访问阿里云服务-私网连接(PrivateLink)-阿里云帮助中心

在 VPC 中创建终端节点并指定阿里云服务，发往终端节点的请求将由 PrivateLink 转发至目标服务，实现私网安全访问，避免通过公网访问服务带来的潜在安全风险。

用户可使用接口终端节点，通过私网访问阿里云服务。
经用户授权后，阿里云服务侧可使用反向终端节点，通过私网访问用户 VPC 内的指定资源。

使用接口终端节点访问阿里云服务

服务使用方在 VPC 中创建接口终端节点，即可通过私网访问指定的阿里云服务。

系统为终端节点可用区创建弹性网卡，并且为该弹性网卡分配对应交换机网段中的私网 IP。
服务使用方使用终端节点域名、终端节点可用区域名、终端节点可用区的弹性网卡 IP，均可以访问阿里云服务，所有发送到弹性网卡的服务请求将通过私网连接转发到后端服务资源。
终端节点域名和终端节点可用区域名是公网 DNS 权威域名，其他 VPC 和本地数据中心中的客户端均可以解析。当其他 VPC和本地数据中心与 VPC 建立网络连接后，即可借助 VPC 中的接口终端节点访问阿里云服务。

当阿里云服务配置了自定义服务域名时，用户可以为接口终端节点开启自定义服务域名，从而使用自定义服务域名访问对应的阿里云服务。

创建/删除接口终端节点

支持范围：支持使用接口终端节点访问的阿里云服务。
确保已开通私网连接服务，且已在目标地域创建VPC、交换机和安全组。

控制台

创建接口终端节点

前往终端节点 - 创建终端节点页面。
配置接口终端节点：
- 所属地域：选择访问阿里云服务入口所在地域。
- 终端节点服务：选择阿里云服务，依据终端节点服务名称选择访问的阿里云服务。
- 是否开启自定义服务域名：当阿里云服务支持使用自定义服务域名访问时，服务使用方可以开启该选项，使用自定义域名访问阿里云服务。
- 专有网络、可用区与交换机：为确保服务高可用，建议至少选择2个可用区下的交换机。可以为终端节点可用区的弹性网卡指定交换机内的 IP 地址，如不指定，将由系统默认分配。
  不允许为弹性网卡指定交换机的系统保留地址。
- 安全组：与接口终端节点关联，管控全部终端节点可用区的弹性网卡的入方向流量。
- IP版本：当阿里云服务支持双栈时，支持选择双栈，客户端可以同时使用IPv4和IPv6地址访问服务。否则，仅支持选择IPv4。
- 是否支持同可用区优先：当阿里云服务支持同可用区优先时，服务使用方可选择开启/关闭同可用区优先。
  - 开启时，服务使用方从接口终端节点所在的可用区使用终端节点域名访问服务，云解析 DNS 系统将优先返回对应终端节点可用区的弹性网卡IP，从而实现就近访问。
  - 如果从非接口终端节点所在的可用区访问，或者关闭同可用区优先时，云解析 DNS 系统将返回所有终端节点可用区可用的弹性网卡 IP。
- 终端节点策略：保持默认终端节点策略，即允许完全访问。是否允许配置自定义终端节点策略由访问的阿里云服务决定。

创建完成后，可使用同 VPC 的 ECS 执行以下命令测试是否连通。

ping <终端节点可用区的弹性网卡的IP>
# 可在实例详情页的可用区与网卡页签下，查看弹性网卡的 IP 地址 
# 如为 HTTP/HTTPS 服务，建议直接访问服务端口
curl -sI http://<终端节点域名>
# 可在实例列表页查看终端节点域名 
# 安全组入方向需开放HTTP（80）和HTTPS（443）端口，用于终端节点所在的VPC通过HTTP协议或者HTTPS协议访问服务。
# 是否可使用HTTPS协议访问，由对应的服务决定。

删除接口终端节点

在目标接口终端节点的操作列，单击删除。删除后，接口终端节点所属 VPC 将无法通过私网连接访问对应的阿里云服务。

API

调用CreateVpcEndpoint创建接口终端节点。
调用DeleteVpcEndpoint删除接口终端节点。

配置接口终端节点的高可用

当接口终端节点配置多个可用区、用户使用终端节点域名访问阿里云服务时，阿里云提供全托管可用性探测，确保可用区出现故障时能快速切换到其他可用区：

故障切换：系统实时探测不同终端节点可用区的弹性网卡IP的可用性，如有异常，将删除对应解析记录，避免流量流向故障可用区。
故障恢复：故障恢复后，系统将自动添加对应的解析记录。

控制台

配置多可用区

创建接口终端节点时，至少选择2个可用区下的交换机。
创建完成后，单击目标接口终端节点ID，在可用区与网卡页签单击添加可用区。
单击目标可用区操作列的删除，将从服务中移除对应可用区。

配置完成后，在可用区与网卡页签，可以查看对应可用区域名与终端节点可用区的弹性网卡的IP地址。

为确保服务高可用，需使用终端节点域名访问服务。终端节点域名可以在接口终端节点列表页查看。

API

调用AddZoneToVpcEndpoint为终端节点添加可用区。
调用RemoveZoneFromVpcEndpoint删除终端节点的可用区。

同可用区就近访问

当阿里云服务支持同可用区优先时，服务使用方可选择开启/关闭同可用区优先。开启时：

开启时，服务使用方从接口终端节点所在的可用区使用终端节点域名访问服务，云解析 DNS 系统将优先返回对应终端节点可用区的弹性网卡IP，从而实现就近访问。
如果从非接口终端节点所在的可用区访问，或者关闭同可用区优先时，云解析 DNS 系统将返回所有终端节点可用区可用的弹性网卡 IP。

当阿里云服务对同可用区优先的支持情况发生变化时：

阿里云服务从支持变更为不支持同可用区优先：
- 服务使用方创建接口终端节点时，不允许开启同可用区优先。
- 已创建的接口终端节点：
  - 已关闭同可用区优先：不影响当前状态，但不支持开启。
  - 已开启同可用区优先：不影响当前状态，支持关闭。
阿里云服务从不支持变更为支持同可用区优先：
- 服务使用方创建接口终端节点时，可选择开启/关闭同可用区优先。
- 已创建的接口终端节点：不影响当前状态，支持开启/关闭同可用区优先。

控制台

开启/关闭同可用区优先

创建接口终端节点时，配置是否支持同可用区优先。
创建完成后，单击目标接口终端节点ID，在基本信息页签的是否支持同可用区优先右侧调整开启/关闭。

API

创建时：调用CreateVpcEndpoint，配置ZoneAffinityEnabled。
创建完成后：调用UpdateVpcEndpointAttribute，调整ZoneAffinityEnabled。

保障私网连接的安全

PrivateLink提供了三个层级的访问控制能力：安全组、网络ACL和终端节点策略。可以单独或组合使用，实现精细化的安全管控。

安全组：作用于所有终端节点可用区的弹性网卡，控制从 VPC 中的资源流向接口终端节点的流量。
- 创建接口终端节点时，需选择自定义安全组。创建完成后，支持添加/删除安全组，但需确保至少保留一个安全组。
- 创建接口终端节点时，PrivateLink 将默认创建托管安全组，出方向默认全放通：包含优先级为 1 的允许全部流量访问任意 IPv4 / IPv6 地址的规则。
  - 托管安全组可在ECS 控制台 - 安全组页面查看。
  - 托管安全组不支持修改和删除，但占用安全组配额q_security-groups（账户可拥有的安全组的最大数量）。
- 如果为自定义安全组添加优先级为1的出方向拒绝规则，由于相同优先级的拒绝规则优先于允许规则，可能导致服务无法访问，请谨慎配置出方向拒绝规则。
网络ACL：控制进出终端节点可用区的弹性网卡所在交换机的流量。
终端节点策略：当使用接口终端节点访问阿里云服务时，支持配置终端节点策略。
- 支持使用接口终端节点访问的阿里云服务均支持配置默认终端节点策略，授予对接口终端节点的完全访问权限。
- 目前，仅对象存储 OSS、PAI - AI WorkSpace 支持配置自定义终端节点策略，限制特定用户访问特定资源。

控制台

配置安全组

配置接口终端节点时，将指定加入的安全组。创建完成后，支持加入/删除安全组。

加入安全组：在目标终端节点详情页的安全组页签，单击加入安全组。
删除安全组：单击已加入安全组操作列的删除。

仅符合已加入安全组的规则的客户端流量才能通过该接口终端节点访问阿里云服务。可参考配置以下安全组规则：

入方向仅添加允许指定 IP 访问的规则，除指定 IP 的客户端外，均无法通过该终端节点访问阿里云服务。
出方向默认允许所有访问，即安全组内 ECS 访问外部都是放行的。

配置网络 ACL

前往专有网络控制台-网络ACL，在页面上方选择目标地域后，单击创建网络ACL。
配置所属专有网络，选择接口终端节点所属的VPC。
单击实例ID或操作列的管理，进入已绑定资源页签，单击关联交换机，选择接口终端节点所属的目标交换机并确认关联。关联的交换机将按照网络ACL规则控制出入交换机的流量。
如需解除控制，绑定后可以在该页签下，单击目标交换机操作列的解绑。
在目标网络ACL的入方向规则/出方向规则页签，单击管理入方向规则/管理出方向规则。基于协议类型、IP版本、源地址/目的地址、端口范围匹配到网络ACL规则后，系统将对流量执行指定策略，允许/拒绝对应的流量。

配置终端节点策略

创建接口终端节点时支持配置终端节点策略，创建完成后，可在目标接口终端节点详情页的终端节点策略页签下，单击编辑终端节点策略来修改。

API

调用AttachSecurityGroupToVpcEndpoint将终端节点加入安全组。
调用DetachSecurityGroupFromVpcEndpoint将终端节点移除安全组。
调用CreateVpcEndpoint或UpdateVpcEndpointAttribute时，传入PolicyDocument，配置终端节点策略。

使用自定义服务域名访问

您在 VPC 中访问阿里云服务时，通常会使用特定的服务域名。如果该服务配置了自定义服务域名，您可以为创建的接口终端节点开启自定义服务域名。开启后，您无需修改应用程序中的服务地址，即可继续使用该域名通过 PrivateLink 私网访问服务。

自定义服务域名的生效范围为接口终端节点所在的 VPC，仅接口终端节点所在的 VPC 可以解析出私网 IP。其他 VPC 和本地数据中心与接口终端节点所在的 VPC 连通并配置域名解析后，即可使用自定义服务域名访问服务。

同一个自定义服务域名不支持在同一 VPC 内被多个接口终端节点同时开启。先开启的接口终端节点生效，其他接口终端节点无法启用。

阿里云服务侧为终端节点服务配置并验证自定义服务域名后，用户才可以为接口终端节点开启自定义服务域名。

自定义服务域名由 PrivateLink 托管的 PrivateZone 提供解析服务。

为接口终端节点开启自定义服务域名

创建接口终端节点时，设置是否开启自定义服务域名为开启。
创建完成后，在接口终端节点详情页的终端节点服务域名区域，打开自定义服务域名开关。
无需使用时，可在此处关闭。

使用自定义服务域名访问服务

同 VPC 访问：在接口终端节点所在 VPC 内，可以直接使用自定义服务域名访问服务，无需额外配置。
跨 VPC 访问：
1. 连通网络：参考跨 VPC 互连方案，选择对等连接或云企业网连通 VPC。
2. 配置域名解析：
  1. 前往内网 DNS 解析控制台，单击添加域名（Zone），配置自定义服务域名，设置域名生效范围为阿里云VPC内网，并选择目标 VPC。
  2. 单击域名ID，在解析记录页签下选择添加记录，添加域名前缀为@、记录值为默认服务域名的CNAME记录。
本地数据中心访问
1. 连通网络：参考VPC连接本地 IDC 方案，选择高速通道或 VPN 网关连通本地数据中心。
2. 配置域名解析：
  1. 前往内网 DNS 解析控制台，单击添加入站终端节点，配置入站VPC为接口终端节点所在的 VPC。为保证高可用，入站流量服务 IP 地址选择至少两个可用区进行添加。
  2. 在本地数据中心配置转发区域。
    本文以 BIND 为例。如果本地 IDC 使用其他 DNS 系统，请参考其相应文档配置条件转发。配置原理相同，即将特定域名的解析请求转发至 VPC PrivateZone 入站终端节点的服务 IP 地址。
    1. 配置 BIND 文件。
      BIND 配置文件位置因操作系统而有区别。常见路径为/etc/named.conf和/etc/bind/named.conf。
```
// 以访问pai-dlc服务为例，zone配置为对应的自定义服务域名
zone "pai-dlc-vpc.cn-beijing.aliyuncs.com" IN {
       type forward;
       forwarders { 
           10.0.0.173; // 替换为入站流量服务IP地址 
           10.0.1.109;
       };
   };
```
    2. 重启 BIND 服务确保配置生效。
      BIND 服务重启命令因操作系统而有区别。常见命令为systemctl restart named。

阿里云服务使用反向终端节点访问用户授权资源

经用户授权后，阿里云服务可使用反向终端节点，通过私网安全访问用户 VPC 内的指定资源，用户可通过安全组和网络 ACL 进一步控制阿里云服务可访问的资源范围。

安全组将作用于所有终端节点可用区的弹性网卡，控制从反向终端节点流向 VPC 中资源的流量。
创建反向终端节点后，PrivateLink 将默认创建托管安全组，入方向默认全放通：包含优先级为 1 的允许来自任意 IPv4 / IPv6 地址的全部流量的规则。
- 托管安全组可在ECS 控制台 - 安全组页面查看。
- 托管安全组不支持修改和删除，但占用安全组配额q_security-groups（账户可拥有的安全组的最大数量）。

支持范围：支持使用反向终端节点访问的阿里云服务。

确保已开通私网连接服务，且已在目标地域创建VPC、交换机和安全组。

反向终端节点不支持双栈访问。

控制台

创建反向终端节点

前往终端节点 - 创建终端节点页面。
配置反向终端节点：
- 所属地域：选择阿里云服务访问的资源所在地域。
- 终端节点服务：选择可用服务，根据服务名称从列表中选择阿里云服务。
- 专有网络、可用区与交换机：为确保服务高可用，建议至少选择2个可用区下的交换机。可以为终端节点可用区的弹性网卡指定交换机内的 IP 地址，如不指定，将由系统默认分配。
- 安全组：作用于所有终端节点可用区的弹性网卡。反向终端节点仅允许阿里云服务主动访问用户资源。

删除反向终端节点

在目标反向终端节点的操作列，单击删除。删除后，对应的阿里云服务将无法通过反向终端节点访问用户 VPC 内的指定资源。

API

调用CreateVpcEndpoint创建反向终端节点。
调用DeleteVpcEndpoint删除反向终端节点。

特性	网关终端节点	私网连接 (PrivateLink)
应用场景	结合网关终端节点的终端节点策略与OSS的Bucket授权策略，可以降低未授权访问风险，实现双向鉴权：源端控制：VPC侧仅允许该VPC访问指定Bucket，不允许该VPC访问其他Bucket。目的端控制：OSS侧仅允许指定VPC访问该Bucket，不允许其他VPC访问。	VPC通过私网安全访问云服务的标准方案，相比网关终端节点支持更多云服务类型、更多高级能力。
适用服务类型	目前仅适用于对象存储OSS。	适用于众多阿里云一方服务以及用户自建服务（含ISV提供的服务）。
VPC侧安全能力	仅支持终端节点策略。	支持安全组、网络ACL、终端节点策略。
组网能力	不支持复杂组网。可能存在云服务地址（100.x.x.x网段）冲突的问题。	支持复杂组网。结合VPC对等连接/云企业网、高速通道/VPN网关产品，可以实现跨地域、混合云组网。
运维能力	无	支持流日志，便于审计与故障排查。
费用	免费	收取实例费、流量处理费。用户自建服务支持选择服务使用方付费或服务提供方付费。

访问阿里云服务