DeepSeek R1大模型的正式发布引发全球技术社区广泛关注。作为一款开源免费的高性能生成式AI模型,DeepSeek R1在多项基准测试中展现出与GPT-o1比肩的核心性能指标,目前已有众多开发者及企业用户着手开展技术验证与场景适配工作。
阿里云百炼平台现已提供DeepSeek模型的公网调用支持。然而,公网调用在带来接入便利性的同时,其潜在的数据安全风险对企业级应用构成显著挑战,具体表现在以下维度:
- 传输链路加密隐患 :公网通信存在中间人攻击风险,可能危及数据传输安全
- 请求日志留存风险 :第三方网络节点的流量日志可能造成敏感数据泄露
- 行业合规性要求 :金融、医疗、汽车等强监管领域对数据传输路径有明确合规约束
为满足企业级用户对数据安全与合规性的核心诉求,我们建议通过私网连接(PrivateLink)建立安全调用通道。该方案具备以下优势:
- 构建端到端的私有网络环境
- 实现毫秒级延迟的稳定服务调用
- 满足行业监管合规要求
- 提供可审计的数据流转路径追踪
通过部署私网连接方案,企业可在保障数据主权的前提下,充分释放DeepSeek R1模型的业务价值,实现数据安全与业务发展的双重保障。
方案概览
目前,百炼平台仅在北京 Region 部署,因此 PrivateLink 终端节点也仅支持在北京 Region 创建。其他 Region(包括 IDC)的私网调用需配合云企业网(CEN)实现跨地域互联。
开通百炼平台 DeepSeek R1 服务
- 登录 百炼平台,开通服务并领取免费额度,激活模型调用能力。
- 创建百炼 API-KEY。
在北京 Region 创建终端节点并关联百炼平台
在北京 Region 创建终端节点,并将其关联至百炼平台的终端节点服务,从而实现私网访问。
- 登录终端节点控制台,选择 华北2(北京),点击 创建终端节点。
- 创建终端节点时,请参考以下参数配置:
| 参数 | 内容 |
|---|---|
| 所属地域 | 华北2(北京) |
| 节点名称 | 自定义名称 |
| 终端节点类型 | 接口终端节点 |
| 终端节点服务 | 阿里云服务 |
| 终端节点服务名称 | com.aliyuncs.dashscope |
| 是否开启自定义服务域名 | 开启 |
| 专有网络 | 选择现有专有网络或新建 |
| 安全组 | 建议新建安全组,并放行 80 和 443 端口 |
| 可用区和交换机 | 建议选择两个可用区以提高高可用性(如:北京可用区 G、H、I、K、L) |
| 访问策略 | 默认策略,可根据需求自定义 |
在北京 Region 测试私网访问 DeepSeek-R1
在终端节点所在的 VPC 下选择一台 ECS 实例,并将 API Key 添加到环境变量中。具体请参考文档:
- 执行以下命令,将环境变量设置追加到 ~/.bashrc 文件中:
# 用您的 DashScope API Key 代替 'YOUR_DASHSCOPE_API_KEY' echo "export DASHSCOPE_API_KEY='YOUR_DASHSCOPE_API_KEY'" >> ~/.bashrcAI 代码解读- 执行以下命令,使配置变更生效:
source ~/.bashrcAI 代码解读登录 ECS 实例,测试私网调用 DeepSeek-R1。
请将
ep-xxx.cn-beijing.privatelink.aliyuncs.com替换为您自己的终端节点域名,执行以下命令:curl -X POST http://ep-xxx.cn-beijing.privatelink.aliyuncs.com/compatible-mode/v1/chat/completions \ -H "Authorization: Bearer $DASHSCOPE_API_KEY" \ -H "Content-Type: application/json" \ -d '{ "model": "deepseek-r1", "messages": [ { "role": "system", "content": "You are a helpful assistant." }, { "role": "user", "content": "你是谁?" } ] }'AI 代码解读如果返回成功响应,则表明私网链路调用 DeepSeek-R1 已成功建立。
HTTPS 调用大模型
如果您需要通过内网使用 HTTPS 调用大模型,考虑到百炼的网关当前仅配置了默认域名的证书,您需要使用百炼提供的域名 vpc-cn-beijing.dashscope.aliyuncs.com 进行访问。在终端节点所在的 VPC 中,百炼已将默认域名进行 A 记录解析至终端节点网卡下,因此可以直接使用默认域名进行 HTTPS 访问。
curl -X POST https://vpc-cn-beijing.dashscope.aliyuncs.com/compatible-mode/v1/chat/completions \
-H "Authorization: Bearer $DASHSCOPE_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"model": "deepseek-r1",
"messages": [
{
"role": "system",
"content": "You are a helpful assistant."
},
{
"role": "user",
"content": "你是谁?"
}
]
}'
AI 代码解读
其他 Region 的私网调用
由于百炼平台当前仅在北京 Region 提供服务,其他 Region 的私网调用需通过云企业网(CEN)实现跨地域组网。详细信息请参考文档:跨地域 VPC 互通。如果同地域的其他 VPC 或 IDC 也需要私网调用,同样可以通过云企业网(CEN)进行组网。具体步骤请参考文档:同地域 VPC 互通。
- 登录云解析 PrivateZone 控制台
- 打开 云解析 PrivateZone 控制台。
- 点击 添加域名,输入百炼的私网调用域名:
vpc-cn-beijing.dashscope.aliyuncs.com。 - 点击 确定,系统会弹出风险提示。请务必仔细阅读提示内容,确认无误后点击 继续执行操作。
注意:风险提示的出现是因为您正在修改云产品域名的解析行为。因此,在操作过程中,请务必关注后续解析行为的生效范围,以确保配置符合您的业务需求。
- 添加解析记录
- 在控制台中进入刚刚创建的域名解析页面。
- 点击 添加记录,并按照以下参数配置解析记录:
| 参数 | 内容 |
|---|---|
| 记录类型 | CNAME |
| 主机记录 | @ |
| 解析请求来源 | 默认 |
| 记录值 | 填写您的终端节点域名,例如:ep-xxx.cn-beijing.privatelink.aliyuncs.com |
- 设置域名生效范围
- 点击 域名设置,选择 域名生效范围。
- 根据您的业务需求,选择需要私网访问百炼服务的 VPC。例如,如果您需要在上海的 VPC 中访问百炼服务,请选择上海的 VPC。
- 测试私网调用
- 在上海的 VPC 中,通过 HTTPS 调用北京的百炼服务,验证配置是否生效。
- 确保调用请求能够成功解析到私网终端节点。
- 如果调用成功,则说明解析配置已生效,您可以通过私网安全访问百炼服务。
- 在上海的 VPC 中,通过 HTTPS 调用北京的百炼服务,验证配置是否生效。
Terraform 实现
以下是一个基于 Terraform 的实现示例,用于创建私网终端节点及相关资源:
TERRAFORM
Github
通过以上步骤,您可以安全、高效地通过 PrivateLink 调用 DeepSeek R1 模型,满足企业级应用对数据安全和合规性的严格要求。
