全部产品
Search

搜索本产品

    Platform For AI:Akses sumber daya jaringan publik atau pribadi dari EAS

    文档中心

    Platform For AI:Akses sumber daya jaringan publik atau pribadi dari EAS

    更新时间:Jan 22, 2026

    Untuk mengizinkan Elastic Algorithm Service (EAS) memanggil API publik, mengunduh file dari internet, terhubung ke database, atau mengakses layanan eksternal lainnya, konfigurasikan Virtual Private Cloud (VPC) untuk konektivitas jaringan.

    Cara kerja

    Setelah Anda mengonfigurasi VPC untuk layanan EAS, sistem membuat Elastic Network Interface (ENI) untuk setiap instans layanan. Setiap ENI menggunakan satu Alamat IP pribadi dari vSwitch yang ditentukan. Proses ini memberikan identitas jaringan kepada instans layanan dalam VPC, sehingga memungkinkan komunikasi jaringan pribadi dengan resource lain di dalam VPC atau akses internet melalui Gateway NAT.

    Penagihan

    Mengonfigurasi VPC untuk layanan EAS tidak dikenai biaya. Namun, Anda akan dikenai biaya untuk Gateway NAT dan Elastic IP Address (EIP) yang digunakan untuk akses internet. Untuk informasi selengkapnya, lihat penagihan Gateway NAT dan ikhtisar penagihan EIP.

    Persiapan awal: Perencanaan dan persiapan jaringan

    Rencanakan metode koneksi jaringan Anda dan siapkan VPC, vSwitch, serta Security Group yang diperlukan. Untuk membuat resource tersebut, lihat Buat VPC dan vSwitch dan Gunakan security groups.

    • Seluruh lalu lintas keluar dari layanan EAS tunduk pada aturan Security Group. Pastikan aturan keluar Security Group Anda mengizinkan layanan EAS mengakses layanan target.

    • Untuk komunikasi jaringan pribadi, metode paling langsung adalah menempatkan layanan EAS dan layanan target dalam VPC yang sama. Jika layanan target berada di VPC berbeda, Anda juga harus menyiapkan konektivitas jaringan menggunakan produk seperti VPC Peering Connection atau Cloud Enterprise Network (CEN).

    Prosedur

    Langkah 1: Konfigurasi VPC untuk layanan EAS

    Konfigurasi VPC untuk layanan EAS diperlukan agar layanan dapat berkomunikasi melalui jaringan pribadi atau mengakses internet. EAS mendukung konfigurasi VPC di tingkat layanan maupun tingkat kelompok sumber daya:

    • Tingkat layanan: Tentukan VPC untuk satu layanan tertentu. Konfigurasi ini memiliki prioritas tertinggi.

    • Tingkat kelompok sumber daya: Tetapkan VPC default untuk layanan yang diterapkan menggunakan kelompok sumber daya khusus. Jika terdapat konfigurasi di kedua tingkat tersebut, konfigurasi tingkat layanan akan didahulukan.

    Konfigurasi tingkat layanan

    Konfigurasi di Konsol

    Saat membuat atau memperbarui layanan, konfigurasikan VPC di bagian Network Information. Pilih VPC dari daftar drop-down, lalu konfigurasikan vSwitch dan Security Group.

    image

    Konfigurasi menggunakan klien eascmd

    1. Dalam file konfigurasi JSON layanan, tambahkan atau ubah bidang cloud.networking dengan ID VPC, vSwitch, dan Security Group Anda. Contoh berikut menunjukkan bidang terkait jaringan:

      {
    "cloud": {
        "networking": {
            "vpc_id": "your-vpc-id",
            "vswitch_id": "your-switch-id",
            "security_group_id": "your-security-group-id"
        }
    }
}

      Anda dapat menemukan ID tersebut di halaman VPC dan vSwitch di Konsol VPC dan di halaman Security Groups di Konsol ECS.

    2. Untuk informasi selengkapnya, lihat Referensi perintah. Gunakan perintah create atau modify untuk menerapkan konfigurasi baru.

    Konfigurasi tingkat kelompok sumber daya

    • Konsol: Di halaman Resource Group, konfigurasikan informasi VPC untuk seluruh kelompok sumber daya. Pilih kelompok sumber daya target dan klik Enable VPC Configuration di kolom Actions.image

    • Klien eascmd: Untuk informasi selengkapnya, lihat Konfigurasi VPC untuk kelompok sumber daya.

    Langkah 2: Konfigurasi Gateway NAT Internet dan entri SNAT (hanya untuk akses jaringan publik)

    Jika layanan EAS perlu mengakses Internet, Anda harus menggunakan Gateway NAT dan EIP. Untuk informasi selengkapnya, lihat Gunakan fitur SNAT Gateway NAT Internet untuk mengakses Internet.

    1. Buat Gateway NAT Internet dan bind EIP: Buka halaman pembelian Gateway NAT Internet. Pilih wilayah dan VPC tempat layanan EAS Anda berada, lalu bind EIP ke gateway tersebut. EIP ini menjadi satu-satunya alamat IP publik yang digunakan layanan EAS untuk akses internet.

    2. Konfigurasi entri SNAT: Di gateway NAT yang telah Anda buat, buat entri SNAT. Atur SNAT Entry ke VPC. Konfigurasi ini mengarahkan seluruh lalu lintas dari VPC ke internet melalui gateway NAT.

    Langkah 3: Konfigurasi daftar putih (opsional)

    Untuk terhubung ke layanan target yang memiliki pembatasan daftar putih berdasarkan alamat IP atau Security Group, tambahkan rentang alamat IP atau ID Security Group layanan EAS ke daftar putih layanan target. Bagian berikut menjelaskan cara memperoleh alamat IP pribadi dan publik layanan EAS.

    Peroleh alamat IP pribadi

    Penting

    Instans EAS dijadwalkan secara dinamis. Setelah restart atau pembaruan, instans baru mungkin dibuat di node fisik baru dan diberikan Alamat IP pribadi baru dari kolam alamat vSwitch. Oleh karena itu, kebijakan kontrol akses yang bergantung pada alamat IP sebaiknya menggunakan Blok CIDR vSwitch alih-alih alamat IP statis dari satu instans.

    Login ke Konsol VPC dan temukan Blok CIDR IPv4 di halaman vSwitch.

    内网白名单

    Peroleh alamat IP publik

    Login ke Konsol VPC. Di halaman NAT Gateway > Internet NAT Gateway, temukan gateway yang dikonfigurasi untuk EAS. EIP yang terikat ditampilkan di kolom EIP.

    image

    Pertimbangan produksi

    • Perencanaan alamat IP: Rencanakan vSwitch khusus dengan jumlah alamat IP yang mencukupi untuk layanan EAS Anda. Jumlah minimum alamat IP yang diperlukan adalah Jumlah instans stabil + Jumlah instans tambahan untuk pembaruan rolling + Buffer IP cadangan. Jumlah alamat IP yang tidak mencukupi akan menyebabkan kegagalan pembuatan atau penskalaan layanan.

    • Isolasi security group: Gunakan Security Group terpisah untuk layanan atau lingkungan berbeda (misalnya, pengembangan, pengujian, dan produksi). Terapkan prinsip hak istimewa minimal dengan hanya membuka port dan sumber akses yang benar-benar diperlukan.

    • Optimasi biaya: Untuk mengoptimalkan biaya, jika layanan EAS Anda perlu mengakses internet guna mengunduh model atau file, unggah resource tersebut ke OSS di wilayah yang sama dan pasang volume OSS selama penerapan. Hal ini menghindari biaya yang terkait dengan trafik jaringan publik.

    FAQ

    T: Mengapa layanan EAS saya tidak dapat mengakses internet secara default?

    Layanan EAS secara default diisolasi dari internet publik demi menjaga keamanan dan stabilitas. Di lingkungan bersama, akses internet yang tidak terkendali dapat menyebabkan persaingan bandwidth yang tidak terduga, sehingga memengaruhi performa dan ketersediaan layanan. Untuk mengaktifkan akses internet, Anda harus mengonfigurasi layanan agar berjalan dalam VPC dan menyiapkan Gateway NAT.

    T: Bagaimana cara menguji apakah layanan EAS saya memiliki konektivitas internet?

    Anda dapat menambahkan perintah uji ke konfigurasi startup layanan Anda. Di bidang Command, sertakan utilitas jaringan seperti curl -I -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/120.0.0.0" --connect-timeout 5 https://www.aliyun.com.

    Setelah penerapan, periksa log waktu nyata instans tersebut. Tanggapan yang berisi kode status seperti 200 OK menunjukkan koneksi internet berfungsi. Timeout atau error koneksi mengindikasikan adanya masalah konfigurasi.

    T: Mengapa layanan EAS saya tidak dapat terhubung ke layanan cloud lain (misalnya, database RDS) dalam VPC yang sama?

    Hal ini biasanya menunjukkan kesalahan konfigurasi jaringan. Periksa hal-hal berikut untuk mengatasi masalah tersebut:

    1. Konfigurasi VPC: Pastikan layanan EAS dan layanan target (misalnya, instans RDS Anda) ditempatkan dalam VPC yang sama.

    2. Aturan security group: Pastikan aturan keluar security group yang terpasang pada layanan EAS mengizinkan trafik ke alamat IP pribadi dan port layanan target.

    3. Pembatasan akses produk cloud tujuan: Jika layanan target menggunakan daftar putih IP atau security group untuk kontrol akses, pastikan layanan tersebut mengizinkan koneksi inbound dari Blok CIDR vSwitch atau ID Security Group layanan EAS Anda. Disarankan menggunakan Blok CIDR vSwitch karena alamat IP pribadi instans bersifat dinamis dan dapat berubah setelah restart.

    T: Mengapa layanan EAS saya tetap tidak dapat mengakses internet meskipun Gateway NAT sudah dikonfigurasi?

    Jika layanan EAS Anda tidak dapat mengakses internet setelah menyiapkan Gateway NAT, kemungkinan besar masalahnya terletak pada entri SNAT, tabel rute VPC, atau aturan security group. Periksa konfigurasi berikut:

    1. Verifikasi Entri SNAT: Di Konsol Gateway NAT Anda, pastikan entri SNAT dikonfigurasi untuk menangani trafik dari vSwitch yang benar—yaitu vSwitch yang digunakan untuk penerapan layanan EAS Anda.image

    2. Periksa Tabel Rute VPC: Buka Konsol VPC dan periksa tabel rute yang terkait dengan vSwitch Anda. Pastikan terdapat entri rute dengan Blok CIDR tujuan diatur ke 0.0.0.0/0 dan lompatan berikutnya mengarah ke Gateway NAT Anda.

    3. Periksa Aturan Keluar Security Group: Pastikan aturan keluar security group yang terpasang pada layanan EAS Anda mengizinkan seluruh trafik egress. Aturan default yang mengizinkan trafik ke 0.0.0.0/0 sudah cukup untuk akses internet.