您可以通过PrivateLink提供的接口终端节点在您的 VPC 和阿里云 VPC OpenAPI 和 VPC对等连接 OpenAPI 之间建立私网连接。PrivateLink 支持通过阿里云内网安全、稳定地访问 VPC OpenAPI 和 VPC对等连接 OpenAPI,就像访问您 VPC 内的其他资源一样,无需经过公网,简化网络架构,有效规避安全风险。VPC 中的实例无需公网 IP 地址即可调用 API。
有关更多信息,请参阅通过 PrivateLink 访问阿里云服务。
创建接口终端节点
VPC OpenAPI 的终端节点服务名称格式为
com.aliyuncs.privatelink.{RegionId}.vpc,需申请服务白名单授权。北京地域无需申请。
VPC对等连接 OpenAPI 的终端节点服务名称格式为
com.aliyuncs.privatelink.{RegionId}.vpcpeer。
控制台
前往终端节点 - 创建终端节点页面。
配置接口终端节点:
基础配置:
所属地域:选择访问阿里云服务入口所在地域。
名称与描述:统一标识云资源。
类型:选择阿里云服务。
可用的服务:依据终端节点服务名称选择访问的阿里云服务。
可用:阿里云服务已在所属地域部署,且服务使用方具备连接到对应阿里云服务的权限。
VPC OpenAPI:
com.aliyuncs.privatelink.{RegionId}.vpcVPC对等连接 OpenAPI:
com.aliyuncs.privatelink.{RegionId}.vpcpeer
网络配置:
为确保服务高可用,建议至少选择2个可用区下的交换机。可以为终端节点可用区的弹性网卡指定交换机内的 IP 地址,如不指定,将由系统默认分配。
不允许为弹性网卡指定交换机的系统保留地址。
IP版本:VPC OpenAPI 和 VPC对等连接 OpenAPI 的终端节点服务暂不支持双栈,客户端仅可以使用 IPv4 地址访问服务。
安全组:与接口终端节点关联,管控全部终端节点可用区的弹性网卡的入方向流量。
高级配置:
是否开启自定义服务域名:服务使用方开启后,可使用自定义域名访问阿里云服务。
VPC OpenAPI:
vpc-vpc.cn-beijing.aliyuncs.com(以北京地域为例)VPC对等连接 OpenAPI:
vpcpeer.vpc-proxy.aliyuncs.com
终端节点策略:保持默认终端节点策略,即允许完全访问。
创建完成后,可使用同 VPC 的 ECS 执行以下命令测试是否连通。
ping <终端节点可用区的弹性网卡的IP> # 可在实例详情页的可用区与网卡页签下,查看弹性网卡的 IP 地址 # 如为 HTTP/HTTPS 服务,建议直接访问服务端口 curl -sI http://<终端节点域名> # 可在实例列表页查看终端节点域名 # 安全组入方向需开放HTTP(80)和HTTPS(443)端口,用于终端节点所在的VPC通过HTTP协议或者HTTPS协议访问服务。 # 是否可使用HTTPS协议访问,由对应的服务决定。
API
调用CreateVpcEndpoint创建接口终端节点。