私網串連(PrivateLink)支援 VPC 或本機資料中心,通過阿里雲內網安全、穩定地訪問其他VPC中的阿里雲服務、夥伴SaaS應用及使用者自建服務,無需經過公網,簡化網路架構,有效規避安全風險。
以使用者自建服務為例,服務使用方建立終端節點以訪問由服務提供者提供的終端節點服務,服務使用方和服務提供者可以是同帳號或者跨帳號。
基礎概念
服務提供者
作為服務所有者,服務提供者使用阿里雲資源,構建並提供終端節點服務給服務使用方。服務使用方通過訪問與該終端節點服務串連的終端節點,實現對服務的訪問。
終端節點服務資源:終端節點服務支援添加部署在多個可用性區域的負載平衡作為服務資源。服務資源類型包括:網路型負載平衡 NLB、應用型負載平衡 ALB、傳統型負載平衡 CLB和網關型負載平衡 GWLB。
終端節點服務名稱:作為終端節點服務的唯一標識,服務使用方在建立終端節點時,通過服務名稱唯一確定已連線的服務。
服務白名單:終端節點服務並不是對所有服務使用方預設可見。如果服務提供者希望其他阿里雲帳號下的 VPC 可以訪問終端節點服務,需要手動將該帳號ID添加到服務白名單。
終端節點服務建立完成後,服務提供者將自動添加至服務白名單。
終端節點服務狀態:建立中、修改中、可用、刪除中。
服務使用方
作為服務訪問者,服務使用方通過建立終端節點,從VPC或本機資料中心訪問終端節點服務。
終端節點類型:服務使用方根據要訪問的終端節點服務類型,建立相應類型的終端節點。
網關終端節點不依賴 PrivateLink。作為 VPC 在訪問特定雲端服務時的“虛擬網關”,使用保留的地址空間100.64.0.0/10,並通過終端節點策略實現更安全的雲端服務訪問。當前,支援網關終端節點的雲端服務為Object Storage Service。
介面終端節點:服務使用方使用介面終端節點,訪問服務資源類型為NLB/CLB/ALB的終端節點服務。
網關型負載平衡終端節點:服務使用方使用網關型負載平衡終端節點,訪問服務資源類型為GWLB的終端節點服務。網關型負載平衡終端節點支援作為VPC路由下一跳,支援使用者通過路由實現引流。
反向終端節點:允許服務提供者主動發起訪問至服務使用方VPC中的雲端服務,服務使用方可通過在反向終端節點上配置安全性群組限制其存取範圍。反向終端節點串連的終端節點服務僅支援阿里雲服務。
終端節點可用性區域:服務使用方建立終端節點時,PrivateLink 在指定的終端節點可用性區域中建立彈性網卡,作為服務的本地訪問入口。
終端節點策略:僅使用介面終端節點訪問阿里雲服務時,可以為介面終端節點配置終端節點策略。預設允許 VPC 中使用任何阿里雲賬戶憑證的使用者或服務訪問對應服務中的任何資源。
終端節點狀態:建立中、修改中、可用、刪除中。
終端節點串連
服務使用方建立終端節點時,服務提供者的終端節點服務將收到終端節點串連請求,服務提供者接受請求後,終端節點和終端節點服務之間建立終端節點串連。
終端節點串連包含以下狀態:串連中、已串連、中斷連線中、未串連、修改中、刪除中、終端節點服務已刪除。
未串連狀態包含的情況:
終端節點服務配置為非自動連接,建立終端節點後,處於未串連狀態。
終端節點服務拒絕終端節點的串連,或者終端節點服務尚未允許終端節點串連。
終端節點處於欠費狀態。
終端節點服務處於欠費狀態。
核心屬性
終端節點服務網域名稱
當服務使用方建立介面終端節點後,阿里雲會建立地區級和可用性區域級的服務網域名稱,供使用方串連服務使用:
終端節點服務網域名稱:
endpoint_id.endpoint_service_id.service_region.privatelink.aliyuncs.comendpoint_id:終端節點ID,建立終端節點後自動產生endpoint_service_id:終端節點服務IDservice_region:服務所在地區ID,如cn-hangzhouprivatelink.aliyuncs.com:固定網域名稱尾碼
可用性區域網域名稱:
endpoint_id-endpoint_zone.endpoint_service_id.service_region.privatelink.aliyuncs.comendpoint_zone:終端節點可用性區域ID,如cn-hangzhou-j-:連字號,用於分隔終端節點ID和可用性區域ID
您在 VPC 中訪問阿里雲服務時,通常會使用特定的服務網域名稱。如果該服務配置了自訂服務網域名稱,您可以為建立的介面終端節點開啟自訂服務網域名稱。開啟後,您無需修改應用程式中的服務地址,即可繼續使用該網域名稱通過 PrivateLink 私網訪問服務。
自訂服務網域名稱的生效範圍為介面終端節點所在的 VPC,僅介面終端節點所在的 VPC 可以解析出私網 IP。其他 VPC 和本機資料中心與介面終端節點所在的 VPC 連通並佈建網域名解析後,即可使用自訂服務網域名稱訪問服務。
IP 版本
服務提供者可以通過 IPv4 或雙棧向服務使用方提供終端節點服務。
當加入終端節點服務的所有服務資源均支援雙棧時,才可以選擇雙棧。
當終端節點服務支援雙棧時,服務使用方可以配置雙棧的終端節點,用戶端即可使用IPv4和IPv6地址訪問服務。
服務訪問高可用
服務提供者為終端節點服務配置多可用性區域的服務資源。
服務資源為NLB、ALB時,添加多可用性區域的NLB、ALB執行個體。
服務資源為CLB時,添加多個主可用性區域不同的CLB執行個體。
服務使用方建立介面終端節點時,至少選擇2個可用性區域下的交換器。
服務使用方使用終端節點網域名稱訪問服務,阿里雲提供全託管可用性探測,確保可用性區域出現故障時能快速切換到其他可用性區域:
即時探測不同終端節點可用性區域的彈性網卡IP的可用性,如有異常則會刪除對應解析記錄,避免可用性區域故障導致服務中斷或資料丟失。
故障恢複後,將自動添加對應的解析記錄。
彈性與限速
彈性效能
PrivateLink 支援自動Auto Scaling:
提供可用性區域級自動彈效能力,每個終端節點在每個可用性區域可支援的頻寬會隨著業務用量增長自動擴充。
根據不同的終端節點類型和服務資源類型,提供相應的彈性上限。
當前彈性頻寬指標僅為終端節點可用性區域的網卡可支援的能力,全鏈路實際可承載能力取決於後端服務資源類型以及應用處理能力。
如果您的應用程式需要更高的輸送量,請聯絡商務經理申請。
終端節點類型 | 服務資源類型 | 彈性頻寬描述 |
介面終端節點 | 網路型負載平衡 NLB | 預設初始指標是 10 Gbps。自2026年2月1日起,建立的介面終端節點最高可擴充至 50 Gbps。 當終端節點分布在多個可用性區域時,終端節點的最大頻寬為 |
介面終端節點 | 應用型負載平衡 ALB | 預設初始指標是 5 Gbps,最高可擴充至 25 Gbps。 當終端節點分布在多個可用性區域時,終端節點的最大頻寬為 |
介面終端節點 | 傳統型負載平衡 CLB | PrivateLink 每個終端節點在每個可用性區域可支援的頻寬最高可達 5 Gbps。 當終端節點分布在多個可用性區域時,終端節點的最大頻寬為 服務資源類型為 CLB 時,終端節點預設串連限速 3072 Mbps,串連的最大頻寬不超過限速上限。即服務提供者不調整終端節點串連的限速情況下,每個終端節點在每個可用性區域可支援的頻寬不超過 3072 Mbps。 |
網關型負載平衡終端節點 | 網關型負載平衡 GWLB | 預設初始指標是 5 Gbps,最高可擴充至 25 Gbps。 當終端節點分布在多個可用性區域時,終端節點的最大頻寬為 |
彈性頻寬與限速的關係
彈性頻寬:系統提供的可用性區域級自動彈效能力,代表每個終端節點在各可用性區域內可支援的最大頻寬上限,無需進行任何預配置。
限速:服務提供者為防止後端服務資源過載,針對終端節點串連所配置的流量控制策略。服務提供者可針對不同的終端節點串連設定不同的限速值。
繼承機制:當服務提供者針對終端節點串連設定限速後,該終端節點在各可用性區域內的彈性網卡均會自動繼承並執行該限速值,從而實現對流量的精確控制。
查看方式:
調用 GetVpcEndpointAttribute,查看響應的
Bandwidth資訊。查看終端節點詳情頁的基本資料頁面的限速。
需注意,限速不作為業務承諾指標。由於採用分布式架構,在一個可用性區域內,終端節點的限速值會平均分配到叢集中的多台裝置上,僅在多串連情況下才可以達到設定的限速值。實際限速結果可能存在偏差,且可能會突破設定的限速值。