全部产品
Search

搜索本产品

    Function Compute:Konfigurasikan pengaturan jaringan

    文档中心

    Function Compute:Konfigurasikan pengaturan jaringan

    更新时间:Nov 20, 2025

    Secara default, fungsi yang dibuat di Function Compute dapat mengakses Internet tetapi tidak dapat mengakses sumber daya dalam virtual private cloud (VPC). Untuk mengizinkan fungsi mengakses sumber daya dalam VPC atau dipanggil oleh VPC tertentu, Anda harus mengonfigurasi secara manual pengaturan jaringan dan izin untuk fungsi tersebut. Topik ini menjelaskan cara mengonfigurasi pengaturan jaringan untuk suatu fungsi di konsol Function Compute.

    Catatan

    Untuk fungsi GPU yang dibuat dari gambar kontainer dari instans ACR Enterprise, Anda harus memilih VPC dan vSwitch berdasarkan aturan berikut saat mengonfigurasi akses VPC untuk fungsi tersebut.

    • Jika Access IP pada halaman Access Control instans ACR Enterprise memiliki tag Default Resolution, Anda harus mengatur VPC dan vSwitch fungsi tersebut sesuai dengan VPC dan vSwitch yang terkait dengan alamat IP tersebut.

    • Jika Access IP pada halaman Access Control instans ACR Enterprise tidak memiliki tag Default Resolution, Anda dapat mengatur VPC dan vSwitch fungsi tersebut ke pasangan VPC dan vSwitch apa pun yang terikat ke instans tersebut.

    db-serviceconf-default

    Kemampuan akses jaringan

    Penggunaan fitur VPC dapat mengurangi performa cold start Function Compute. Jangan mengonfigurasi fitur ini kecuali benar-benar diperlukan. Kami menyarankan agar Anda terlebih dahulu mempertimbangkan penggunaan otorisasi RAM untuk mengakses sumber daya. Untuk informasi selengkapnya, lihat Gunakan peran fungsi untuk memberikan izin kepada fungsi agar dapat mengakses layanan Alibaba Cloud lainnya.

    Trafik dihasilkan ketika suatu fungsi dipanggil atau saat mengakses alamat jaringan. Trafik diklasifikasikan ke dalam jenis-jenis berikut.

    • Lalu lintas internet: trafik yang dihasilkan saat mengakses alamat Internet, seperti situs web resmi Alibaba Cloud, Taobao, dan titik akhir publik layanan Alibaba Cloud.

    • Trafik VPC: trafik yang dihasilkan saat mengakses alamat dalam VPC Anda, seperti alamat ApsaraDB RDS, NAS, dan alamat IP internal instance ECS dalam VPC tersebut.

    Berdasarkan pengaturan jaringan yang berbeda, suatu fungsi memiliki kemampuan akses jaringan sebagai berikut. Konfigurasikan pengaturan sesuai kebutuhan.

    • Lalu lintas keluar: Menentukan apakah fungsi diizinkan mengirim lalu lintas keluar ke Internet atau ke sumber daya dalam VPC. Pengaturan yang tersedia adalah Allow Access To VPC dan Allow Function To Access The Internet.

      Tabel 1. Lalu lintas keluar untuk suatu fungsi

      Konfigurasi jaringan

      Deskripsi

      Izinkan fungsi hanya mengakses Internet

      Fungsi dapat mengakses Internet dan jaringan internal melalui jaringannya sendiri. Akses melalui VPC Anda ditolak.

      Pengaturan jaringan yang diperlukan adalah sebagai berikut:

      • Atur Allow Access to VPC ke No.

      • Untuk Allow Function To Access The Internet, pilih Yes.

      Izinkan fungsi hanya mengakses VPC

      Fungsi hanya dapat mengakses Internet dan jaringan internal melalui VPC Anda. Ini berlaku untuk skenario seperti PrivateZone, NAT Gateway, dan pengikatan fungsi-VPC.

      Pengaturan jaringan yang diperlukan adalah sebagai berikut:

      • Atur Allow Access To VPC ke Yes, lalu konfigurasi detail akses VPC.

      • Atur Allow Function To Access The Internet ke No.

      Izinkan fungsi mengakses Internet dan VPC

      • Fungsi non-GPU

        • Fungsi mengakses Internet melalui jaringannya sendiri.

        • Fungsi mengakses jaringan internal melalui VPC Anda. Parsing nama domain privat menggunakan PrivateZone didukung.

      • Fungsi GPU:

        • Fungsi mengakses Internet dan jaringan internal dalam blok CIDR 100.0.0.0/8 melalui jaringannya sendiri.

        • Fungsi mengakses jaringan internal di luar blok CIDR 100.0.0.0/8 melalui VPC Anda. Parsing nama domain privat menggunakan PrivateZone tidak didukung. Untuk mengaktifkan parsing jaringan internal, Anda dapat mengajukan tiket.

      Pengaturan jaringan yang diperlukan adalah sebagai berikut:

      • Atur Allow Access To VPC ke Yes, lalu konfigurasi VPC yang dapat diakses oleh fungsi tersebut.

      • Atur Allow Function to Access the Internet ke Yes.

      Tolak akses fungsi ke Internet maupun VPC

      Fungsi dapat mengakses jaringan internal melalui jaringannya sendiri. Akses ke Internet dan VPC Anda ditolak. Pengaturan jaringan yang diperlukan adalah sebagai berikut:

      • Atur Allow Access To VPC ke No.

      • Atur Allow Function To Access The Internet ke No.

    • Lalu lintas masuk: Menentukan apakah fungsi dapat dipanggil dari alamat IP publik atau VPC. Ini dikonfigurasi melalui pengaturan Allow Only Specified VPCs To Invoke The Function.

      Tabel 2. Lalu lintas masuk untuk suatu fungsi

      Konfigurasi jaringan

      Deskripsi

      Izinkan fungsi diakses dari Internet maupun VPC

      Secara default, fungsi dapat dipanggil dari Internet dan VPC setelah dibuat. Pengaturan jaringan default adalah sebagai berikut:

      • Atur opsi Allow Only Specified VPCs To Invoke The Function ke No.

      Izinkan fungsi hanya diakses dari VPC

      Fungsi hanya dapat dipanggil dari VPC tertentu. Pemanggilan dari Internet ditolak. Pengaturan jaringan yang diperlukan adalah sebagai berikut:

      • Atur Allow Only Specified VPCs To Invoke The Function ke Yes, lalu konfigurasi VPC yang diizinkan memanggil fungsi tersebut.

    Zona yang didukung oleh Function Compute

    Klik untuk melihat zona yang didukung oleh Function Compute

    Wilayah

    ID Wilayah

    Zona yang didukung oleh Function Compute

    Tiongkok (Hangzhou)

    cn-hangzhou

    • cn-hangzhou-h

    • cn-hangzhou-i

    • cn-hangzhou-j

    • cn-hangzhou-k

    • cn-hangzhou-f

    • cn-hangzhou-g

    Tiongkok (Shanghai)

    cn-shanghai

    • cn-shanghai-m

    • cn-shanghai-l

    • cn-shanghai-n

    • cn-shanghai-b

    • cn-shanghai-e

    • cn-shanghai-g

    • cn-shanghai-f

    Tiongkok (Qingdao)

    cn-qingdao

    cn-qingdao-c

    Tiongkok (Beijing)

    cn-beijing

    • cn-beijing-i

    • cn-beijing-h

    • cn-beijing-k

    • cn-beijing-j

    • cn-beijing-l

    • cn-beijing-c

    • cn-beijing-e

    • cn-beijing-g

    • cn-beijing-f

    Tiongkok (Zhangjiakou)

    cn-zhangjiakou

    • cn-zhangjiakou-b

    • cn-zhangjiakou-c

    • cn-zhangjiakou-a

    Tiongkok (Hohhot)

    cn-huhehaote

    • cn-huhehaote-a

    • cn-huhehaote-b

    Tiongkok (Shenzhen)

    cn-shenzhen

    • cn-shenzhen-e

    • cn-shenzhen-d

    • cn-shenzhen-f

    Tiongkok (Chengdu)

    cn-chengdu

    • cn-chengdu-a

    • cn-chengdu-b

    Tiongkok (Hong Kong)

    cn-hongkong

    • cn-hongkong-d

    • cn-hongkong-c

    • cn-hongkong-b

    Singapura

    ap-southeast-1

    • ap-southeast-1a

    • ap-southeast-1c

    • ap-southeast-1b

    Malaysia (Kuala Lumpur)

    ap-southeast-3

    ap-southeast-3a

    Indonesia (Jakarta)

    ap-southeast-5

    • ap-southeast-5a

    • ap-southeast-5b

    Jepang (Tokyo)

    ap-northeast-1

    • ap-northeast-1c

    • ap-northeast-1b

    • ap-northeast-1a

    Inggris (London)

    eu-west-1

    eu-west-1a

    Jerman (Frankfurt)

    eu-central-1

    • eu-central-a

    • eu-central-1a

    • eu-central-1b

    AS (Silicon Valley)

    us-west-1

    • us-west-1a

    • us-west-1b

    AS (Virginia)

    us-east-1

    • us-east-1b

    • us-east-1a

    Jika sumber daya Anda berada di zona yang tidak didukung oleh Function Compute, Anda dapat membuat vSwitch di zona yang didukung dalam lingkungan VPC Anda dan mengatur ID vSwitch ini dalam konfigurasi VPC fungsi Function Compute. Karena vSwitch yang berbeda dalam VPC yang sama dapat saling berkomunikasi melalui jaringan pribadi, Function Compute dapat menggunakan vSwitch ini untuk mengakses sumber daya di zona lain dalam VPC tersebut. Untuk informasi selengkapnya, lihat Apa yang harus saya lakukan jika mengalami error 'vSwitch is in unsupported zone'?.

    Prasyarat

    • Buat fungsi

    • (Opsional) Buat sumber daya jaringan

      Jika Anda belum membuat sumber daya yang diperlukan, Anda dapat memilih Automatic Configuration. Atau, Anda dapat membuat sumber daya tersebut terlebih dahulu seperti yang dijelaskan dalam dokumen berikut:

    Konfigurasikan pengaturan jaringan dan peran

    1. Masuk ke Konsol Function Compute. Di panel navigasi sebelah kiri, pilih Function Management > Functions.

    2. Di bilah navigasi atas, pilih wilayah. Pada halaman Functions, klik fungsi yang dituju.

    3. Pada halaman detail fungsi, klik tab Configuration. Lalu, klik Edit di sebelah kanan Advanced Configuration.

    4. Pada panel Advanced Configuration, temukan bagian Network, ubah item konfigurasi sesuai kebutuhan, lalu klik Deploy.

      • Allow access to VPC: Menentukan apakah fungsi dapat mengakses sumber daya dalam VPC. Nilai yang valid:

        • Enable: Mengizinkan fungsi mengakses sumber daya dalam VPC. Jika Anda memilih Enable, Anda juga harus memilih Configuration Method. Nilai yang valid:

          • (Disarankan) Automatic Configuration: Function Compute secara otomatis membuat sumber daya seperti VPC, vSwitch, dan grup keamanan, sehingga Anda tidak perlu membuatnya secara manual. Sumber daya yang sudah ada di wilayah saat ini akan digunakan kembali.

          • Custom Configuration: Pilih secara manual sumber daya jaringan yang sudah ada. Pastikan Anda telah membuat sumber daya yang diperlukan sebelumnya.

            • VPC: Pilih VPC yang akan diakses dari daftar.

              Penting

              Maksimal 10 vSwitch dapat dibuat dalam VPC yang dipilih.

            • VSwitch: Pilih minimal satu vSwitch.

              Field ini menentukan subnet yang dapat diakses oleh Function Compute. Kami menyarankan agar Anda menentukan dua atau lebih vSwitch agar jika suatu zona gagal atau kehabisan alamat IP, fungsi Anda tetap dapat berjalan di subnet lain.

            • Security Group: Anda dapat memilih grup keamanan dari daftar.

              Grup keamanan ini digunakan untuk mengaitkan antarmuka jaringan elastis (ENI) dengan fungsi tersebut. Grup keamanan ini mengontrol perilaku fungsi saat mengakses sumber daya dalam VPC melalui ENI. Secara default, aturan keluar grup keamanan mengizinkan semua trafik. Anda juga dapat mengonfigurasi aturan keluar untuk menerapkan kontrol detail halus terhadap akses fungsi ke sumber daya dalam VPC.

              Catatan

              Aturan keluar grup keamanan harus mengizinkan protokol ICMP. Function Compute menggunakan protokol ICMP untuk memeriksa konektivitas jaringan VPC.

        • Disable: Mencegah fungsi mengakses sumber daya dalam VPC.

      • Static Public IP Address: Menentukan apakah akan menetapkan Alamat IP publik statis untuk akses Internet keluar melalui Gateway NAT dan Alamat IP Elastis. Untuk informasi selengkapnya, lihat Mengonfigurasi Alamat IP publik statis.

      • Allow Function To Access The Internet Using The Default ENI: Menentukan apakah fungsi diberikan akses Internet. Nilai yang valid:

        • Enable: Mengizinkan fungsi mengakses Internet.

        • Disable: Mencegah fungsi mengakses Internet.

      • Allow Only Specified VPCs To Invoke The Function: Menentukan apakah hanya VPC tertentu yang dapat memanggil fungsi tersebut. Nilai yang valid:

        • Enable: Jika Anda memilih opsi ini, hanya VPC tertentu yang dapat memanggil fungsi tersebut. Perhatikan hal-hal berikut:

          • Satu fungsi dapat diikat ke maksimal 20 VPC.

          • Pemanggilan fungsi oleh pemicu tidak terpengaruh oleh pengaturan ini.

          • Pengikatan VPC berlaku untuk semua versi dan alias fungsi tersebut.

          • Setelah Anda mengonfigurasi pengaturan ini, permintaan pemanggilan dari Internet dan VPC lain akan ditolak. StatusCode adalah 403, ErrorCode adalah AccessDenied, dan pesan error adalah Resource access is bound by VPC: VPC ID.

          • Anda hanya dapat mengikat VPC menggunakan titik akhir HTTP privat. Anda tidak dapat mengikat VPC menggunakan titik akhir publik atau titik akhir HTTPS privat.

        • Disable: Fungsi dapat dipanggil dari Internet dan semua VPC.

    FAQ

    • Mengapa Function Compute tidak dapat terhubung ke VPC untuk debugging?

      Jika Anda mengonfigurasi fungsi untuk mengakses VPC tetapi koneksi gagal, penyebabnya mungkin salah satu dari berikut.

      • Subnet tempat vSwitch berada mengalami gangguan, atau alamat IP dalam subnet tersebut habis. Untuk meningkatkan toleransi kesalahan, Anda dapat menyediakan dua atau lebih ID vSwitch saat mengonfigurasi VPC. Hal ini memungkinkan fungsi Anda berjalan di zona lain jika satu zona gagal.

      • Grup keamanan dikonfigurasi secara salah. Pastikan grup keamanan dikonfigurasi berdasarkan persyaratan berikut.

        • Aturan masuk grup keamanan VPC harus mengizinkan akses dari grup keamanan untuk Function Compute.

        • Aturan keluar grup keamanan harus mengizinkan protokol ICMP. Function Compute menggunakan protokol ICMP untuk memeriksa konektivitas jaringan VPC.

        Untuk informasi selengkapnya tentang cara mengonfigurasi grup keamanan, lihat Tambahkan aturan grup keamanan.

    • Apa yang harus saya lakukan jika sumber daya tidak mencukupi saat saya menambahkan sumber daya jaringan?

      Saat Anda membuat sumber daya jaringan VPC, fitur konfigurasi otomatis menyediakan awalan jaringan /24, yang menyediakan 252 alamat IP yang tersedia. Jika Anda memiliki banyak instans, batas ini mungkin terlampaui. Dalam kasus ini, Anda harus menyesuaikan secara manual blok CIDR vSwitch dan grup keamanan yang sesuai.

    Pemecahan Masalah

    Function Compute tidak memeriksa izin untuk mengakses VPC saat Anda mengatur parameter vpcConfig. Pemeriksaan ini dilakukan saat fungsi dieksekusi. Oleh karena itu, jenis error baru mungkin terjadi saat Anda memanggil fungsi dengan memanggil operasi API InvokeFunction. Tabel berikut menjelaskan error umum yang dapat terjadi saat menghubungkan ke VPC untuk membantu Anda mempercepat pemecahan masalah.

    Kode kesalahan

    Kode status

    Penyebab

    Solusi

    InvalidArgument

    400

    Zona tempat vSwitchId yang ditentukan berada tidak didukung oleh Function Compute.

    Atur ulang parameter vSwitchId. Untuk informasi selengkapnya, lihat Zona yang didukung oleh Function Compute.

    Sumber daya yang sesuai dengan vpcId, vSwitchIds, atau securityGroupId dalam vpcConfig tidak ditemukan.

    Periksa pengaturan parameter vpcConfig.

    vSwitch atau grup keamanan yang ditentukan tidak berada di VPC yang sesuai.

    Periksa pengaturan parameter vpcConfig, dan pastikan sumber daya yang sesuai dengan vSwitchId dan securityGroupId berada dalam VPC yang sesuai dengan vpcId.

    AccessDenied

    403

    Izin untuk mengoperasikan ENI tidak diberikan.

    Periksa izin fungsi tersebut. Untuk informasi selengkapnya, lihat Gunakan peran fungsi untuk memberikan izin kepada fungsi agar dapat mengakses layanan Alibaba Cloud lainnya.

    ResourceExhausted

    429

    Jumlah alamat IP yang tersedia di blok CIDR vSwitch tidak mencukupi. Function Compute tidak dapat membuat lebih banyak ENI.

    Buat vSwitch dengan blok CIDR yang lebih besar dan perbarui parameter vSwitchId dari vpcConfig.

    Catatan

    Kami menyarankan Anda menggunakan blok CIDR /24 atau /16.

    Referensi

    • Untuk mengakses database dalam VPC, kami menyarankan agar Anda mengonfigurasi daftar putih alamat IP untuk database tersebut. Dalam daftar putih, tentukan blok CIDR vSwitch yang Anda konfigurasi di halaman ini. Untuk informasi selengkapnya, lihat Mengakses database.

    • Untuk membatasi lalu lintas Internet keluar dari suatu fungsi, Anda harus menggunakan alamat IP statis. Untuk informasi selengkapnya, lihat Mengonfigurasi Alamat IP publik statis.