PrivateLink：什麼是私網串連

情境一：訪問阿里雲服務

阿里雲服務由阿里雲作為服務提供者，支援通過PrivateLink提供私網串連訪問的雲端服務。

若因業務需求，您需要從VPC和本機資料中心訪問阿里雲服務，請您在VPC中建立終端節點時指定阿里雲服務名稱。所有發送到該終端節點的請求將通過PrivateLink轉寄至相應的阿里雲服務。此外，本機資料中心中的用戶端可以通過組網產品與VPC建立網路連接，從而通過VPC中的終端節點訪問阿里雲服務。

• 通過介面終端節點訪問阿里雲服務時，您可以選擇設定終端節點策略和安全性群組，以控制哪些用戶端資源能夠使用介面終端節點訪問阿里雲服務，從而滿足安全訪問需求。

• 通過反向終端節點訪問阿里雲服務時，您可以選擇設定安全性群組，以控制阿里雲服務可訪問的用戶端資源範圍。

• 通過網關型負載平衡終端節點 GWLBe訪問阿里雲服務時，您可以通過自訂VPC 路由策略，以控制哪些用戶端資源能夠通過GWLBe訪問阿里雲服務。

  說明

  網關終端節點是一種特殊類型的終端節點，它不依賴於PrivateLink。它支援訪問有限的阿里雲服務。在建立網關終端節點時，您可以選擇配置終端節點策略，以實現對阿里雲服務的安全訪問。

情境二：共用使用者自建服務

作為服務提供者，您可以選擇在阿里雲上構建服務，並將該託管服務共用給服務使用方。

您可以在自己的VPC中建立終端節點服務，並選擇網路型負載平衡NLB、傳統型負載平衡 CLB或應用型負載平衡 ALB作為服務資源。通過佈建服務白名單，您可以授予其他阿里雲使用者訪問該服務的許可權。其他阿里雲使用者可以通過在自己的VPC中指定服務名稱建立介面終端節點，從而與您的終端節點服務建立串連。所有發送到該介面終端節點的請求將通過PrivateLink轉寄至您的服務。

情境三：訪問網路虛擬設備

作為服務提供者，您可以選擇基於阿里雲的網關型負載平衡 GWLB 部署網路虛擬設備，例如防火牆、入侵檢測、流量鏡像、深度報文檢測等，並將這些託管的網路虛擬設備共用給其他阿里雲使用者。

您可以在自己的VPC中建立終端節點服務，並選擇GWLB作為服務資源。通過佈建服務白名單，您可以授予其他阿里雲使用者訪問您的網路虛擬設備的許可權。其他阿里雲使用者可以通過在自己的VPC中指定服務名稱建立GWLBe，從而與您的終端節點服務建立串連。所有發送到該GWLBe的流量將通過PrivateLink轉寄至您的網路虛擬設備。

作為服務使用方，您可以將GWLBe配置為VPC路由下一跳。通過VPC路由策略，您可以精確控制哪些用戶端的流量被路由至GWLBe以訪問網路虛擬設備。流量到達GWLBe後，PrivateLink會將流量轉寄至同可用性區域內的GWLB。GWLB將原始報文通過Geneve隧道封裝，並根據流量調度演算法將流量轉寄至健康的後端網路虛擬設備。