針對Realtime Compute Flink 無法直接存取公網的限制,本文提供多情境下的網路連通性解決方案,包括公網訪問、跨 VPC 互聯及混合雲串連。
地區與可用性區域選擇
在購買使用Realtime ComputeFlink版之前,建議您先瞭解如下基本概念。
地區(Region)
地區指阿里雲資料中心所在的地理地區,通常按照資料中心所在的城市劃分。例如,華東1(杭州)地區表示資料中心所在的城市是杭州。資源部署地區與實際業務資料地區的距離越近,網路延遲越低,訪問速度越快。
可用性區域(Available Zone)
可用性區域是同一地區內具備獨立電源和網路基礎設施的物理地區(機房)。一個地區通常包含多個可用性區域,且不同地區之間的可用性區域完全隔離。在部署業務時,您可以選擇跨可用性區域部署。由於可用性區域之間電源和網路相互獨立,這種部署方式能夠顯著提升業務可靠性,實現同城多機房的容災冗餘,保障高可用性。
根據上述條件,您需要結合自身業務資料所在地區的分布情況,選擇最優的地區和可用性區域進行服務部署。確保業務資料的高可用性與穩定性,同時有效降低資料轉送的延遲。
網路選型
根據實際業務資料的網路情況,選擇合適的網路連通方案。
業務資料 | 適用情境 |
適用於因目標資料來源不支援私網通訊或未與VPC直連,需通過公網IP訪問外部資料源的情境。 | |
適用於同帳號或跨帳號、同地區或跨地區的兩個VPC之間實現私網互連的情境,以降低網路延遲和提升安全性。 | |
適用於與其他雲廠商產品或本機資料中心實現資料互連的情境,滿足企業多雲架構及混合部署需求。 |
公網資料來源
公網訪問相較於內網在延遲方面存在不確定性。如果業務情境對網路延遲和穩定性要求較高,建議優先選擇內網訪問。
阿里雲提供的NAT Gateway可以實現VPC網路與公網互連,以滿足Realtime ComputeFlink版需要訪問公網資料來源的需求。
配置公網訪問
步驟一:建立NAT Gateway配置EIP
單擊建立公網NAT Gateway。
請按照購買頁面的要求填寫相關資訊:
請選擇購買Realtime ComputeFlink版時綁定的所屬地區,所屬專用網路和關聯交換器這三個選項。
詳細資料可以在Realtime Compute控制台,單擊工作空間
訪問模式:專用網路全通模式(SNAT)
Elastic IP Address:新購Elastic IP Address(如地區不在中國內地時,可以輔助線路類型先購買EIP後選擇已有)
線路類型:BGP(多線)
如果您的Realtime ComputeFlink版地區不在中國內地時,網路線路將有更多選項,根據自身業務資料所在,就近選擇合適的EIP方案進行購買。
單擊立即購買,完成付款後,等待資源配置完成。
(可選)進行配置SNAT。
在購買的公網NAT執行個體中,單擊設定SNAT。
單擊建立SNAT條目。
選擇VPC粒度,選擇相應的Elastic IP Address。
單擊確認建立。
步驟二:上下遊訪問配置
此時,Realtime Compute Flink 版已具備訪問公網 IP 資料來源的能力,但通常需將彈性公網 IP 添加至防火牆規則或安全性群組策略中,以確保訪問來源的合法性。
以訪問阿里雲ECS中部署的MySQL儲存為例,需要我們添加對應的安全性群組策略(此ECS已開通綁定彈性公網)。
訪問ECS控制台-執行個體。
單擊對應執行個體,在安全性群組頁簽中,單擊對應安全性群組。
單擊快速添加入方向,授權對象填寫對應綁定的Elastic IP Address,選擇對應MySQL連接埠。
單擊確認。Realtime Compute Flink 版就可以通過訪問該ECS的公網IP來訪問其中部署的MySQL儲存。
您可以通過Realtime ComputeFlink版開發控制台右上方的網路探測功能,完成網路連通性測試。
跨VPC服務
若其他服務處於規劃前期或可替換時,建議直接購買與Realtime ComputeFlink版相同VPC的服務;或者釋放當前Flink工作空間,重新開通一個與其他服務相同VPC的工作空間。
跨VPC網路連接,常用的有如下方式:
VPC對等串連:VPC對等串連可跨帳號、跨地區串連兩個私人網路(VPC),實現私人IP直接通訊,如同處於同一網路環境。支援同帳號內及跨帳號的VPC互聯。
轉寄路由器:轉寄路由器用於串連並轉寄同地區或跨地區的網路執行個體流量。通過網路連接將VPC關聯後,路由自動同步。每個地區僅允許一個轉寄路由器,跨地區需使用獨立路由器。
私網串連:私網串連通過安全私人通道串連VPC來實現服務訪問,規避公網暴露風險(如資料泄露、DDoS攻擊),並簡化架構,提升訪問效率與可靠性。
對比項 | VPC 對等串連 | 轉寄路由器 | 私網串連 |
串連方式 | VPC兩兩之間建立串連 | VPC以網路連接方式加入轉寄路由器 | VPC之間基於終端節點服務的定向串連 |
是否支援路由傳播 | 不支援 | 支援 | 不支援 |
訪問方式 | 雙向訪問 | 雙向訪問 | 單向訪問 |
是否支援跨帳號 | 支援 | 支援 | 支援 |
是否支援跨地區 | 支援 | 支援 | 不支援 |
優勢情境 | 少量 VPC 互聯 | 大量 VPC 互聯 | VPC 定向串連 |
配置複雜度 | 高。需要兩兩建立對等串連關係並相互配置對端路由。 | 低。VPC 只需要加入轉寄路由器並配置路由指向轉寄路由器的網路連接。 | 低。私網串連無需考慮地址衝突和路由配置,網路設定簡單。 |
網路延遲 | 低 | 中。由於流量經過轉寄路由器,會增加額外一跳的延遲。 | 低 |
成本 | 同地區不收費。跨地區統一由雲資料轉送 CDT 收取出方向流量傳輸費。 | 同地區收取串連費、流量處理費,跨地區收取頻寬包執行個體費、串連費和流量處理費。 | 根據私網串連服務的實際使用量進行計費,費用包含執行個體費和流量處理費。 |
VPC 之間網段是否可以重疊 | 不可以 | 不可以 | 可以 |
情境樣本
某企業在華東1(杭州)和華北2(北京)地區分別建立了VPC1和VPC2。華東1地區部署了Realtime ComputeFlink版,而華北2地區則購買了ECS伺服器作為業務資料存放區與開發。
該情境適用於在同一阿里雲賬戶或跨賬戶下,實現不同VPC之間(可跨地區)的網路互連,推薦採用VPC對等串連方案。
對等串連的兩端VPC和交換器之間的網段不可以重疊。
例如,網段分別為192.168.0.0/16和192.168.0.0/24的VPC,即使建立了對等串連也無法實現網路連通。
如果需要建立跨帳號VPC對等串連,需確保發起端和接收端帳號均已建立VPC。
具體操作詳情請參見使用VPC對等串連實現VPC私網互連。
混合雲情境
如下產品都支援將本機資料中心等網路連接至雲上專用網路,快速構建混合雲。
Express Connect:Express Connect通過物理專線將本機資料中心、其他雲廠商平台等網路連接到阿里雲。在兩端距離很遠的情況下,Express Connect仍可以提供低時延、低丟包率和高頻寬的內網級通訊品質。
VPN網關:VPN網關通過建立加密隧道的方式,實現企業本機資料中心、企業辦公網路、互連網用戶端、其他雲廠商等平台與阿里雲專用網路之間的安全可靠串連。
對比項 | Express Connect | VPN 閘道 |
品質 | 高(專線) | 低(公網) |
建設周期 | 較長(2~3個月) | 短(開通認證後即用) |
成本 | 高 | 低 |
傳輸頻寬 | 單鏈路支援最大100Gbps頻寬。支援多條專線鏈路彙總實現Tbps級頻寬。 | 受限於公網IP的頻寬。 |
業務適用情境 | 金融、政企等對網路安全性要求高的企業上雲需求。 | 企業辦公網路、資料存放區等基礎服務上雲需求。 |