什么是私网连接

私网连接(PrivateLink)能够建立专有网络 VPC(Virtual Private Cloud)与阿里云上的服务安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。

私网连接简介

PrivateLink是利用阿里云的私有网络进行服务交互的一种方式。利用PrivateLink,用户可以通过私有网络单向访问部署在其它云服务,无需创建NAT网关(NAT Gateway)弹性公网 IP EIP(Elastic IP Address)等公网出口。交互数据不会经过互联网,有更高的安全性和更好的网络质量。

image

应用场景

PrivateLink能够实现终端节点所在的VPC与阿里云上的终端节点服务建立安全稳定的私有连接,配置灵活,可满足不同的应用场景。

将云服务共享给其他VPC

将VPC内的云服务共享给其他VPC

您可以使用PrivateLink将一个VPC内的负载均衡服务资源共享给另外一个VPC,实现跨VPC私网访问负载均衡服务资源。

如下图所示,要实现通过VPC1中的终端节点私网访问VPC2中部署的负载均衡服务资源,您需要将负载均衡作为服务资源加入到终端节点服务中,然后在VPC1中创建连接该服务的终端节点,实现通过终端节点私网访问负载均衡服务资源。

image

私网安全访问阿里云服务

您可以在PrivateLink中,私网安全访问阿里云服务。

如下图所示,要实现通过VPC中的终端节点私网访问OSS,您需要将OSS作为终端节点服务,然后在VPC中创建连接该服务的终端节点并设置终端节点策略,实现私网安全访问OSS

image

将云服务共享给本地数据中心

您可以使用PrivateLink将一个VPC内的服务资源共享给本地数据中心,实现云下私网访问云上资源。

如下图所示,要实现在本地数据中心私网访问VPC2中部署的负载均衡服务资源,您需要先将VPC2内的负载均衡服务资源共享给VPC1,然后通过专线、VPN网关将本地数据中心与VPC1连接起来,实现本地数据中心私网访问云上负载均衡服务资源。

image

基本概念

使用PrivateLink前,您需要了解以下概念。

image

术语

说明

终端节点(Endpoint)

终端节点可以与终端节点服务相关联,以建立VPC通过私网访问外部服务的网络连接。终端节点由服务使用方创建和管理。

终端节点网卡(Endpoint ENI)

终端节点网卡是终端节点访问终端节点服务的入口。

终端节点安全组(Endpoint Security Group)

安全组可以管控VPC到终端节点网卡的数据通信,终端节点至少要加入一个安全组。指定安全组后,终端节点下的所有网卡都将加入到安全组中。

终端节点服务(Endpoint Service)

终端节点服务是可以被其他VPC通过创建终端节点建立私网连接的服务。终端节点服务由服务提供方创建和管理。

服务资源(Service Resources)

服务资源是终端节点服务中可以被终端节点访问的资源。

说明
  • 终端节点支持将负载均衡作为服务资源,包括传统型负载均衡CLB(Classic Load Balancer)应用型负载均衡ALB(Application Load Balancer)网络型负载均衡NLB(Network Load Balancer)

  • 终端节点支持将阿里云服务作为服务资源。

服务白名单(Service Whitelist)

服务白名单可以控制允许访问服务资源的用户范围。

创建终端节点服务后,系统自动将服务所有者的阿里云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务,也可以创建与该终端节点服务连接的终端节点。如果您希望其他账号下的VPC访问服务,您需要将该阿里云账号ID添加到服务白名单中。

终端节点连接(Endpoint Connection)

终端节点与终端节点服务之间建立的连接。

相关组件

PrivateLink主要包含服务使用方和服务提供方的相关组件。

相关主体

相关组件

服务使用方

  • 终端节点

  • 终端节点可用区和网卡

  • 终端节点安全组

服务提供方

  • 终端节点服务

  • 服务资源

  • 服务白名单

  • 终端节点连接

PrivateLink开通时不产生费用。开通成功后,根据实际使用量进行计费,按每小时出账。费用包含实例费和流量处理费。更多信息,请参见计费说明

PrivateLink的服务使用方和服务提供方可以是不同的阿里云账号,也支持将所产生的费用归入服务使用方或者服务提供方的账号进行出账。更多信息,请参见付费方说明

产品优势

  • 私网通信

    通过私网连接访问终端节点服务,访问流量均在阿里云内网转发,网络封闭,不会通过公网,避免了通过公网访问服务带来的潜在安全风险。

  • 网络独立

    服务提供方和服务使用方双方网络独立,提高网络可靠性。

  • 安全可控

    • 通过PrivateLink访问云服务,可以对VPC网络中用于访问服务的弹性网卡添加安全组规则,提供更强的安全保障和控制手段。

    • 通过PrivateLink访问云服务,可以通过设置终端节点策略进行源端鉴权,提供可控的、更安全的私网访问。

  • 低延迟和高质量

    通过PrivateLink访问云服务,访问请求会在同可用区内转发,提供最优延时方案。

  • 管理简单

    灵活的跨账号和跨VPC服务访问方式,避免复杂的路由和安全配置。

  • 实时监控与分析

    支持流日志功能,可以记录终端节点网卡传入和传出的流量信息,确保网络通信的透明性和可控性。

PrivateLink与VPC对等连接的区别

类别

PrivateLink

VPC对等连接

被访问的资源

仅终端节点服务中的服务资源(负载均衡)等可以被访问

VPC内的所有资源均可以被访问

通信方向

单向通信,仅支持终端节点所在VPC访问终端节点服务中的资源

建立对等连接的两个VPC双向通信

CIDR重叠

支持。

建立私网连接的两个VPC网段可以重叠且互不影响

不支持。

建立对等连接的两个VPC的网段必须没有重叠

路由配置

系统自动为建立私网连接的两个VPC配置路由,无需再手动配置

需要手动在VPC对等连接的两端添加指向对端的路由条目以管理流量

访问PrivateLink

通过注册阿里云账号,您可以通过以下方式访问和管理PrivateLink

  • PrivateLink控制台:具有交互式操作的Web服务页面,帮助您完成私网访问服务的操作。

  • 阿里云SDK:提供Java、Go、PHP、Python、C#、C++等多种编程语言的SDK

  • OpenAPI开发者门户:提供快速检索接口、在线调用API和动态生成SDK示例代码等服务。

相关文档

  • 如需了解PrivateLink的终端节点和终端节点服务的默认配额、配额调整的说明,以及IP版本、协议和后端服务类型的限制,请参见配额与限制

  • 如需了解PrivateLink支持的地域和可用区,请参见支持私网连接的地域和可用区