PrivateLink(私网连接)允许VPC内的实例通过私网访问PAI服务,无需公网IP,避免数据经公网传输带来的安全风险。
背景信息
PrivateLink(私网连接)是阿里云提供的网络服务。通过在VPC内创建接口终端节点,您的实例无需公网IP即可调用PAI API,所有流量在阿里云内网中传输。
PrivateLink与VPC的区别:VPC(专有网络)是您在阿里云上创建的私有网络空间;PrivateLink是建立在VPC之上的连接机制,通过在VPC内创建"接口终端节点",将阿里云服务的访问流量限定在阿里云内网中传输。
支持私网访问的PAI服务
目前,以下PAI子服务支持通过PrivateLink私网访问:
服务名称 | 终端节点服务名称 | VPC接入地址格式 | 支持地域 |
PAI-AIWorkspace |
|
| 华北6(乌兰察布)、华东1(杭州)、华北2(北京),其他地域推进中 |
PAI-DLC |
|
| 请参考PAI-DLC服务接入点 |
PAI-DSW |
|
| 请参考PAI-DSW服务接入点 |
将{RegionId}替换为您实际使用的地域ID,例如cn-wulanchabu、cn-hangzhou、cn-beijing等。其他地域RegionId请查看对应服务接入点文档PAI-DLC服务接入点、PAI-DSW服务接入点。
创建终端节点
通过控制台创建接口终端节点
以下以PAI-DLC服务为例进行说明。
登录PrivateLink控制台,在接口终端节点页签单击创建终端节点。
在终端节点页面配置以下参数:
基础配置:
所属地域:选择访问PAI服务入口所在地域。
节点名称:如
privateLink_dlc。
类型:选择阿里云服务。
可用的服务:依据上表中的终端节点服务名称,选择需要访问的PAI服务。以PAI-DLC为例搜索并选择
com.aliyuncs.privatelink.cn-hangzhou.pai-dlc。网络配置:
专有网络:选择与所选地域相同的VPC。终端节点将通过该VPC的内网访问PAI服务。
可用区与交换机:建议至少选择2个可用区下的交换机,确保服务高可用。
IP版本:目前仅支持IPv4。
安全组:与接口终端节点关联,管控全部终端节点可用区的弹性网卡的入方向流量。
更多配置及私网连接说明请参考:
通过API创建接口终端节点
调用CreateVpcEndpoint API创建接口终端节点。
测试联通性
创建完成后,登录同VPC下的ECS实例测试联通性。
注意事项
使用VPC接入地址调用PAI API时,ECS实例必须与终端节点在同一VPC内,否则无法访问。
PAI-AIWorkspace目前已支持华北6(乌兰察布)、华东1(杭州)、华北2(北京)地域,如需使用其他地域请关注后续更新。
建议为终端节点配置多个可用区,避免单可用区故障导致服务中断。