全部产品
Search

搜索本产品

    Function Compute:Konfigurasikan pengaturan jaringan

    文档中心

    Function Compute:Konfigurasikan pengaturan jaringan

    更新时间:Mar 19, 2026

    Secara default, fungsi di Function Compute dapat mengakses jaringan publik tetapi tidak dapat mengakses resource di virtual private cloud (VPC). Untuk mengizinkan fungsi mengakses resource VPC atau memungkinkan fungsi dipanggil dari VPC tertentu, Anda harus mengonfigurasi pengaturan jaringan dan izin. Topik ini menjelaskan cara mengonfigurasi pengaturan jaringan untuk fungsi di Konsol Function Compute.

    Perhatian

    Saat mengonfigurasi akses VPC untuk fungsi GPU yang dibuat dari gambar kontainer instans Enterprise ACR, VPC dan vSwitch yang dipilih harus memenuhi persyaratan berikut.

    • Jika halaman Resource Access Management instans Enterprise ACR berisi bagian Access IP dengan label Default Resolution, VPC dan vSwitch untuk fungsi harus sama dengan VPC dan vSwitch yang sesuai dengan alamat IP hasil resolusi default.

    • Jika halaman Resource Access Management instans Enterprise ACR tidak menampilkan bagian Access IP dengan label Default Resolution, Anda dapat mengatur VPC dan vSwitch fungsi ke pasangan VPC dan vSwitch apa pun yang terhubung ke instans tersebut.

    db-serviceconf-default

    Kemampuan akses jaringan

    Penggunaan fitur VPC dapat memengaruhi performa cold start Function Compute. Konfigurasikan fitur ini hanya jika diperlukan. Kami menyarankan agar Anda menggunakan otorisasi RAM untuk mengakses resource bila memungkinkan. Untuk informasi selengkapnya, lihat Gunakan role fungsi untuk memberikan izin Function Compute mengakses layanan Alibaba Cloud lainnya.

    Trafik dihasilkan saat fungsi mengakses alamat jaringan atau diakses oleh alamat tersebut. Trafik ini diklasifikasikan ke dalam jenis-jenis berikut.

    • Lalu lintas internet: trafik untuk mengakses alamat Internet, seperti website resmi Alibaba Cloud, Taobao, dan titik akhir publik layanan Alibaba Cloud.

    • Trafik jaringan pribadi VPC: trafik untuk mengakses alamat di dalam VPC Anda, seperti alamat instance RDS, NAS, dan ECS di VPC tersebut.

    Berdasarkan pengaturan jaringan yang berbeda, fungsi dapat memiliki kemampuan akses jaringan berikut. Anda dapat mengonfigurasinya sesuai kebutuhan.

    • Lalu lintas keluar fungsi: menentukan apakah akan mengizinkan lalu lintas keluar dari fungsi ke jaringan publik atau ke resource di VPC. Konfigurasi yang sesuai adalah Access to VPC dan Allow Function to Access Public Network.

      Tabel 1. Lalu lintas keluar fungsi

      Konfigurasi jaringan

      Deskripsi

      Izinkan fungsi hanya mengakses jaringan publik

      Fungsi mengakses jaringan publik dan jaringan pribadi melalui jaringan fungsi. Akses melalui VPC Anda ditolak.

      Konfigurasi jaringan yang diperlukan adalah sebagai berikut:

      • Atur Access to VPC ke No.

      • Atur Allow Function to Access Public Network ke Yes.

      Izinkan fungsi hanya mengakses VPC

      Fungsi hanya mengakses jaringan publik dan jaringan pribadi melalui VPC Anda. Ini berlaku untuk skenario seperti PrivateZone, NAT Gateway, dan fungsi yang di-bind ke VPC.

      Konfigurasi jaringan yang diperlukan adalah sebagai berikut:

      • Atur Access to VPC ke Yes, dan konfigurasikan informasi VPC.

      • Atur Allow Function to Access Public Network ke No.

      Izinkan fungsi mengakses jaringan publik dan VPC

      • Untuk fungsi non-GPU:

        • Anda dapat mengakses jaringan publik melalui jaringan fungsi.

        • Fungsi mengakses jaringan pribadi melalui VPC Anda. PrivateZone didukung untuk resolusi nama domain pribadi.

      • Untuk fungsi GPU:

        • Fungsi mengakses jaringan publik dan jaringan pribadi dalam blok CIDR 100.0.0.0/8 melalui jaringan fungsi.

        • Fungsi mengakses jaringan pribadi di luar blok CIDR 100.0.0.0/8 melalui VPC Anda. PrivateZone tidak didukung untuk resolusi nama domain pribadi. Untuk mengaktifkan resolusi nama domain pribadi, Anda dapat submit a ticket.

      Konfigurasi jaringan yang diperlukan adalah sebagai berikut:

      • Atur Access to VPC ke Yes, dan konfigurasikan informasi VPC.

      • Atur Allow Function to Access Public Network ke Yes.

      Tolak akses fungsi ke jaringan publik maupun VPC

      Fungsi mengakses jaringan pribadi melalui jaringan fungsi. Akses ke jaringan publik dan akses melalui VPC Anda ditolak. Konfigurasi jaringan yang diperlukan adalah sebagai berikut:

      • Atur Access to VPC ke No.

      • Atur Allow Function to Access Public Network ke No.

    • Lalu lintas masuk fungsi: menentukan apakah akan mengizinkan lalu lintas masuk ke fungsi dari alamat IP publik atau alamat VPC. Konfigurasi yang sesuai adalah Function Invocation only by Specified VPCs.

      Tabel 2. Lalu lintas masuk fungsi

      Konfigurasi jaringan

      Deskripsi

      Izinkan fungsi diakses dari jaringan publik dan VPC

      Secara default, fungsi dapat dipanggil dari jaringan publik dan VPC setelah dibuat. Konfigurasi jaringan default adalah sebagai berikut:

      • Atur Function Invocation only by Specified VPCs ke No.

      Izinkan fungsi hanya diakses dari VPC

      Fungsi dapat dipanggil dari VPC tertentu, dan panggilan dari jaringan publik ditolak. Konfigurasi jaringan yang diperlukan adalah sebagai berikut:

      • Atur Function Invocation only by Specified VPCs ke Yes, dan konfigurasikan informasi VPC yang diizinkan memanggil fungsi.

    Zona yang didukung oleh Function Compute

    Klik untuk melihat zona yang didukung oleh Function Compute

    Wilayah

    ID Wilayah

    Zona yang didukung oleh Function Compute

    Tiongkok (Hangzhou)

    cn-hangzhou

    • cn-hangzhou-h

    • cn-hangzhou-i

    • cn-hangzhou-j

    • cn-hangzhou-k

    • cn-hangzhou-f

    • cn-hangzhou-g

    Tiongkok (Shanghai)

    cn-shanghai

    • cn-shanghai-m

    • cn-shanghai-l

    • cn-shanghai-n

    • cn-shanghai-b

    • cn-shanghai-e

    • cn-shanghai-g

    • cn-shanghai-f

    Tiongkok (Qingdao)

    cn-qingdao

    cn-qingdao-c

    Tiongkok (Beijing)

    cn-beijing

    • cn-beijing-i

    • cn-beijing-h

    • cn-beijing-k

    • cn-beijing-j

    • cn-beijing-l

    • cn-beijing-c

    • cn-beijing-e

    • cn-beijing-g

    • cn-beijing-f

    Tiongkok (Zhangjiakou)

    cn-zhangjiakou

    • cn-zhangjiakou-b

    • cn-zhangjiakou-c

    • cn-zhangjiakou-a

    Tiongkok (Hohhot)

    cn-huhehaote

    • cn-huhehaote-a

    • cn-huhehaote-b

    Tiongkok (Shenzhen)

    cn-shenzhen

    • cn-shenzhen-e

    • cn-shenzhen-d

    • cn-shenzhen-f

    Tiongkok (Chengdu)

    cn-chengdu

    • cn-chengdu-a

    • cn-chengdu-b

    Tiongkok (Hong Kong)

    cn-hongkong

    • cn-hongkong-d

    • cn-hongkong-c

    • cn-hongkong-b

    Singapura

    ap-southeast-1

    • ap-southeast-1a

    • ap-southeast-1c

    • ap-southeast-1b

    Malaysia (Kuala Lumpur)

    ap-southeast-3

    ap-southeast-3a

    Indonesia (Jakarta)

    ap-southeast-5

    • ap-southeast-5a

    • ap-southeast-5b

    Jepang (Tokyo)

    ap-northeast-1

    • ap-northeast-1c

    • ap-northeast-1b

    • ap-northeast-1a

    Inggris (London)

    eu-west-1

    eu-west-1a

    Jerman (Frankfurt)

    eu-central-1

    • eu-central-a

    • eu-central-1a

    • eu-central-1b

    AS (Silicon Valley)

    us-west-1

    • us-west-1a

    • us-west-1b

    AS (Virginia)

    us-east-1

    • us-east-1b

    • us-east-1a

    Untuk zona terbaru yang didukung di setiap wilayah, Anda dapat menggunakan OpenAPI Explorer untuk memanggil operasi API Get Zones.

    Jika zona tempat resource Anda berada tidak didukung oleh Function Compute, Anda dapat membuat vSwitch di zona yang didukung oleh Function Compute dalam lingkungan VPC Anda dan menentukan ID vSwitch ini dalam konfigurasi VPC fungsi Function Compute Anda. Karena vSwitch dalam VPC yang sama saling terhubung melalui peering jaringan pribadi, Function Compute dapat mengakses resource di VPC yang berada di zona lain melalui vSwitch ini. Untuk informasi selengkapnya, lihat Bagaimana cara mengatasi error 'vSwitch is in unsupported zone'?.

    Prasyarat

    • Buat fungsi

    • (Opsional) Buat resource jaringan.

      Jika Anda belum membuat resource yang diperlukan, Anda dapat memilih Automatic Configuration selama konfigurasi. Jika tidak, Anda dapat membuat resource terlebih dahulu dengan mengikuti petunjuk dalam topik berikut:

    Konfigurasikan pengaturan jaringan dan role

    1. Masuk ke Konsol Function Compute. Di panel navigasi sebelah kiri, pilih Function Management > Function.

    2. Di bilah navigasi atas, pilih wilayah. Di halaman Function, klik fungsi target.

    3. Di halaman detail fungsi, klik tab Configuration, lalu klik Modify di bagian Advanced Settings.

    4. Di panel Advanced Settings, temukan bagian Network, konfigurasikan item berikut sesuai kebutuhan, lalu klik Deploy.

      • Access to VPC: menentukan apakah akan mengizinkan fungsi mengakses resource di VPC. Nilai yang valid:

        • Enable: mengizinkan fungsi mengakses resource di VPC. Setelah memilih Enable, Anda harus memilih Configuration Mode. Nilai yang valid:

          • (Direkomendasikan) Automatic Configuration: Function Compute secara otomatis membuat resource seperti VPC, vSwitch, dan security group. Anda tidak perlu membuatnya secara manual. Jika sistem telah membuat resource tersebut di wilayah saat ini, resource tidak akan dibuat ulang.

          • Custom Configuration: Anda harus memilih resource jaringan yang sudah ada secara manual. Pastikan Anda telah membuat resource tersebut sebelumnya.

            • VPC: Pilih VPC yang ingin diakses dari daftar.

              Penting

              Anda dapat membuat maksimal 10 vSwitch di VPC yang dipilih.

            • vSwitch: Pilih minimal satu vSwitch dari daftar.

              Parameter ini menentukan subnet yang dapat diakses oleh Function Compute. Kami menyarankan Anda menentukan dua vSwitch atau lebih. Jika suatu zona gagal atau kehabisan alamat IP, fungsi Anda dapat berjalan di subnet lain.

            • Security Group: Pilih security group dari daftar.

              Security group ini digunakan untuk mengasosiasikan elastic network interface (ENI) dengan fungsi guna mengontrol akses fungsi ke resource VPC melalui ENI. Secara default, aturan arah keluar security group mengizinkan semua trafik. Anda juga dapat mengonfigurasi aturan arah keluar untuk menerapkan kontrol detail halus terhadap akses fungsi ke resource VPC.

              Catatan

              Aturan arah keluar security group harus mengizinkan protokol ICMP. Function Compute menggunakan protokol ICMP untuk memeriksa konektivitas jaringan VPC.

        • Disable: tidak mengizinkan fungsi mengakses resource di VPC.

      • Static Public IP Address: menentukan apakah akan mendapatkan alamat IP publik statis untuk lalu lintas keluar menggunakan gateway NAT dan Alamat IP Elastis. Untuk informasi selengkapnya, lihat Konfigurasikan alamat IP publik statis.

      • Allow Function to Access Public Network: menentukan apakah akan mengizinkan fungsi mengakses jaringan publik. Nilai yang valid:

        • Enable: mengizinkan fungsi mengakses jaringan publik.

        • Disable: tidak mengizinkan fungsi mengakses jaringan publik.

      • Function Invocation only by Specified VPCs: menentukan apakah akan mengizinkan fungsi dipanggil dari VPC tertentu. Nilai yang valid:

        • Enable: mengizinkan fungsi dipanggil dari VPC tertentu. Catatan:

          • Fungsi dapat di-bind ke maksimal 20 VPC.

          • Setelah Anda mengizinkan hanya VPC tertentu yang dapat memanggil fungsi, panggilan dari pemicu tidak terpengaruh.

          • Binding VPC berlaku untuk semua versi dan alias fungsi.

          • Setelah Anda mengizinkan hanya VPC tertentu yang dapat memanggil fungsi, permintaan panggilan dari jaringan publik dan VPC lain ditolak. StatusCode adalah 403, ErrorCode adalah AccessDenied, dan pesan error adalah Resource access is bound by VPC: VPC ID.

          • Anda hanya dapat meng-bind VPC menggunakan titik akhir HTTP pribadi. Anda tidak dapat meng-bind VPC menggunakan titik akhir publik atau titik akhir HTTPS pribadi.

        • Disable: mengizinkan fungsi dipanggil dari jaringan publik dan semua VPC.

    FAQ

    • Mengapa fungsi Function Compute gagal terhubung ke VPC?

      Jika Anda telah mengonfigurasi fungsi untuk mengakses VPC tetapi koneksi gagal, penyebabnya mungkin salah satu dari berikut.

      • Subnet tempat vSwitch berada mengalami gangguan, atau alamat IP di subnet telah habis. Anda dapat menentukan dua ID vSwitch atau lebih saat mengonfigurasi VPC. Jika suatu zona gagal, fungsi Anda dapat berjalan di zona lain untuk meningkatkan toleransi kesalahan.

      • Security group dikonfigurasi secara salah. Konfigurasikan security group sesuai persyaratan berikut.

        • Aturan inbound security group di VPC harus mengizinkan akses dari security group tempat Function Compute berada.

        • Aturan outbound security group harus mengizinkan protokol ICMP. Function Compute menggunakan protokol ICMP untuk memeriksa konektivitas jaringan VPC.

        Untuk informasi selengkapnya tentang cara mengonfigurasi security group, lihat Tambahkan aturan security group.

    • Apa yang harus saya lakukan jika menemukan resource jaringan tidak mencukupi saat menambahkan resource baru?

      Saat Anda membuat resource jaringan VPC, fitur konfigurasi otomatis menyediakan awalan jaringan /24, yang menawarkan 252 alamat IP tersedia. Jika Anda memiliki banyak instans, batas ini mungkin terlampaui. Dalam kasus ini, Anda harus menyesuaikan Blok CIDR vSwitch dan security group yang sesuai secara manual.

    Pemecahan Masalah

    Function Compute tidak memeriksa izin untuk mengakses VPC saat Anda mengonfigurasi parameter vpcConfig. Pemeriksaan dilakukan saat fungsi dieksekusi. Oleh karena itu, tipe error baru mungkin muncul saat Anda memanggil fungsi menggunakan operasi API InvokeFunction. Tabel berikut menjelaskan error umum yang mungkin terjadi saat fungsi terhubung ke VPC untuk membantu Anda mempercepat pemecahan masalah.

    Kode error

    Kode status

    Penyebab

    Solusi

    InvalidArgument

    400

    Zona tempat vSwitchId yang ditentukan berada tidak didukung oleh Function Compute.

    Atur ulang parameter vSwitchId. Untuk informasi selengkapnya, lihat Zona yang didukung oleh Function Compute.

    Resource di vpcConfig yang sesuai dengan vpcId, vSwitchIds, atau securityGroupId tidak ditemukan.

    Periksa pengaturan parameter vpcConfig.

    vSwitch atau security group yang ditentukan tidak berada di VPC yang sesuai.

    Periksa pengaturan parameter vpcConfig untuk memastikan bahwa resource yang sesuai dengan vSwitchId dan securityGroupId berada di VPC yang sesuai dengan vpcId.

    AccessDenied

    403

    Izin untuk melakukan operasi pada ENI tidak diberikan.

    Periksa izin fungsi. Untuk informasi selengkapnya, lihat Gunakan role fungsi untuk memberikan izin Function Compute mengakses layanan Alibaba Cloud lainnya.

    ResourceExhausted

    429

    Jumlah alamat IP yang tersedia di Blok CIDR vSwitch tidak mencukupi. Function Compute tidak dapat membuat lebih banyak ENI.

    Buat vSwitch dengan Blok CIDR yang lebih besar dan perbarui parameter vSwitchId dari vpcConfig.

    Catatan

    Kami menyarankan Anda menggunakan Blok CIDR /24 atau /16.

    Referensi

    • Untuk mengakses database di VPC, konfigurasikan daftar putih alamat IP untuk database tersebut. Blok CIDR yang Anda tambahkan ke daftar putih harus merupakan Blok CIDR vSwitch yang Anda konfigurasikan untuk fungsi. Untuk informasi selengkapnya, lihat Akses database.

    • Untuk membatasi lalu lintas jaringan publik keluar fungsi, Anda harus mengonfigurasi alamat IP statis. Untuk informasi selengkapnya, lihat Konfigurasikan alamat IP publik statis.