提问

#楼主# 2020-6-30

跳转到指定楼层
AWS PrivateLink 可以让数据传输不暴露在Internet 中,从而提高与应用程序共享数据的安全性。AWS PrivateLink 可以在 VPC、AWS 服务和本地应用程序之间通过 Amazon 网络安全地提供私有连接。AWS PrivateLink 也可以让您可以在不同账户和不同 VPC 之间轻松连接各种服务,大幅简化网络架构。从而简化网络管理、保护流量安全。

利用 AWS PrivateLink 以安全而可扩展的方式将您的 VPC 连接到 AWS 中的服务。AWS PrivateLink 的流量不会进入 Internet,可以减少面临暴力破解和分布式拒绝服务攻击等威胁的风险。采用私有 IP 连接和安全组,因此您的服务可以像直接托管在私有网络上一样运行。

以此可以在AWS上轻松构建安全访问 SaaS  应用程序。SaaS 提供商会从其企业客户收集数据,并使用这些数据进行日志分析、安全扫描或性能管理。SaaS 提供商会在其客户的 VPC 中安装代理或客户端,以便生成数据并将数据发送回提供商。

在使用 SaaS 应用程序时,客户只有两种选择:一种是允许 VPC 访问 Internet,而这会让 VPC 资源面临风险;另一种是完全不使用这种应用程序。而利用 AWS PrivateLink,您能够以安全而可扩展的方式将您的 VPC 连接到 AWS 服务和 SaaS 应用程序。

1.png

了解了终端节点服务后,我们可以将本VPC的实例以终端节点的方式提供给其他的VPC或账户,即可实现Saas的服务提供模式。下面本文使用两个WEB server模拟Saas服务,通过NLB建立私有连接到DMZ VPC中确保客户和提供方的网络安全。然后在客户的VPC和DMZ VPC建立peering连接使客户可以访问到Saas服务。

下面我进行以建立DMZ VPC来对外进行AWS内部的服务发布,本篇文章以apache web server为例。而且到达DMZ VPC中服务的请求可使用任意子网的终端节点。

建立NLB

首先在咱们的Provider VPC中建立为Saas提供服务的NLB。

2.png
3.png
等待创建完成后,创建终端节点服务。

创建终端节点服务

这一步将NLB加入到私有服务。
4.png
5.png
6.png
将上一步建立的终端节点服务,建立到DMZ VPC中,从而创建成为终端节点。

7.png
8.png
然后需要在终端节点连接中,接受终端节点连接请求

9.png

并点击"是,接受"

10.png
11.png
12.png

随即可以看到终端节点的状态变为可用状态,然后可以在咱们的子网中看到终端节点:vpce-05b779cba4bb6902b 和IPv4的地址。这就是我们访问Saas服务的接入点。也可终端节点的ENI,可以通过这个ENI从外部访问到咱们内部的NLB.

创建两台web server并且注册到NLB里面。

13.png

14.png

在两台WEB服务器中分别启动了apache服务。

15.png
创建与不同账户下VPC peering连接

这个我们以前的文章介绍过,这里就不详述了。

通过us-east-1a来访问DMZ VPC中的Saas服务

通过在弗吉尼亚的VPC peering连接,从us-east-1a可以连通到我们ap-northeast-1a的机器10.82.1.50,来确认我们的网络层已经可达,最终我们通过curl对endpoint进行测试。可以成功访问到private endpoint。

16.png


通过上面的命令可以看出从客户端的EC2 成功的连接到Privatelink到咱们的Saas服务(Web server)。

光环云SA团队原创文章,转载请注明作者及出处。
底部二维码.png

转播转播
回复

使用道具

成为第一个回答人

B Color Link Quote Code Smilies
光环云社区 |京ICP备18044167号-13|

京公网安备 11010102003758号