私网连接(PrivateLink)能够建立专有网络VPC(Virtual Private Cloud)与阿里云上的服务安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。

基本概念

使用私网连接前,您需要了解以下概念。

PrivateLink
术语 说明
终端节点(Endpoint) 终端节点可以与终端节点服务相关联,以建立VPC通过私网访问外部服务的网络连接。终端节点由服务使用方创建和管理。
终端节点网卡(Endpoint ENI) 终端节点网卡是终端节点访问终端节点服务的入口。
终端节点安全组(Endpoint Security Group) 安全组可以管控VPC到终端节点网卡的数据通信,终端节点至少要加入一个安全组。指定安全组后,终端节点下的所有网卡都将加入到安全组中。
终端节点服务(Endpoint Service) 终端节点服务是可以被其他VPC通过创建终端节点建立私网连接的服务。终端节点服务由服务提供方创建和管理。
服务资源(Service Resources) 服务资源是终端节点服务中可以被终端节点访问的资源。
说明
  • 终端节点支持将负载均衡作为服务资源,包括传统型负载均衡CLB(Classic Load Balancer)应用型负载均衡ALB(Application Load Balancer)
  • ALB作为服务资源的功能目前白名单开放,如需体验请提交工单或联系您的客户经理申请。
服务白名单(Service Whitelist) 服务白名单可以控制允许访问服务资源的用户范围。

创建终端节点服务后,系统自动将服务所有者的阿里云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务,也可以创建与该终端节点服务连接的终端节点。如果您希望其他账号下的VPC访问服务,您需要将该阿里云账号ID添加到服务白名单中。

终端节点连接(Endpoint Connection) 终端节点与终端节点服务之间建立的连接。

私网连接服务概述

私网连接主要包含服务使用方和服务提供方的相关组件。
相关主体 相关组件
服务使用方
  • 终端节点
  • 终端节点可用区和网卡
  • 终端节点安全组
服务提供方
  • 终端节点服务
  • 服务资源
  • 服务白名单
  • 终端节点连接

私网连接开通时不产生费用。开通成功后,根据私网连接服务的实际使用量进行计费,按每小时出账。费用包含实例费和流量处理费。更多信息,请参见计费说明

私网连接的服务使用方和服务提供方可以是不同的阿里云账号,私网连接也支持将所产生的费用归入服务使用方或者服务提供方的账号进行出账。更多信息,请参见付费方说明

应用场景

私网连接能够实现终端节点所在的VPC与阿里云上的终端节点服务建立安全稳定的私有连接,配置灵活,可满足不同的应用场景。

将VPC内的云服务共享给其他VPC

您可以使用私网连接服务将一个VPC内的负载均衡服务资源共享给另外一个VPC,实现跨VPC私网访问负载均衡服务资源。

如下图所示,要实现在VPC1中的终端节点私网访问VPC2中部署的负载均衡服务资源,您需要将负载均衡作为服务资源加入到终端节点服务中,然后在VPC1中创建连接该服务的终端节点,实现通过终端节点私网访问负载均衡服务资源。

跨地域访问终端节点服务

将VPC内的云服务共享给本地数据中心

您可以使用私网连接服务将一个VPC内的负载均衡的服务资源共享给本地数据中心,实现云下私网访问云上负载均衡服务资源。

如下图所示,要实现在本地数据中心私网访问VPC2中部署的负载均衡服务资源,您需要先将VPC2内的负载均衡服务资源共享给VPC1,然后通过专线、VPN网关或智能接入网关将本地数据中心与VPC1连接起来,实现本地数据中心私网访问云上负载均衡服务资源。服务共享给本地数据中心

产品优势

  • 私网通信

    通过私网连接访问终端节点服务,访问流量均在阿里云内网转发,不会通过公网,避免了通过公网访问服务带来的潜在安全风险。

  • 安全可控

    通过私网连接访问云服务,可以对VPC网络中用于访问服务的弹性网卡添加安全组规则,提供更强的安全保障和控制手段。

  • 低延迟和高质量

    通过私网连接访问云服务,访问请求会在同可用区内转发,提供最优延时方案。

  • 管理简单

    灵活的跨账号和跨VPC服务访问方式,避免复杂的路由和安全配置。