私网连接(PrivateLink)支持 VPC 或本地数据中心,通过阿里云内网安全、稳定地访问其他VPC中的阿里云服务、伙伴SaaS应用及用户自建服务,无需经过公网,简化网络架构,有效规避安全风险。
以用户自建服务为例,服务使用方创建终端节点以访问由服务提供方提供的终端节点服务,服务使用方和服务提供方可以是同账号或者跨账号。
基础概念
服务提供方
作为服务所有者,服务提供方使用阿里云资源,构建并提供终端节点服务给服务使用方。服务使用方通过访问与该终端节点服务连接的终端节点,实现对服务的访问。
终端节点服务资源:终端节点服务支持添加部署在多个可用区的负载均衡作为服务资源。服务资源类型包括:网络型负载均衡 NLB、应用型负载均衡 ALB、传统型负载均衡 CLB和网关型负载均衡 GWLB。
终端节点服务名称:作为终端节点服务的唯一标识,服务使用方在创建终端节点时,通过服务名称唯一确定连接的服务。
服务白名单:终端节点服务并不是对所有服务使用方默认可见。如果服务提供方希望其他阿里云账号下的 VPC 可以访问终端节点服务,需要手动将该账号ID添加到服务白名单。
终端节点服务创建完成后,服务提供方将自动添加至服务白名单。
终端节点服务状态:创建中、修改中、可用、删除中。
服务使用方
作为服务访问者,服务使用方通过创建终端节点,从VPC或本地数据中心访问终端节点服务。
终端节点类型:服务使用方根据要访问的终端节点服务类型,创建相应类型的终端节点。
网关终端节点不依赖 PrivateLink。作为 VPC 在访问特定云服务时的“虚拟网关”,使用保留的地址空间100.64.0.0/10,并通过终端节点策略实现更安全的云服务访问。当前,支持网关终端节点的云服务为对象存储OSS。
接口终端节点:服务使用方使用接口终端节点,访问服务资源类型为NLB/CLB/ALB的终端节点服务。
网关型负载均衡终端节点:服务使用方使用网关型负载均衡终端节点,访问服务资源类型为GWLB的终端节点服务。网关型负载均衡终端节点支持作为VPC路由下一跳,支持用户通过路由实现引流。
反向终端节点:允许服务提供方主动发起访问至服务使用方VPC中的云服务,服务使用方可通过在反向终端节点上配置安全组限制其访问范围。反向终端节点连接的终端节点服务仅支持阿里云服务。
终端节点可用区:服务使用方创建终端节点时,PrivateLink 在指定的终端节点可用区中创建弹性网卡,作为服务的本地访问入口。
终端节点策略:仅使用接口终端节点访问阿里云服务时,可以为接口终端节点配置终端节点策略。默认允许 VPC 中使用任何阿里云账户凭证的用户或服务访问对应服务中的任何资源。
终端节点状态:创建中、修改中、可用、删除中。
终端节点连接
服务使用方创建终端节点时,服务提供方的终端节点服务将收到终端节点连接请求,服务提供方接受请求后,终端节点和终端节点服务之间建立终端节点连接。
终端节点连接包含以下状态:连接中、已连接、断开连接中、未连接、修改中、删除中、终端节点服务已删除。
未连接状态包含的情况:
终端节点服务配置为非自动连接,创建终端节点后,处于未连接状态。
终端节点服务拒绝终端节点的连接,或者终端节点服务尚未允许终端节点连接。
终端节点处于欠费状态。
终端节点服务处于欠费状态。
核心属性
终端节点服务域名
当服务使用方创建接口终端节点后,阿里云会创建地域级和可用区级的服务域名,供使用方连接服务使用:
终端节点服务域名:endpoint_id.endpoint_service_id.service_region.privatelink.aliyuncs.com
可用区域名:endpoint_id-endpoint_zone.endpoint_service_id.service_region.privatelink.aliyuncs.com
您在 VPC 中访问阿里云服务时,通常会使用特定的服务域名。如果该服务配置了自定义服务域名,您可以为创建的接口终端节点开启自定义服务域名。开启后,您无需修改应用程序中的服务地址,即可继续使用该域名通过 PrivateLink 私网访问服务。
自定义服务域名的生效范围为接口终端节点所在的 VPC,仅接口终端节点所在的 VPC 可以解析出私网 IP。其他 VPC 和本地数据中心与接口终端节点所在的 VPC 连通并配置域名解析后,即可使用自定义服务域名访问服务。
IP 版本
服务提供方可以通过 IPv4 或双栈向服务使用方提供终端节点服务。
当加入终端节点服务的所有服务资源均支持双栈时,才可以选择双栈。
当终端节点服务支持双栈时,服务使用方可以配置双栈的终端节点,客户端即可使用IPv4和IPv6地址访问服务。
服务访问高可用
服务提供方为终端节点服务配置多可用区的服务资源。
服务资源为NLB、ALB时,添加多可用区的NLB、ALB实例。
服务资源为CLB时,添加多个主可用区不同的CLB实例。
服务使用方创建接口终端节点时,至少选择2个可用区下的交换机。
服务使用方使用终端节点域名访问服务,阿里云提供全托管可用性探测,确保可用区出现故障时能快速切换到其他可用区:
实时探测不同终端节点可用区的弹性网卡IP的可用性,如有异常则会删除对应解析记录,避免可用区故障导致服务中断或数据丢失。
故障恢复后,将自动添加对应的解析记录。
弹性与限速
弹性性能
PrivateLink 支持自动弹性伸缩:
提供可用区级自动弹性能力,每个终端节点在每个可用区可支持的带宽会随着业务用量增长自动扩展。
根据不同的终端节点类型和服务资源类型,提供相应的弹性上限。
当前弹性带宽指标仅为终端节点可用区的网卡可支持的能力,全链路实际可承载能力取决于后端服务资源类型以及应用处理能力。
如果您的应用程序需要更高的吞吐量,请联系商务经理申请。
终端节点类型 | 服务资源类型 | 弹性带宽描述 |
接口终端节点 | 网络型负载均衡 NLB | 默认初始指标是 10 Gbps。自2026年2月1日起,创建的接口终端节点最高可扩展至 50 Gbps。 当终端节点分布在多个可用区时,终端节点的最大带宽为 |
接口终端节点 | 应用型负载均衡 ALB | 默认初始指标是 5 Gbps,最高可扩展至 25 Gbps。 当终端节点分布在多个可用区时,终端节点的最大带宽为 |
接口终端节点 | 传统型负载均衡 CLB | PrivateLink 每个终端节点在每个可用区可支持的带宽最高可达 5 Gbps。 当终端节点分布在多个可用区时,终端节点的最大带宽为 服务资源类型为 CLB 时,终端节点默认连接限速 3072 Mbps,连接的最大带宽不超过限速上限。即服务提供方不调整终端节点连接的限速情况下,每个终端节点在每个可用区可支持的带宽不超过 3072 Mbps。 |
网关型负载均衡终端节点 | 网关型负载均衡 GWLB | 默认初始指标是 5 Gbps,最高可扩展至 25 Gbps。 当终端节点分布在多个可用区时,终端节点的最大带宽为 |
弹性带宽与限速的关系
弹性带宽:系统提供的可用区级自动弹性能力,代表每个终端节点在各可用区内可支持的最大带宽上限,无需进行任何预配置。
限速:服务提供方为防止后端服务资源过载,针对终端节点连接所配置的流量控制策略。服务提供方可针对不同的终端节点连接设置不同的限速值。
继承机制:当服务提供方针对终端节点连接设置限速后,该终端节点在各可用区内的弹性网卡均会自动继承并执行该限速值,从而实现对流量的精确控制。
查看方式:
调用 GetVpcEndpointAttribute,查看响应的
Bandwidth信息。查看终端节点详情页的基本信息页面的限速。
需注意,限速不作为业务承诺指标。由于采用分布式架构,在一个可用区内,终端节点的限速值会平均分配到集群中的多台设备上,仅在多连接情况下才可以达到设置的限速值。实际限速结果可能存在偏差,且可能会突破设定的限速值。