
另外,私网连接可以具备同可用区的服务访问能力,提供了低于1ms的并且稳定的网络时延。也可以通过域名实现多可用区的高可用。
最后也是最重要的一点,使用私网连接可以极大的简化网络的管理,确保双方网络的独立,缩小了故障的爆炸半径,大大降低了网络规划、运维、安全配置,以及账号管理的复杂度。
03
可以应用在哪些场景?
对于企业SaaS应用,比如CRM、ERP这些系统,我们可以结合混合云产品,提供一个端到端的全程私网访问能力,确保应用和数据在一个安全的网络环境中。
对于行业数据服务,比如敏感的位置信息、医疗数据,私网连接提供一个安全可用的私网数据传输,满足合规的要求。
私网连接也可以为金融证券的量化交易提供超低时延的交易链路,为安全审计提供服务化的内网接入能力,同时为人工智能服务提供超大带宽的私网数据传输能力。
下面为大家分享一些有意思的方案。
现在零信任是一个非常热的话题,在零信任的安全体系中,精细化的访问控制是非常关键的一个能力。利用私网连接,我们可以精确的控制应用的访问。比如我们可以在终端接入VPC中创建所需服务的入口,而无需把接入VPC和服务直接联通。结合阿里云强大的混合云能力,以及Cloud Smart Branch和CCIOT这些终端产品,再加上身份管理,云防火墙等安全产品,就构建了一个涵盖云边端加应用的整体安全方案。
利用私网连接,可以实现超精细的安全域和故障域划分,每个应用都可以有一张自己独立网络。
对用户而言,可以像安装手机应用一样,在自己的网络中创建并管理所需的应用入口。这些应用,可以是内部应用,也可以是第三方的SaaS服务。
私网连接也可以与云企业网来结合使用,利用阿里云的全球一张网能力,快速实现企业应用的全球私网发布。相比较公网的方式,服务访问和数据传输都在内网中进行,可以提供更好的安全性和网络质量。
今年三月份,我们发布了VPC流量镜像能力,便于用户对VPC内网流量进行采集分析,快速发现安全问题。通过私网连接,可以实现集中的流量采集和分析。无需在每个业务的VPC中都部署采集集群,也无需连接到这些业务的网络,只需要在这些VPC中创建一个终端节点来接收镜像流量即可。有个这个能力,阿里云上的安全服务提供商也可以为用户提供一个标准化的安全监控服务。
私网连接提供了跨VPC跨账号的私网服务发布和访问关键能力,可以与其它的云网络产品、安全产品,甚至第三方产品一起,构建出更多意想不到的解决方案,满足各种场景的要求。
更新特性,更多体验
这一年来,我们也不断完善产品和生态能力。我们正在与云市场合作,为云市场的API和SaaS类商品提供私网连接接入能力。
用户在云市场购买了支持私网连接能力的API和SaaS类商品,就可以在VPC中访问服务,而无需通过公网。在提升安全性和服务质量的同时,也降低了使用成本。
目前,阿里云的CLB产品已经全部支持私网连接特性,包括存量的CLB实例。这就意味着所有已经在使用CLB的应用,包括通过ACK等容器产品部署的应用,也都能够通过私网连接进行发布。
在处理能力上,我们把单可用区的处理能力提升到10Gbps,但是价格没有任何增加。
支持同可用区就近访问可以让用户既能获得最小的访问时延,又能够充分利用多可用区的高可用能力。
支持服务资源调度,可以让服务提供方可以灵活的分配和调整服务资源,既可以让用户独享服务集群,也可以共用服务集群。
未来,共创
这一年来,已有越来越多的生态伙伴和企业用户开始使用私网连接,为外部和内部的用户提供私网服务访问能力,构建服务化的云上网络。我们也期待与内外部的生态伙伴一起,为用户提供更多的应用和解决方案。
关于作者
顾杰(木卅)
阿里云网络产品线 高级技术专家
15年以上的IP网络和云计算行业经验,在运营商网络、企业网络和网络安全等领域有深入研究,从事过运营商IP承载网、网络安全以及云网络等相关的产品的研发设计工作,有丰富的大型企业上云组网解决方案设计和部署实施经验。