访问网络虚拟设备-私网连接(PrivateLink)-阿里云帮助中心

网关型负载均衡 GWLB支持将流量分发至一组网络虚拟设备（防火墙、入侵检测、流量镜像、深度报文检测等），对外提供安全检测与防护能力，并保障安全防护高可用。服务提供方创建终端节点服务时将 GWLB 指定为服务资源，服务使用方创建网关型负载均衡终端节点 GWLBe 与终端节点服务建立连接。

业务与安全解耦：业务网络与安全基础设施可独立部署和管理，通过 PrivateLink 私网连通。
透明安全检测：GWLB 以三层网关模式工作，流量经过安全检测时源和目的 IP 地址保持不变，无需修改客户端或后端服务配置。
消除单点故障：通过 GWLB 对安全设备进行高可用部署，单台设备故障时流量自动切换至健康设备，避免安全设备故障影响业务可用性。
弹性扩展：可根据业务流量变化随时在 GWLB 后端增减网络虚拟设备，无需调整业务 VPC 的网络架构。

工作原理

服务提供方在安全 VPC 中部署 GWLB 及后端网络虚拟设备，创建终端节点服务将 GWLB 作为服务资源对外提供安全检测能力。
服务使用方在业务 VPC 中创建 GWLBe，与终端节点服务建立连接后，通过路由配置将进出 VPC 的流量引流至网络虚拟设备进行安全检测。
- 系统在 GWLBe 所在的交换机中创建终端节点网卡。
- 所有通过 IPv4 网关进入业务 VPC 的流量将按照网关路由表的路由规则先被引流至 GWLBe，再由 PrivateLink 转发至 GWLB，GWLB 将流量分发到后端的网络虚拟设备进行检测。检测完成后，流量通过 GWLBe 返回业务 VPC，最终到达应用服务器。

IPv4公网流量入方向路径

IPv4公网流量出方向路径

1. IPv4流量通过IPv4网关进入业务VPC。

2. 根据网关路由表，将流量发送到GWLBe。

3. GWLBe将流量转发至GWLB，由GWLB将流量转发到安全设备。

4. 安全设备完成安全检查后，将流量转回到GWLB，通过私网连接将流量转到GWLBe。

5. 根据GWLBe子网配置的路由表，将流量发送到业务服务器。

1. 根据业务服务器子网配置的路由表，将流量发送到GWLBe。

2. GWLBe将流量发往GWLB，GWLB将流量转发到安全设备。

3. 安全设备完成安全检查后，将流量转回到GWLB，通过私网连接将流量转到GWLBe。

4. 根据GWLBe子网配置的路由表，将流量发送到IPv4网关。

5. IPv4网关将流量路由至公网。

适用范围

确保已开通私网连接服务。
确保已创建 VPC 及GWLB实例：
- GWLB 已配置监听和后端服务器组。
- GWLB 后端服务器（网络虚拟设备）的安全组已放通 UDP 协议类型和 6081 端口（Geneve 协议端口），以及健康检查所需的端口和协议。
- 确保网络虚拟设备的ECS 实例规格支持巨型帧（Jumbo Frames），因为 Geneve 封装会在原始数据包基础上增加 68 字节，报文可能会大于 1500 字节。
服务资源为 GWLB 时，支持私网连接的地域和可用区。

通过私网连接访问网络虚拟设备

服务提供方创建终端节点服务，服务使用方创建 GWLBe 并配置路由，即可将业务 VPC 的流量引流至网络虚拟设备进行安全检测。

控制台

服务提供方创建终端节点服务

前往私网连接控制台的创建终端节点服务页面。
- 所属地域：选择网络虚拟设备部署的地域。
- 服务资源类型：选择网关型负载均衡GWLB。为确保访问服务高可用，建议添加多个可用区的服务资源。
- 自动接受终端节点连接：服务使用方创建网关型负载均衡终端节点访问网络虚拟设备时，服务提供方是否自动接受其连接请求。创建完成后修改该选项，对已连接的接口终端节点无影响。
  - 是：服务使用方创建网关型负载均衡终端节点连接服务时，会自动连接成功。
  - 否：需要服务提供方来确认是否允许服务使用方连接。
- IP版本：当前仅支持IPv4。
- 服务付费者：选择私网连接的付费方，默认为服务使用方。确定后不支持修改。
终端节点服务创建完成后，服务提供方需要配置服务白名单，跨账号用户才可以向终端节点服务发起连接请求。
在目标终端节点服务详情页的服务白名单页签，单击添加白名单，确定可访问服务的用户范围。
- 配置* ：所有用户都可以向终端节点服务发起连接请求。
- 配置账号UID：仅对应用户可以向终端节点服务发起连接请求。

服务使用方创建网关型负载均衡终端节点

前往终端节点 - 创建终端节点页面。
配置网关型负载均衡终端节点：
- 所属地域：选择创建网关型负载均衡终端节点的地域，与终端节点服务所在的地域一致。
- 类型：选择其他终端节点服务，使用终端节点服务名称验证，验证成功即可访问。
- 网络配置：
  - 可用区需在终端节点服务提供服务的可用区（与服务资源所属可用区一致）中选择。
  - 可以为终端节点可用区的弹性网卡指定交换机内的 IP 地址。如不指定，将由系统默认分配。不允许为弹性网卡指定交换机的系统保留地址。
  - IP版本：当前仅支持IPv4。

配置路由

为网关型负载均衡终端节点所属的业务 VPC 配置路由，将进出 VPC 的流量引流至网关型负载均衡终端节点，通过私网连接转发至网络虚拟设备进行安全检测。

配置网关路由表

创建IPv4网关并绑定网关路由表。
前往路由表页面，单击目标网关路由表ID进入详情页。
选择路由条目列表 > 系统路由条目页签，单击目标交换机网段系统路由操作列的编辑，修改下一跳为网关负载均衡终端节点。修改后，路由条目将出现在自定义路由条目页签下。

配置交换机路由表

操作路径：
1. 前往路由表页面，单击目标交换机路由表ID进入详情页。
2. 选择路由条目列表 > 自定义路由条目页签，单击添加路由条目，配置目标网段和下一跳。

路由配置：

路由表	目标网段	下一跳
业务 ECS 所在交换机绑定的路由表	`0.0.0.0/0`	网关型负载均衡终端节点
网关型负载均衡终端节点所在交换机绑定的路由表	`0.0.0.0/0`	IPv4网关

API

服务提供方调用 CreateVpcEndpointService创建终端节点服务，ServiceResourceType 设置为 gwlb。
服务使用方调用 CreateVpcEndpoint创建网关型负载均衡终端节点，EndpointType 设置为 GatewayLoadBalancer。
调用UpdateGatewayRouteTableEntryAttribute修改网关路由表的下一跳类型和下一跳，NextHopType 设置为 GatewayLoadBalancerEndpoint，NextHopId 设置为 GWLBe 实例 ID。
调用 CreateRouteEntry为交换机路由表创建自定义路由条目。
- 业务 ECS 所在交换机绑定的路由表：NextHopType 设置为 GatewayLoadBalancerEndpoint，NextHopId 设置为 GWLBe 实例 ID。
- GWLBe 所在交换机绑定的路由表：NextHopType 设置为 Ipv4Gateway，NextHopId 设置为 IPv4 网关实例 ID。

保障访问高可用

终端节点服务：GWLB 及其后端网络虚拟设备可部署在多个可用区。当单个可用区的网络虚拟设备发生故障时，流量将自动分发至其他可用区的正常节点，保障安全检测服务的高可用性。
终端节点：GWLBe 通过路由表的下一跳进行引流。多可用区部署场景中，每个可用区的业务子网应配置对应可用区的 GWLBe 作为下一跳，IPv4 网关路由表中也应分别将各业务子网指向对应可用区的 GWLBe，以实现按可用区精确引流。

控制台

服务提供方为终端节点服务配置多可用区的服务资源

创建终端节点服务时，选择多个可用区下的 GWLB 作为服务资源。
创建完成后，单击目标终端节点服务 ID，在基本信息页签单击添加服务资源，选择可用区与对应的 GWLB 实例。

服务使用方为每个可用区创建网关型负载均衡终端节点

为每个可用区分别创建 GWLBe，选择对应可用区内的交换机。
为每个可用区的业务交换机创建独立的路由表，将 0.0.0.0/0 指向同可用区的 GWLBe。IPv4 网关路由表将各业务子网分别指向对应可用区的 GWLBe。

GWLBe 通过路由表的下一跳进行流量引导，每个可用区需要独立的 GWLBe 实例，无法在已有 GWLBe 上添加可用区。

API

终端节点服务：调用AttachResourceToVpcEndpointService添加服务资源。
网关型负载均衡终端节点：
- 每个可用区需独立调用 CreateVpcEndpoint创建 GWLBe。
- 调用UpdateGatewayRouteTableEntryAttribute修改网关路由表的下一跳类型和下一跳。
- 调用 CreateRouteEntry为交换机路由表创建自定义路由条目。

管理终端节点服务的服务资源

创建终端节点服务后，可以根据业务需要添加或移除服务资源（GWLB），以扩展或缩减安全检测覆盖的可用区范围与可用性。

控制台

添加服务资源

前往终端节点服务列表页，单击目标终端节点服务的ID进入详情页。
在基本信息页签下的服务资源区域，单击添加服务资源。选择可用区与对应的 GWLB 实例。

移除服务资源

在目标终端节点服务基本信息页签下的服务资源区域，单击目标服务资源操作列的删除，会从终端节点服务中移除对应资源，但不会删除对应的资源实例。

当服务资源被终端节点可用区关联时，不支持直接删除，需先断开终端节点连接。

API

调用 AttachResourceToVpcEndpointService为终端节点服务添加服务资源。
调用 DetachResourceFromVpcEndpointService移除终端节点服务中的服务资源。

停止访问网络虚拟设备

当不再需要通过网关型负载均衡终端节点将流量引流至网络虚拟设备时，需按以下顺序清理资源，避免路由黑洞导致业务中断。

控制台

还原路由配置：前往路由表页面，删除网关路由表、交换机路由表中指向 GWLBe 或 IPv4 网关的自定义路由条目。
删除网关型负载均衡终端节点：前往终端节点列表页，单击目标网关型负载均衡终端节点操作列的删除。
删除终端节点服务：前往终端节点服务列表页，单击目标终端节点服务操作列的删除。

API

调用 DeleteRouteEntry 删除自定义路由条目。
调用 DeleteVpcEndpoint删除 GWLBe。
调用 DeleteVpcEndpointService删除终端节点服务。

访问网络虚拟设备