訪問阿里雲服務 - PrivateLink

在 VPC 中建立終端節點並指定阿里雲服務，發往終端節點的請求將由 PrivateLink 轉寄至目標服務，實現私網安全訪問，避免通過公網訪問服務帶來的潛在安全風險。

使用者可使用介面終端節點，通過私網訪問阿里雲服務。
經使用者授權後，阿里雲服務側可使用反向終端節點，通過私網訪問使用者 VPC 內的指定資源。

使用介面終端節點訪問阿里雲服務

服務使用方在 VPC 中建立介面終端節點，即可通過私網訪問指定的阿里雲服務。

系統為終端節點可用性區域建立彈性網卡，並且為該彈性網卡分配對應交換器網段中的私網 IP。
服務使用方使用終端節點網域名稱、終端節點可用性區域網域名稱、終端節點可用性區域的彈性網卡 IP，均可以訪問阿里雲服務，所有發送到彈性網卡的服務要求將通過私網串連轉寄到後端服務資源。
終端節點網域名稱和終端節點可用性區域網域名稱是公網 DNS 權威網域名稱，其他 VPC 和本機資料中心中的用戶端均可以解析。當其他 VPC和本機資料中心與 VPC 建立網路連接後，即可藉助 VPC 中的介面終端節點訪問阿里雲服務。

當阿里雲服務配置了自訂服務網域名稱時，使用者可以為介面終端節點開啟自訂服務網域名稱，從而使用自訂服務網域名稱訪問對應的阿里雲服務。

建立/刪除介面終端節點

支援範圍：支援使用介面終端節點訪問的阿里雲服務。
確保已開通私網串連服務，且已在目標地區建立VPC、交換器和安全性群組。

控制台

建立介面終端節點

前往終端節點 - 建立終端節點頁面。
配置介面終端節點：
- 所屬地區：選擇訪問阿里雲服務入口所在地區。
- 終端節點服務：選擇阿里雲服務，依據終端節點服務名稱選擇訪問的阿里雲服務。
- 是否開啟自訂服務網域名稱：當阿里雲服務支援使用自訂服務網域名稱訪問時，服務使用方可以開啟該選項，使用自訂網域名訪問阿里雲服務。
- 專用網路、可用性區域與交換器：為確保服務高可用，建議至少選擇2個可用性區域下的交換器。可以為終端節點可用性區域的彈性網卡指定交換器內的 IP 位址，如不指定，將由系統預設分配。
  不允許為彈性網卡指定交換器的系統保留地址。
- 安全性群組：與介面終端節點關聯，管控全部終端節點可用性區域的彈性網卡的入方向流量。
- IP版本：當阿里雲服務支援雙棧時，支援選擇雙棧，用戶端可以同時使用IPv4和IPv6地址訪問服務。否則，僅支援選擇IPv4。
- 是否支援同可用性區域優先：當阿里雲服務支援同可用性區域優先時，服務使用方可選擇開啟/關閉同可用性區域優先。
  - 開啟時，服務使用方從介面終端節點所在的可用性區域使用終端節點網域名稱訪問服務，雲解析 DNS 系統將優先返回對應終端節點可用性區域的彈性網卡IP，從而實現就近訪問。
  - 如果從非介面終端節點所在的可用性區域訪問，或者關閉同可用性區域優先時，雲解析 DNS 系統將返回所有終端節點可用性區域可用的彈性網卡 IP。
- 終端節點策略：保持預設終端節點策略，即允許完全訪問。是否允許配置自訂終端節點策略由訪問的阿里雲服務決定。

建立完成後，可使用同 VPC 的 ECS 執行以下命令測試是否連通。

ping <終端節點可用性區域的彈性網卡的IP>
# 可在執行個體詳情頁的可用性區域與網卡頁簽下，查看彈性網卡的 IP 位址 
# 如為 HTTP/HTTPS 服務，建議直接存取服務連接埠
curl -sI http://<終端節點網域名稱>
# 可在執行個體列表頁查看終端節點網域名稱 
# 安全性群組入方向需開放HTTP（80）和HTTPS（443）連接埠，用於終端節點所在的VPC通過HTTP協議或者HTTPS協議訪問服務。
# 是否可使用HTTPS協議訪問，由對應的服務決定。

刪除介面終端節點

在目標介面終端節點的操作列，單擊刪除。刪除後，介面終端節點所屬 VPC 將無法通過私網串連訪問對應的阿里雲服務。

API

調用CreateVpcEndpoint建立介面終端節點。
調用DeleteVpcEndpoint刪除介面終端節點。

配置介面終端節點的高可用

當介面終端節點配置多個可用性區域、使用者使用終端節點網域名稱訪問阿里雲服務時，阿里雲提供全託管可用性探測，確保可用性區域出現故障時能快速切換到其他可用性區域：

故障切換：系統即時探測不同終端節點可用性區域的彈性網卡IP的可用性，如有異常，將刪除對應解析記錄，避免流量流向故障可用性區域。
故障恢複：故障恢複後，系統將自動添加對應的解析記錄。

控制台

配置多可用性區域

建立介面終端節點時，至少選擇2個可用性區域下的交換器。
建立完成後，單擊目標介面終端節點ID，在可用性區域與網卡頁簽單擊添加可用性區域。
單擊目標可用性區域操作列的刪除，將從服務中移除對應可用性區域。

配置完成後，在可用性區域與網卡頁簽，可以查看對應可用性區域網域名稱與終端節點可用性區域的彈性網卡的IP地址。

為確保服務高可用，需使用終端節點網域名稱訪問服務。終端節點網域名稱可以在介面終端節點列表頁查看。

API

調用AddZoneToVpcEndpoint為終端節點添加可用性區域。
調用RemoveZoneFromVpcEndpoint刪除終端節點的可用性區域。

同可用性區域就近訪問

當阿里雲服務支援同可用性區域優先時，服務使用方可選擇開啟/關閉同可用性區域優先。開啟時：

開啟時，服務使用方從介面終端節點所在的可用性區域使用終端節點網域名稱訪問服務，雲解析 DNS 系統將優先返回對應終端節點可用性區域的彈性網卡IP，從而實現就近訪問。
如果從非介面終端節點所在的可用性區域訪問，或者關閉同可用性區域優先時，雲解析 DNS 系統將返回所有終端節點可用性區域可用的彈性網卡 IP。

當阿里雲服務對同可用性區域優先的支援情況發生變化時：

阿里雲服務從支援變更為不支援同可用性區域優先：
- 服務使用方建立介面終端節點時，不允許開啟同可用性區域優先。
- 已建立的介面終端節點：
  - 已關閉同可用性區域優先：不影響目前狀態，但不支援開啟。
  - 已開啟同可用性區域優先：不影響目前狀態，支援關閉。
阿里雲服務從不支援變更為支援同可用性區域優先：
- 服務使用方建立介面終端節點時，可選擇開啟/關閉同可用性區域優先。
- 已建立的介面終端節點：不影響目前狀態，支援開啟/關閉同可用性區域優先。

控制台

開啟/關閉同可用性區域優先

建立介面終端節點時，配置是否支援同可用性區域優先。
建立完成後，單擊目標介面終端節點ID，在基本資料頁簽的是否支援同可用性區域優先右側調整開啟/關閉。

API

建立時：調用CreateVpcEndpoint，配置ZoneAffinityEnabled。
建立完成後：調用UpdateVpcEndpointAttribute，調整ZoneAffinityEnabled。

保障私網串連的安全

PrivateLink提供了三個層級的存取控制能力：安全性群組、網路ACL和終端節點策略。可以單獨或組合使用，實現精細化的安全管控。

安全性群組：作用於所有終端節點可用性區域的彈性網卡，控制從 VPC 中的資源流向介面終端節點的流量。
- 建立介面終端節點時，需選擇自訂安全性群組。建立完成後，支援添加/刪除安全性群組，但需確保至少保留一個安全性群組。
- 建立介面終端節點時，PrivateLink 將預設建立託管安全性群組，出方向預設全放通：包含優先順序為 1 的允許全部流量訪問任意 IPv4 / IPv6 地址的規則。
  - 託管安全性群組可在ECS 控制台 - 安全性群組頁面查看。
  - 託管安全性群組不支援修改和刪除，但佔用安全性群組配額q_security-groups（賬戶可擁有的安全性群組的最大數量）。
- 如果為自訂安全性群組添加優先順序為1的出方向拒絕規則，由於相同優先順序的拒絕規則優先於允許規則，可能導致服務無法訪問，請謹慎配置出方向拒絕規則。
網路ACL：控制進出終端節點可用性區域的彈性網卡所在交換器的流量。
終端節點策略：當使用介面終端節點訪問阿里雲服務時，支援配置終端節點策略。
- 支援使用介面終端節點訪問的阿里雲服務均支援配置預設終端節點策略，授予對介面終端節點的完整存取。
- 目前，僅Object Storage Service、PAI - AI WorkSpace 支援配置自訂終端節點策略，限制特定使用者訪問特定資源。

控制台

配置安全性群組

配置介面終端節點時，將指定加入的安全性群組。建立完成後，支援加入/刪除安全性群組。

加入安全性群組：在目標終端節點詳情頁的安全性群組頁簽，單擊加入安全性群組。
刪除安全性群組：單擊已加入安全性群組操作列的刪除。

僅符合已加入安全性群組的規則的用戶端流量才能通過該介面終端節點訪問阿里雲服務。可參考配置以下安全性群組規則：

入方向僅添加允許指定 IP 訪問的規則，除指定 IP 的用戶端外，均無法通過該終端節點訪問阿里雲服務。
出方向預設允許所有訪問，即安全性群組內 ECS 訪問外部都是允許存取的。

配置網路 ACL

前往專用網路控制台-網路ACL，在頁面上方選擇目標地區後，單擊建立網路ACL。
配置所屬專用網路，選擇介面終端節點所屬的VPC。
單擊執行個體ID或操作列的管理，進入已綁定資源頁簽，單擊關聯交換器，選擇介面終端節點所屬的目標交換器並確認關聯。關聯的交換器將按照網路ACL規則控制出入交換器的流量。
如需解除控制，綁定後可以在該頁簽下，單擊目標交換器操作列的解除綁定。
在目標網路ACL的入方向規則/出方向規則頁簽，單擊管理入方向規則/管理出方向規則。基於協議類型、IP版本、源地址/目的地址、連接埠範圍匹配到網路ACL規則後，系統將對流量執行指定策略，允許/拒絕對應的流量。

配置終端節點策略

建立介面終端節點時支援配置終端節點策略，建立完成後，可在目標介面終端節點詳情頁的終端節點策略頁簽下，單擊編輯終端節點策略來修改。

API

調用AttachSecurityGroupToVpcEndpoint將終端節點加入安全性群組。
調用DetachSecurityGroupFromVpcEndpoint將終端節點移除安全性群組。
調用CreateVpcEndpoint或UpdateVpcEndpointAttribute時，傳入PolicyDocument，配置終端節點策略。

使用自訂服務網域名稱訪問

您在 VPC 中訪問阿里雲服務時，通常會使用特定的服務網域名稱。如果該服務配置了自訂服務網域名稱，您可以為建立的介面終端節點開啟自訂服務網域名稱。開啟後，您無需修改應用程式中的服務地址，即可繼續使用該網域名稱通過 PrivateLink 私網訪問服務。

自訂服務網域名稱的生效範圍為介面終端節點所在的 VPC，僅介面終端節點所在的 VPC 可以解析出私網 IP。其他 VPC 和本機資料中心與介面終端節點所在的 VPC 連通並佈建網域名解析後，即可使用自訂服務網域名稱訪問服務。

同一個自訂服務網域名稱不支援在同一 VPC 內被多個介面終端節點同時開啟。先開啟的介面終端節點生效，其他介面終端節點無法啟用。

阿里雲服務側為終端節點服務配置並驗證自訂服務網域名稱後，使用者才可以為介面終端節點開啟自訂服務網域名稱。

自訂服務網域名稱由 PrivateLink 託管的 PrivateZone 提供解析服務。

為介面終端節點開啟自訂服務網域名稱

建立介面終端節點時，設定是否開啟自訂服務網域名稱為開啟。
建立完成後，在介面終端節點詳情頁的終端節點服務網域名稱地區，開啟自訂服務網域名稱開關。
無需使用時，可在此處關閉。

使用自訂服務網域名稱訪問服務

同 VPC 訪問：在介面終端節點所在 VPC 內，可以直接使用自訂服務網域名稱訪問服務，無需額外配置。
跨 VPC 訪問：
1. 連通網路：參考跨 VPC 互連方案，選擇對等串連或雲企業網連通 VPC。
2. 佈建網域名解析：
  1. 前往內網 DNS 解析控制台，單擊添加網域名稱（Zone），配置自訂服務網域名稱，設定網域名稱生效範圍為阿里雲VPC內網，並選擇目標 VPC。
  2. 單擊網域名稱ID，在解析記錄頁簽下選擇添加記錄，添加網域名稱首碼為@、記錄值為預設服務網域名稱的CNAME記錄。
本機資料中心訪問
1. 連通網路：參考VPC串連本地 IDC 方案，選擇Express Connect或 VPN 閘道連通本機資料中心。
2. 佈建網域名解析：
  1. 前往內網 DNS 解析控制台，單擊添加入站終端節點，配置入站VPC為介面終端節點所在的 VPC。為保證高可用，入站Cellular Data Package IP 位址選擇至少兩個可用性區域進行添加。
  2. 在本機資料中心配置轉寄地區。
    本文以 BIND 為例。如果本地 IDC 使用其他 DNS 系統，請參考其相應文檔配置條件轉寄。配置原理相同，即將特定網域名稱的解析請求轉寄至 VPC PrivateZone 入站終端節點的服務 IP 位址。
    1. 配置 BIND 檔案。
      BIND 設定檔位置因作業系統而有區別。常見路徑為/etc/named.conf和/etc/bind/named.conf。
```
// 以訪問pai-dlc服務為例，zone配置為對應的自訂服務網域名稱
zone "pai-dlc-vpc.cn-beijing.aliyuncs.com" IN {
       type forward;
       forwarders { 
           10.0.0.173; // 替換為入站Cellular Data PackageIP地址 
           10.0.1.109;
       };
   };
```
    2. 重啟 BIND 服務確保配置生效。
      BIND 服務重啟命令因作業系統而有區別。常見命令為systemctl restart named。

阿里雲服務使用反向終端節點訪問使用者授權資源

經使用者授權後，阿里雲服務可使用反向終端節點，通過私網安全訪問使用者 VPC 內的指定資源，使用者可通過安全性群組和網路 ACL 進一步控制阿里雲服務可訪問的資源範圍。

安全性群組將作用於所有終端節點可用性區域的彈性網卡，控制從反向終端節點流向 VPC 中資源的流量。
建立反向終端節點後，PrivateLink 將預設建立託管安全性群組，入方向預設全放通：包含優先順序為 1 的允許來自任意 IPv4 / IPv6 地址的全部流量的規則。
- 託管安全性群組可在ECS 控制台 - 安全性群組頁面查看。
- 託管安全性群組不支援修改和刪除，但佔用安全性群組配額q_security-groups（賬戶可擁有的安全性群組的最大數量）。

支援範圍：支援使用反向終端節點訪問的阿里雲服務。

確保已開通私網串連服務，且已在目標地區建立VPC、交換器和安全性群組。

反向終端節點不支援雙棧訪問。

控制台

建立反向終端節點

前往終端節點 - 建立終端節點頁面。
配置反向終端節點：
- 所屬地區：選擇阿里雲服務訪問的資源所在地區。
- 終端節點服務：選擇可用服務，根據服務名稱從列表中選擇阿里雲服務。
- 專用網路、可用性區域與交換器：為確保服務高可用，建議至少選擇2個可用性區域下的交換器。可以為終端節點可用性區域的彈性網卡指定交換器內的 IP 位址，如不指定，將由系統預設分配。
- 安全性群組：作用於所有終端節點可用性區域的彈性網卡。反向終端節點僅允許阿里雲服務主動訪問使用者資源。

刪除反向終端節點

在目標反向終端節點的操作列，單擊刪除。刪除後，對應的阿里雲服務將無法通過反向終端節點訪問使用者 VPC 內的指定資源。

API

調用CreateVpcEndpoint建立反向終端節點。
調用DeleteVpcEndpoint刪除反向終端節點。

特性	網關終端節點	私網串連 (PrivateLink)
應用情境	結合網關終端節點的終端節點策略與OSS的Bucket授權策略，可以降低未授權訪問風險，實現雙向鑒權：源端控制：VPC側僅允許該VPC訪問指定Bucket，不允許該VPC訪問其他Bucket。目的端控制：OSS側僅允許指定VPC訪問該Bucket，不允許其他VPC訪問。	VPC通過私網安全訪問雲端服務的標準方案，相比網關終端節點支援更多雲端服務類型、更多進階能力。
適用服務類型	目前僅適用於Object Storage Service。	適用於眾多阿里雲一方服務以及使用者自建服務（含ISV提供的服務）。
VPC側安全能力	僅支援終端節點策略。	支援安全性群組、網路ACL、終端節點策略。
組網能力	不支援複雜組網。可能存在雲端服務地址（100.x.x.x網段）衝突的問題。	支援複雜組網。結合VPC對等串連/雲企業網、Express Connect/VPN網關產品，可以實現跨地區、混合雲組網。
營運能力	無	支援流日誌，便於審計與故障排查。
費用	免費	收取執行個體費、流量處理費。使用者自建服務支援選擇服務使用方付費或服務提供者付費。

PrivateLink：訪問阿里雲服務