什么是私网连接

场景一：访问阿里云服务

阿里云服务由阿里云作为服务提供方，支持通过PrivateLink提供私网连接访问的云服务。

若因业务需求，您需要从VPC和本地数据中心访问阿里云服务，请您在VPC中创建终端节点时指定阿里云服务名称。所有发送到该终端节点的请求将通过PrivateLink转发至相应的阿里云服务。此外，本地数据中心中的客户端可以通过组网产品与VPC建立网络连接，从而通过VPC中的终端节点访问阿里云服务。

• 通过接口终端节点访问阿里云服务时，您可以选择设置终端节点策略和安全组，以控制哪些客户端资源能够使用接口终端节点访问阿里云服务，从而满足安全访问需求。

• 通过反向终端节点访问阿里云服务时，您可以选择设置安全组，以控制阿里云服务可访问的客户端资源范围。

• 通过网关型负载均衡终端节点 GWLBe访问阿里云服务时，您可以通过自定义VPC 路由策略，以控制哪些客户端资源能够通过GWLBe访问阿里云服务。

  说明

  网关终端节点是一种特殊类型的终端节点，它不依赖于PrivateLink。它支持访问有限的阿里云服务。在创建网关终端节点时，您可以选择配置终端节点策略，以实现对阿里云服务的安全访问。

场景二：共享用户自建服务

作为服务提供方，您可以选择在阿里云上构建服务，并将该托管服务共享给服务使用方。

您可以在自己的VPC中创建终端节点服务，并选择网络型负载均衡NLB、传统型负载均衡 CLB或应用型负载均衡 ALB作为服务资源。通过配置服务白名单，您可以授予其他阿里云用户访问该服务的权限。其他阿里云用户可以通过在自己的VPC中指定服务名称创建接口终端节点，从而与您的终端节点服务建立连接。所有发送到该接口终端节点的请求将通过PrivateLink转发至您的服务。

场景三：访问网络虚拟设备

作为服务提供方，您可以选择基于阿里云的网关型负载均衡 GWLB 部署网络虚拟设备，例如防火墙、入侵检测、流量镜像、深度报文检测等，并将这些托管的网络虚拟设备共享给其他阿里云用户。

您可以在自己的VPC中创建终端节点服务，并选择GWLB作为服务资源。通过配置服务白名单，您可以授予其他阿里云用户访问您的网络虚拟设备的权限。其他阿里云用户可以通过在自己的VPC中指定服务名称创建GWLBe，从而与您的终端节点服务建立连接。所有发送到该GWLBe的流量将通过PrivateLink转发至您的网络虚拟设备。

作为服务使用方，您可以将GWLBe配置为VPC路由下一跳。通过VPC路由策略，您可以精确控制哪些客户端的流量被路由至GWLBe以访问网络虚拟设备。流量到达GWLBe后，PrivateLink会将流量转发至同可用区内的GWLB。GWLB将原始报文通过Geneve隧道封装，并根据流量调度算法将流量转发至健康的后端网络虚拟设备。