Druva如何使用AWS PrivateLink进行安全云数据传输 网络与内容交付

Druva如何利用AWS PrivateLink安全地传输云端数据

by Smita Singh、Rajesh Ahuja特邀、Pratul Mathur于2024年8月29日发表在Amazon VPC、AWS PrivateLink、Networking amp Content Delivery、Technical Howto、Thought Leadership 永久连结 分享

主要收获

Druva利用AWS PrivateLink来确保其客户之间的数据安全传输。AWS PrivateLink提供专用的VPC连接，避免数据暴露于公网，增强了安全性。Druva的架构设计包括控制平面和数据平面，并利用HAProxy进行流量转发。数据在传输过程中使用TLS协议加密，并在云端存储中实现加密管理。

在这篇文章中，我们探讨了Druva作为一个提供云数据保护和管理解决方案的SaaS供应商，如何实施AWS PrivateLink以确保Druva客户与Druva虚拟私有云VPC之间的数据安全传输。PrivateLink建立了VPC、Amazon托管服务和本地网络之间的私密连接，使用VPC端点。这提供了一个比使用公共IP地址更安全的替代方案，并将所有流量保留在AWS网络中，从不暴露于公共互联网。

AWS PrivateLink将一个VPC消费者的资源与另一个VPC提供者的服务连接，使用私有IP地址。在部署PrivateLink时，在消费者的VPC内创建一个VPC端点。来自该端点的流量将定向到提供者VPC内部署的端点服务。VPC端点与端点服务之间的流量在AWS网络上流通，并不暴露于公共互联网上。这为安全数据传输创造了私有连接，使其非常适合备份场景。对于Druva来说，这促进了Druva客户的VPC与Druva VPC之间的安全数据移动。

高级架构

Druva的企业备份服务包括控制平面CP和数据平面DP。控制平面设置在两个AWS区域区域1和区域2，而数据平面则分布于多个AWS区域。控制平面和数据平面的VPC彼此对等，允许流量在两者之间移动。

在Druva的网络内，控制平面和数据平面的端点服务连接至网络负载均衡器Network Load Balancer。网络负载均衡器是通过的，并未配置SSL终止。来自控制平面和数据平面后端的请求分别通过HAProxy路由。HAProxy，即高可用性代理，是一种流行的开源TCP/HTTP负载均衡和代理解决方案。目前，AWS PrivateLink仅支持网络负载均衡器，Druva的客户通过L7路由连接后端。由于网络负载均衡器不支持此操作，因此在后端和网络负载均衡器之间需要使用HAProxy。

该解决方案的架构如图1所示。

内容详细描述1 两个Druva控制平面区域区域1和区域22 Druva拥有控制平面和数据平面后端在区域1和区域2中3 其他区域仅有数据平面后端4 每个AWS区域创建两种类型的VPC端点服务数据平面VPC端点服务和控制平面VPC端点服务5 在没有控制平面后端的区域，端点服务和后端之间的通信通过VPC对等路由6 Druva客户的数据被备份存储于Amazon S3桶中在Druva的数据平面，区域相同

数据安全

一个网络负载均衡器在私有子网中启动，只允许通过安全端口443的流量。Amazon S3桶的默认加密功能已启用，数据使用Amazon S3管理的密钥进行服务器端加密SSES3。数据还使用Druva的封装加密工具进行自定义密钥加密。在传输过程中，数据使用TLS协议进行加密，支持TLS 12及以上版本。

如何配置服务提供方的VPC及其他解决方案组件

当创建端点服务时，您的AWS帐户必须被允许列入其中。每个VPC端点服务需要一个网络负载均衡器。对于使用VPC端点服务的Druva控制平面和数据平面后端的访问可以受到限制。访问可以限制为特定资源、来自特定VPC的流量或来自特定VPC端点的流量。

Druva使用Terraform脚本来执行每个帐户和区域中的上述步骤。下一节中提到了一个示例脚本。

代码片段

hcl

可配置参数，在部署时传递值变量

variable customerawsaccounts { default = []}

variable privateawssubnets { default = []}

variable awsvpcid { default = }

variable proxyinstanceid { default = }

资源

Druva VPC端点，默认情况下allowedprincipals为“”，否则为客户的AWS帐户ID

resource awsvpcendpointservice vpce { acceptancerequired = false networkloadbalancerarns = [awslbnlbarn] allowedprincipals = varcustomerawsaccounts

tags = { Name = servicevpce }}

在私有子网中创建的网络负载均衡器

resource awslb nlb { name = servicenlb internal = true loadbalancertype = network subnets = varprivateawssubnets

enabledeletionprotection = true enablecrosszoneloadbalancing = true

tags = { Name = servicenlb }}

仅允许在安全443端口上流量的网络负载均衡器监听器规则

resource awslblistener listenerrule { loadbalancerarn = awslbnlbarn port = 443 protocol = TCP

defaultaction { type = forward targetgrouparn = awslbtargetgrouptgarn }}

resource awslbtargetgroup tg { name = servicetg port = 443 protocol = TCP vpcid = varawsvpcid

healthcheck { interval = 30 port = 443 protocol = TCP healthythreshold = 2 unhealthythreshold = 2 }}

resource awslbtargetgroupattachment tgattachment { targetgrouparn = awslbtargetgrouptgarn targetid = varproxyinstanceid port = 443}

output servicename { value = awsvpcendpointservicevpceservicename}

output privatednsname { value = awsvpcendpointservicevpceprivatednsname}

如何配置消费者VPC及其他解决方案组件

作为Druva的客户，您需要部署一个AWS CloudFormation模板，以完成以下网络配置步骤：

为Druva服务提供方的每个端点服务创建一个VPC端点，以促进通过私人网络的通信。在您的VPC中创建一个Amazon Route 53私有托管区。这将有CNAME条目指向VPC端点，这对于私有通信是必要的。这是为了使用Druva自己的域名druvacom路由流量到VPC端点。

商业和技术效益Druva的企业备份云平台利用AWS PrivateLink进行安全数据传输的主要商业和技术效益包括：

使用基于软件的服务SaaS解决方案增强关键工作负载的备份策略。在受到监管和合规要求规范的工作负载中增强备份解决方案。根据数据备份需求动态扩展VPC端点服务，以实现最佳利用率。重用VPC端点服务以设置多个私有连接。使用Terraform和CloudFormation模板自动化部署，无需手动介入。通过在客户所在区域备份数据来优化成本，降低数据传输费用。确保数据在传输中的安全，因为它从未离开私有网络。通过对Druva VPC中特定资源的细粒度访问控制来控制网络访问，而不是默认情况下所有资源，遵循最小特权原则。

该方法的其他用例

AWS PrivateLink提供了一种安全和可扩展的机制，允许安全服务、日志记录、监控、DevOps、身份验证和授权等公共服务在共享服务VPC中作为端点服务暴露，并由分离的VPC中的工作负载消费。

对于结合AWS云及本地基础设施的混合生态系统的客户，AWS PrivateLink可以允许他们将AWS PrivateLink端点服务的资源目标扩展到本地数据中心的资源。这将实现AWS上或本地托管的资源之间的无缝通信。

结论

在这篇文章中，我们解释了Druva如何利用AWS PrivateLink在其AWS帐户与客户的AWS帐户之间建立私有连接的原因和方法。该解决方案利用VPC对等进行跨区域通信，确保数据从同一AWS区域中的VPC上传和下载使用AWS PrivateLink或不同AWS区域之间的数据传输通过在Druva网络或客户网络中的VPC对等进行，使用AWS内部网络进行，而不通过公共互联网。

请参阅Amazon虚拟专用云文件以进一步探索AWS PrivateLink并阅读其他相关服务。了解更多信息，请访问wwwdruvacom并关注twittercom/druvainc。

关于作者

Smita Singh

Smita Singh是AWS的资深解决方案架构师，拥有18年的行业经验。她专注于制定长短期的技术战略愿景，并致力于为大型全球企业及SaaS解决方案提供商设计和实施现代、可扩展的平台。她对数据、分析和生成AI充满热情，热衷于建立创新、高度可扩展的、具备弹性、抗故障能力、自我修复能力的多租户平台解决方案和加速器。

Pratul Mathur

Pratul Mathur是AWS的资深技术账户经理，拥有15年的软件开发和解决方案架构经验。他热衷于帮助和指导客户的云端之旅，协助组织实施策略以加速创新并推动数字化转型。他对技术充满热情，专注于生成AI和多云架构。

一元云购官网

Rajesh Ahuja特邀

Rajesh Ahuja是Druva的DevOps架构师。他专注于制定可靠、安全且具成本效益的部署策略，同时监督内部工具并领导POC。他的专业领域包括设计强健的监控堆叠，以提高系统性能。他特别热衷于探索云部署、安全性和可观察性方面的最新进展，推动其领域内的持续改进和创新。