企业级DeepSeek调用指南：通过私网连接（PrivateLink）实现DeepSeek R1模型的稳定接入-阿里云开发者社区

企业级DeepSeek调用指南：通过私网连接（PrivateLink）实现DeepSeek R1模型的稳定接入

2025-03-10 258

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

应用型负载均衡 ALB，每月750个小时 15LCU

私网连接 PrivateLink，5万GB流量 1.5万小时实例时长

网络型负载均衡 NLB，每月750个小时 15LCU

简介： DeepSeek R1是一款开源免费的高性能生成式AI模型，其发布引发全球技术社区广泛关注。在多项基准测试中，DeepSeek R1展现出与GPT-3比肩的核心性能指标，吸引了众多开发者和企业用户进行技术验证与场景适配。阿里云百炼平台已提供DeepSeek模型的公网调用支持，但考虑到数据安全与合规性挑战，建议通过私网连接（PrivateLink）建立安全调用通道，确保端到端的数据传输安全，并满足金融、医疗等强监管行业的合规要求。私网连接方案具备构建私有网络环境、实现毫秒级延迟服务调用、满足行业监管合规要求等优势，为企业提供数据安全与业务发展的双重保障。

DeepSeek R1大模型的正式发布引发全球技术社区广泛关注。作为一款开源免费的高性能生成式AI模型，DeepSeek R1在多项基准测试中展现出与GPT-o1比肩的核心性能指标，目前已有众多开发者及企业用户着手开展技术验证与场景适配工作。

阿里云百炼平台现已提供DeepSeek模型的公网调用支持。然而，公网调用在带来接入便利性的同时，其潜在的数据安全风险对企业级应用构成显著挑战，具体表现在以下维度：

传输链路加密隐患 ：公网通信存在中间人攻击风险，可能危及数据传输安全
请求日志留存风险 ：第三方网络节点的流量日志可能造成敏感数据泄露
行业合规性要求 ：金融、医疗、汽车等强监管领域对数据传输路径有明确合规约束

为满足企业级用户对数据安全与合规性的核心诉求，我们建议通过私网连接（PrivateLink）建立安全调用通道。该方案具备以下优势：

构建端到端的私有网络环境
实现毫秒级延迟的稳定服务调用
满足行业监管合规要求
提供可审计的数据流转路径追踪

通过部署私网连接方案，企业可在保障数据主权的前提下，充分释放DeepSeek R1模型的业务价值，实现数据安全与业务发展的双重保障。

方案概览

目前，百炼平台仅在北京 Region 部署，因此 PrivateLink 终端节点也仅支持在北京 Region 创建。其他 Region（包括 IDC）的私网调用需配合云企业网（CEN）实现跨地域互联。

开通百炼平台 DeepSeek R1 服务

登录百炼平台，开通服务并领取免费额度，激活模型调用能力。
创建百炼 API-KEY。

在北京 Region 创建终端节点并关联百炼平台

在北京 Region 创建终端节点，并将其关联至百炼平台的终端节点服务，从而实现私网访问。

登录终端节点控制台，选择 华北2（北京），点击 创建终端节点。

创建终端节点时，请参考以下参数配置：

参数	内容
所属地域	华北2（北京）
节点名称	自定义名称
终端节点类型	接口终端节点
终端节点服务	阿里云服务
终端节点服务名称	com.aliyuncs.dashscope
是否开启自定义服务域名	开启
专有网络	选择现有专有网络或新建
安全组	建议新建安全组，并放行 80 和 443 端口
可用区和交换机	建议选择两个可用区以提高高可用性（如：北京可用区 G、H、I、K、L）
访问策略	默认策略，可根据需求自定义

在北京 Region 测试私网访问 DeepSeek-R1

在终端节点所在的 VPC 下选择一台 ECS 实例，并将 API Key 添加到环境变量中。具体请参考文档：
- 执行以下命令，将环境变量设置追加到 ~/.bashrc 文件中：
```
# 用您的 DashScope API Key 代替 'YOUR_DASHSCOPE_API_KEY'
echo "export DASHSCOPE_API_KEY='YOUR_DASHSCOPE_API_KEY'" >> ~/.bashrc
```
- 执行以下命令，使配置变更生效：
```
source ~/.bashrc
```

请将 ep-xxx.cn-beijing.privatelink.aliyuncs.com 替换为您自己的终端节点域名，执行以下命令：

curl -X POST http://ep-xxx.cn-beijing.privatelink.aliyuncs.com/compatible-mode/v1/chat/completions \
-H "Authorization: Bearer $DASHSCOPE_API_KEY" \
-H "Content-Type: application/json" \
-d '{
    "model": "deepseek-r1",
    "messages": [
        {
            "role": "system",
            "content": "You are a helpful assistant."
        },
        {
            "role": "user",
            "content": "你是谁？"
        }
    ]
}'

如果返回成功响应，则表明私网链路调用 DeepSeek-R1 已成功建立。

HTTPS 调用大模型

如果您需要通过内网使用 HTTPS 调用大模型，考虑到百炼的网关当前仅配置了默认域名的证书，您需要使用百炼提供的域名 vpc-cn-beijing.dashscope.aliyuncs.com 进行访问。在终端节点所在的 VPC 中，百炼已将默认域名进行 A 记录解析至终端节点网卡下，因此可以直接使用默认域名进行 HTTPS 访问。

curl -X POST https://vpc-cn-beijing.dashscope.aliyuncs.com/compatible-mode/v1/chat/completions \
-H "Authorization: Bearer $DASHSCOPE_API_KEY" \
-H "Content-Type: application/json" \
-d '{
    "model": "deepseek-r1",
    "messages": [
        {
            "role": "system",
            "content": "You are a helpful assistant."
        },
        {
            "role": "user",
            "content": "你是谁？"
        }
    ]
}'

其他 Region 的私网调用

由于百炼平台当前仅在北京 Region 提供服务，其他 Region 的私网调用需通过云企业网（CEN）实现跨地域组网。详细信息请参考文档：跨地域 VPC 互通。如果同地域的其他 VPC 或 IDC 也需要私网调用，同样可以通过云企业网（CEN）进行组网。具体步骤请参考文档：同地域 VPC 互通。

登录云解析 PrivateZone 控制台
- 打开云解析 PrivateZone 控制台。
- 点击 添加域名，输入百炼的私网调用域名：vpc-cn-beijing.dashscope.aliyuncs.com。
- 点击确定，系统会弹出风险提示。请务必仔细阅读提示内容，确认无误后点击 继续执行操作。

注意：风险提示的出现是因为您正在修改云产品域名的解析行为。因此，在操作过程中，请务必关注后续解析行为的生效范围，以确保配置符合您的业务需求。