阿里云私网连接（PrivateLink）全流程对接与实战指南

一、私网连接（PrivateLink）核心概念与价值

1.1 什么是私网连接

阿里云私网连接（PrivateLink）是一种基于专有网络（VPC）的私有访问服务，能够在不经过公网的前提下，让VPC或本地数据中心（IDC）通过阿里云内网安全、稳定地访问其他VPC中的自建服务、伙伴SaaS应用及阿里云托管服务（如OSS、RDS）。其核心是构建“私密隧道”，所有流量仅在阿里云内网传输，彻底规避公网攻击、数据泄露、网络波动等风险。

1.2 核心组件解析

• 终端节点（Endpoint）：服务使用方侧的接入点，分为接口终端节点（访问VPC内自建服务/跨账号服务）和网关终端节点（访问阿里云托管服务如OSS、SLS）。接口终端节点会在指定交换机创建弹性网卡（ENI）并分配私网IP，作为访问入口；网关终端节点则通过路由表指向目标服务VIP网段。
• 终端节点服务（Endpoint Service）：服务提供方侧的共享服务载体，关联负载均衡（NLB/ALB/CLB）实例，将后端服务共享给指定VPC或账号访问。需配置服务白名单（跨账号场景）、自动接受连接等策略。
• 服务白名单：终端节点服务的访问控制列表，仅白名单内的阿里云账号可创建终端节点并连接服务。同账号场景默认自动添加，跨账号必须手动配置。

1.3 核心优势与应用场景

核心优势

• 绝对安全：流量全程内网传输，无公网暴露，抵御DDoS、SQL注入等攻击，数据零泄露风险。
• 网络稳定：内网低时延、高带宽，支持多可用区高可用，时延可控，适合核心业务。
• 成本优化：无需EIP、NAT网关，节省公网带宽费用；内网传输免费，仅按终端节点数量计费。
• 简化运维：双方网络独立，无需配置复杂路由、无需担心网段冲突，天然支持跨账号访问。

典型应用场景

• 企业多VPC架构：同账号/跨账号VPC间私网互联，共享核心服务（如数据库、缓存）。
• 托管服务私网访问：ECS通过私网访问OSS、RDS、API网关等，避免公网传输。
• 混合云IDC接入：本地IDC通过高速通道/VPN连通VPC后，借助PrivateLink访问云上服务。
• 第三方SaaS接入：安全访问阿里云市场SaaS应用，数据不落地公网。

二、前期准备与环境规划

2.1 权限与资源准备

操作前需确保账号具备以下权限：

• 主账号或RAM子账号，已开通私网连接（PrivateLink）服务。
• RAM权限：privatelink:*、vpc:*、slb:*、ecs:*，用于创建终端节点、终端节点服务、负载均衡等资源。
• 资源规划：服务提供方与使用方需在同一地域（暂不支持跨地域直连，跨地域需打通VPC后配置）；规划独立VPC、交换机（至少2个可用区，保证高可用）、安全组（入/出方向精细化控制）。

2.2 网络规划要点

• VPC网段：服务提供方与使用方VPC网段不能重叠，推荐使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16等私有网段。
• 交换机：每个可用区至少1个交换机，网段从VPC网段中划分，如VPC为10.0.0.0/16，交换机可设10.0.1.0/24、10.0.2.0/24。
• 安全组：接口终端节点关联的安全组需放通目标服务端口（如80、443、3306），出方向默认全放通；网关终端节点依赖VPC路由表，安全组仅需放通内网访问权限。

需要先登录阿里云控制台，点击：阿里云控制台

三、场景一：同账号VPC间私网互联（接口终端节点）

场景说明：同一阿里云账号下，VPC1（使用方）需通过私网访问VPC2（提供方）中部署的服务（如Nginx、MySQL），通过接口终端节点+终端节点服务实现。

3.1 服务提供方（VPC2）配置：创建终端节点服务

步骤1：部署后端服务与负载均衡

在VPC2中创建ECS实例，部署Nginx服务（监听80端口）；创建私网类型NLB（网络型负载均衡），添加ECS实例为后端服务器组，配置监听（TCP 80→80），确保负载均衡状态为“运行中”。

步骤2：创建终端节点服务

1. 登录阿里云控制台，进入私网连接（PrivateLink）→终端节点服务→创建终端节点服务。
2. 配置基础信息：地域选择与VPC2一致；服务资源类型选择网络型负载均衡NLB；选择VPC2中的NLB实例（至少2个可用区，保证高可用）；服务名称自动生成（如ep-svc-bp1xxxx），记录备用。
3. 高级配置：自动接受终端节点连接选择“是”（同账号简化流程）；关闭“支持同可用区优先”（按需开启）；资源组、标签默认，点击确定创建。
4. 等待状态变为“可用”（约1-3分钟），同账号场景白名单默认添加当前账号，无需额外配置。

CLI代码示例（创建终端节点服务）

# 配置阿里云CLI（提前安装并配置AccessKey）
aliyun configure --profile private-link

# 创建终端节点服务（替换地域、NLB实例ID、可用区）
aliyun privatelink CreateEndpointService \
--RegionId cn-hangzhou \
--ServiceResourceType NLB \
--ServiceResources.1.ZoneId cn-hangzhou-g \
--ServiceResources.1.ResourceId nlb-bp1xxxx \
--ServiceResources.2.ZoneId cn-hangzhou-k \
--ServiceResources.2.ResourceId nlb-bp1xxxx \
--AutoAcceptConnection true \
--ServiceDescription "VPC2-Nginx-Service"

3.2 服务使用方（VPC1）配置：创建接口终端节点

步骤1：创建接口终端节点

1. 进入私网连接→终端节点→创建终端节点。
2. 配置基础信息：地域选择与VPC2一致；终端节点类型选择接口终端节点；选择VPC1及至少2个可用区的交换机；安全组选择VPC1中放通80端口的安全组。
3. 关联终端节点服务：选择“同一账号”，输入VPC2中创建的终端节点服务名称（如ep-svc-bp1xxxx），点击确定创建。
4. 等待状态变为“可用”（约1-3分钟），系统自动在指定交换机创建弹性网卡（ENI），分配私网IP；记录终端节点域名（如ep-bp1xxxx.cn-hangzhou.privatelink.aliyuncs.com）。

CLI代码示例（创建接口终端节点）

# 创建接口终端节点（替换地域、VPC/交换机ID、安全组ID、服务名称）
aliyun privatelink CreateEndpoint \
--RegionId cn-hangzhou \
--EndpointType Interface \
--VpcId vpc-bp1xxxx \
--SecurityGroupId sg-bp1xxxx \
--ZoneIds.1 cn-hangzhou-g \
--ZoneIds.2 cn-hangzhou-k \
--ServiceName ep-svc-bp1xxxx \
--EndpointDescription "VPC1-Access-VPC2-Nginx"

3.3 连通性测试

1. 登录VPC1中的ECS实例，执行ping 终端节点域名，解析返回终端节点弹性网卡私网IP，说明域名解析正常。
2. 执行curl http://终端节点域名，返回VPC2中Nginx首页内容，说明私网访问成功。

四、场景二：跨账号VPC私网互联（接口终端节点）

场景说明：账号A（提供方，VPC2）需共享服务给账号B（使用方，VPC1），核心差异为配置服务白名单，允许账号B访问。

4.1 服务提供方（账号A，VPC2）配置

步骤1：同3.1，部署负载均衡并创建终端节点服务（状态为“可用”）

步骤2：配置服务白名单（添加账号B的UID）

1. 进入终端节点服务详情页→服务白名单→添加白名单。
2. 输入账号B的阿里云账号UID（可在账号B控制台“账号设置”查看），点击确定，白名单状态变为“已添加”。
3. 可选：关闭“自动接受终端节点连接”，手动审核账号B的连接请求，提升安全性。

CLI代码示例（添加服务白名单）

# 添加跨账号白名单（替换服务ID、账号B的UID）
aliyun privatelink AddEndpointServiceWhiteList \
--RegionId cn-hangzhou \
--EndpointServiceId epsvc-bp1xxxx \
--WhiteList 1234567890123456

4.2 服务使用方（账号B，VPC1）配置

步骤1：同3.2，创建接口终端节点，关联账号A的终端节点服务

1. 创建终端节点时，选择“其他账号”，输入账号A的UID及终端节点服务名称。
2. 若账号A关闭自动接受，需等待账号A在终端节点服务详情页→“连接”标签页手动“接受”连接请求。

步骤2：连通性测试（同3.3）

五、场景三：私网访问阿里云托管服务（网关终端节点）

场景说明：VPC内ECS通过私网访问OSS、RDS、SLS等阿里云托管服务，无需公网IP，通过网关终端节点实现。以下以OSS私网访问为例。

5.1 创建OSS Bucket（可选，已有Bucket可跳过）

1. 登录OSS控制台，创建Bucket，地域选择与VPC一致，权限设为“私有”。
2. 上传测试文件（如test.txt），备用。

5.2 创建网关终端节点（VPC侧）

1. 进入专有网络VPC→网关终端节点→创建网关终端节点。
2. 配置基础信息：地域选择与VPC/OSS一致；名称自定义；专有网络选择VPC；路由表选择VPC关联的路由表（可绑定多个路由表，控制访问范围）；服务选择对象存储OSS；资源组、标签默认。
3. 访问策略：配置精细化权限，仅允许当前账号RAM用户访问，示例如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "oss:*",
            "Resource": ["acs:oss:*:*:examplebucket/*"],
            "Principal": {"RAM": ["acs:ram::1234567890123456:user/*"]}
        }
    ]
}

1. 点击确定创建，等待状态变为“可用”；系统自动在路由表添加指向OSS内网VIP网段的路由条目，下一跳为网关终端节点。

CLI代码示例（创建网关终端节点）

# 创建网关终端节点（替换地域、VPC/路由表ID、服务名称）
aliyun vpc CreateVpcGatewayEndpoint \
--RegionId cn-hangzhou \
--VpcId vpc-bp1xxxx \
--RouteTableIds.1 vtb-bp1xxxx \
--ServiceName oss \
--EndpointDescription "VPC-OSS-Private-Access" \
--PolicyDocument "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":\"oss:*\",\"Resource\":[\"acs:oss:*:*:examplebucket/*\"],\"Principal\":{\"RAM\":[\"acs:ram::1234567890123456:user/*\"]}}]}"

5.3 OSS私网访问测试

方式1：ECS内网访问（ossutil工具）

# 安装ossutil（Linux示例）
wget https://gosspublic.alicdn.com/ossutil/1.7.1/ossutil64
chmod +x ossutil64

# 配置内网Endpoint（替换为网关终端节点地域对应的OSS内网域名）
./ossutil64 config -e oss-cn-hangzhou-internal.aliyuncs.com -i AccessKeyID -k AccessKeySecret

# 列出Bucket文件（私网访问，无公网流量）
./ossutil64 ls oss://examplebucket/

方式2：Python SDK访问（私网Endpoint）

import oss2

# 私网Endpoint（替换为网关终端节点地域对应的OSS内网域名）
endpoint = 'oss-cn-hangzhou-internal.aliyuncs.com'
access_key_id = 'AccessKeyID'
access_key_secret = 'AccessKeySecret'
bucket_name = 'examplebucket'

# 初始化Bucket对象
auth = oss2.Auth(access_key_id, access_key_secret)
bucket = oss2.Bucket(auth, endpoint, bucket_name)

# 上传文件（私网传输）
bucket.put_object_from_file('test.txt', '/local/path/test.txt')
print("私网上传成功")

六、本地IDC接入私网连接（混合云场景）

场景说明：本地IDC需通过私网访问阿里云VPC内服务或托管服务，核心是先打通IDC与VPC的网络通道（高速通道/VPN），再借助PrivateLink访问。

6.1 打通IDC与VPC网络通道

• 高速通道（物理专线）：企业级高可用，低时延高带宽，适合核心业务，需申请专线接入点，创建VBR（虚拟边界路由器），关联VPC。
• VPN网关（IPsec-VPN）：低成本，快速部署，适合测试/非核心业务，创建VPN网关、客户网关，配置IPsec连接，打通IDC与VPC路由。

6.2 配置DNS解析（IDC侧）

IDC服务器需将PrivateLink域名解析请求转发至VPC内PrivateZone入站终端节点，确保域名解析正常。以BIND为例，配置文件如下：

// /etc/named.conf
zone "cn-hangzhou.privatelink.aliyuncs.com" IN {
    type forward;
    forwarders {
        10.0.1.100; // VPC内入站终端节点IP
        10.0.2.100;
    };
};

6.3 IDC访问VPC服务测试

在IDC服务器执行ping 接口终端节点域名，解析返回私网IP；执行curl http://终端节点域名，正常访问VPC内服务，说明混合云私网接入成功。

七、安全配置与权限管控最佳实践

7.1 终端节点访问策略（精细化权限）

网关终端节点与接口终端节点均支持访问策略配置，遵循最小权限原则，避免权限过大导致风险。示例：仅允许指定RAM用户访问OSS，拒绝其他账号访问。

7.2 RAM权限管控（子账号隔离）

使用RAM子账号管理PrivateLink资源，禁止主账号直接操作；为不同岗位配置最小权限策略，如运维仅允许查看终端节点，开发仅允许访问指定服务。示例RAM策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["privatelink:ListEndpoints", "privatelink:DescribeEndpoints"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "privatelink:CreateEndpoint",
            "Resource": "*"
        }
    ]
}

7.3 安全组与网络ACL（流量过滤）

• 接口终端节点关联安全组：仅放通必要端口（如80、443、3306），拒绝所有不必要的入站流量；出方向默认全放通，按需限制。
• 网络ACL：VPC子网绑定网络ACL，配置入/出方向规则，作为安全组的补充，实现二层流量过滤。

7.4 服务白名单与连接审核（跨账号安全）

跨账号场景严格配置服务白名单，仅添加可信账号；关闭自动接受连接，手动审核每一个连接请求，避免恶意接入。

八、常见问题排查与故障处理

8.1 终端节点创建失败

• 原因1：地域不匹配：终端节点与终端节点服务必须同地域，跨地域需先打通VPC。
• 原因2：资源不足：交换机IP不足、安全组配额已满，扩容后重试。
• 原因3：权限缺失：RAM子账号无privatelink:CreateEndpoint权限，补充权限后重试。

8.2 终端节点域名解析失败

• 原因1：DNS配置错误：VPC内ECS默认使用阿里云内网DNS，无需手动配置；IDC侧需正确配置BIND转发规则。
• 原因2：终端节点状态异常：终端节点未变为“可用”，等待初始化完成或重新创建。

8.3 私网访问超时/拒绝连接

• 原因1：安全组拦截：接口终端节点安全组未放通目标端口，添加入站规则。
• 原因2：路由缺失：网关终端节点未绑定路由表，或路由条目未生效，重新绑定路由表。
• 原因3：访问策略拒绝：终端节点访问策略限制当前账号/IP，修改策略放行。

九、总结与核心要点回顾

阿里云私网连接（PrivateLink）是构建安全、稳定、低成本私网访问架构的核心服务，核心要点如下：

• 核心组件：接口终端节点（VPC间互联）、网关终端节点（托管服务访问）、终端节点服务（服务共享）。
• 场景适配：同账号VPC互联（自动白名单）、跨账号VPC互联（手动白名单+审核）、托管服务私网访问（网关终端节点）、混合云IDC接入（高速通道/VPN+DNS转发）。
• 安全核心：最小权限访问策略、RAM子账号隔离、安全组/网络ACL过滤、跨账号白名单审核。
• 成本优势：内网传输免费、无需公网资源，适合核心业务长期使用。

通过本文的步骤与代码示例，可快速完成私网连接的对接与配置，实现全程私网传输，规避公网风险，提升业务稳定性与安全性。

十、常见问答

Q1：私网连接（PrivateLink）是否支持跨地域访问？

A1：接口终端节点与终端节点服务暂不支持跨地域直连；如需跨地域私网访问，需先通过云企业网（CEN）或VPC对等连接打通两地VPC，再配置PrivateLink。

Q2：网关终端节点和接口终端节点的核心区别是什么？

A2：网关终端节点用于访问阿里云托管服务（如OSS、RDS），通过路由表指向服务VIP网段，无弹性网卡；接口终端节点用于访问VPC内自建服务，创建弹性网卡分配私网IP，支持跨账号共享。

Q3：跨账号VPC私网互联时，必须手动添加服务白名单吗？

A3：是的。同账号场景默认自动添加白名单，跨账号场景必须由服务提供方手动添加使用方账号UID到白名单，否则无法创建终端节点并连接。

Q4：私网访问OSS时，是否需要配置AccessKey？

A4：需要。私网访问仅规避公网传输风险，权限认证仍需AccessKey；建议使用RAM子账号AccessKey，遵循最小权限原则，避免主账号密钥泄露。

Q5：本地IDC通过VPN接入私网连接后，域名解析失败如何解决？

A5：检查IDC侧DNS转发配置（如BIND），确保PrivateLink域名解析请求转发至VPC内入站终端节点IP；关闭IDC侧防火墙对DNS端口（53）的拦截；验证VPC内入站终端节点状态为“可用”。

Q6：终端节点创建后，是否可以修改关联的VPC或交换机？

A6：不可以。终端节点创建后，关联的VPC、地域无法修改；交换机可在终端节点详情页添加/移除可用区交换机，但核心VPC与地域不可变更，规划时需确认网络架构。