為PAI eas服務配置網路連通 - Platform For AI

如果要實現EAS服務訪問公網、與VPC內資源通訊或者ECS不經網關直連EAS執行個體，需要為EAS服務配置專用網路。

工作原理

為EAS服務配置網路後，系統會在指定的VPC交換器中，為服務的每個執行個體自動建立一個彈性網卡（ENI）。這張ENI會佔用該交換器的一個私網IP地址，從而實現與VPC內其他資源的網路互連，或通過VPC內的NAT Gateway訪問公網。

計費說明

為EAS服務配置網路本身不產生費用，但其依賴的雲產品會正常計費。例如，用於訪問公網的NAT Gateway和Elastic IP Address (EIP)均為付費產品，具體計費方式請參見計費說明。

核心步驟：為EAS服務配置專用網路

為EAS服務配置專用網路是實現內網互連或公網訪問的基礎。

開始前，請確保已有可用的VPC、交換器和安全性群組。如需建立，請參見建立專用網路與交換器、建立安全性群組。

重要

EAS支援在服務等級和資源群組層級配置VPC。當兩者都配置時，以服務部署組態為準。

服務等級配置

通過控制台配置

建立或更新服務時，在網路資訊地區，進行專用網路配置。下拉選擇專用網路之後，再配置交換器和安全性群組。

通過eascmd用戶端工具配置

在服務的JSON設定檔中添加或修改cloud.networking欄位，填入VPC、交換器和安全性群組ID。可以在Virtual Private Cloud控制台的專用網路、交換器列表頁和ECS控制台-安全性群組頁面分別找到對應的ID。

配置樣本如下：

{
    "metadata": {
        "name": "service_name",
        "instance": 1,
        "workspace_id": "21***"
    },
    "cloud": {
        "computing": {
            "instances": [
                {
                    "type": "ecs.gn6e-c12g1.3xlarge"
                }
            ]
        },
        "networking": {
            "vpc_id": "vpc-bp1uepgqtar*****",
            "vswitch_id": "vsw-bp1glkxase*****",
            "security_group_id": "sg-bp1brugkivv*****"
        }
    },
    "containers": [
        {
            "image": "eas-registry-vpc.cn-hangzhou.cr.aliyuncs.com/pai-eas/python-inference:py39-ubuntu2004",
            "script": "python app.py",
            "port": 8000
        }
    ]
}

使用create 或 modify 命令部署或更新服務。以Windows 64版本為例：

建立服務

# <service.json>需要替換為您建立的JSON設定檔名稱。
eascmdwin64.exe create <service.json>

更新服務

# <service_name>需替換為要更新的EAS服務名稱；<service.json>需替換為您要更新的JSON設定檔名稱。
eascmdwin64.exe modify <service_name> -s <service.json>

資源群組層級配置

控制台：在資源群組頁面，對整個資源群組統一配置VPC資訊。選擇目標資源群組，單擊操作列的開啟VPC配置。
使用eascmd工具：請參見配置資源群組專用網路。

應用情境與配置指南

VPC內雙向互連

包括以下兩種情境：

EAS訪問內網資源：EAS服務需訪問同一VPC內的RDS、Redis等資源。
VPC高速直連：ECS執行個體不經網關直接存取EAS服務。

配置步驟如下：

為EAS配置專用網路：確保EAS服務與目標資源（如ECS、RDS）位於同一個VPC內。
配置安全性群組規則：確保安全性群組規則允許EAS服務與目標資源之間的網路通訊。
將EAS服務的內網IP添加到目標資源白名單中。
如果EAS訪問的目標服務（如資料庫）有IP白名單限制，需將EAS服務的所使用的交換器網段添加至白名單中。
重要
EAS的執行個體是動態調度的，重啟或更新後可能會在新的物理節點上建立新執行個體，並從交換器位址集區中擷取一個新的私網IP地址。因此，依賴IP的存取控制策略應使用交換器網段或安全性群組ID，而不是寫死單個執行個體的IP。
登入Virtual Private Cloud控制台，在交換器頁面查詢到對應IPv4網段。

EAS服務訪問公網

適用於EAS服務需要調用公網API、從公網下載檔案等。

配置步驟如下：

為EAS配置專用網路。
使用公網NAT GatewaySNAT功能訪問互連網：
1. 建立公網NAT Gateway並綁定EIP：進入NAT Gateway控制台，在VPC所在地區建立一個公網NAT Gateway。並為其綁定一個Elastic IP Address（EIP）。此EIP即為EAS服務訪問公網的統一出口IP。
2. 配置SNAT條目：在建立好的NAT Gateway中，建立一條SNAT條目。SNAT條目粒度選擇交換器粒度，交換器選擇為EAS服務配置的交換器。這樣，來自該交換器的所有流量都會通過NAT Gateway訪問公網。
擷取EAS服務公網IP並配置白名單。如果要訪問的目標服務有IP白名單限制，需要將EAS服務的出口公網IP加入其白名單。
登入Virtual Private Cloud控制台，在NAT Gateway > 公網NAT Gateway頁面找到為EAS配置的網關，在詳情中可看到綁定的EIP地址。

生產應用建議

IP地址規劃：關聯VPC前，務必確認所選交換器的可用IP地址數量。EAS的每個執行個體（包括擴縮容過程中的執行個體）都會佔用一個IP，IP不足將導致服務建立或擴容失敗。
安全性群組隔離：為不同服務或不同環境（開發、測試、生產）使用獨立的安全性群組，並遵循最小許可權原則，僅開放必要的連接埠和訪問源。
成本最佳化：
- 使用OSS內網Endpoint：若僅在服務啟動時需要訪問公網（如下載模型），最佳方案是將資源上傳至同地區的OSS，再通過VPC內網Endpoint訪問。這樣可以避免NAT Gateway產生的費用。
- 按需啟停NAT Gateway：若服務啟動成功後不再需要訪問公網，可以暫停或刪除NAT Gateway的相關配置以節省成本。

常見問題

Q: 配置了VPC後，為什麼還是無法訪問其他雲產品？

請按以下順序排查：

網路設定：在EAS服務詳情頁，確認服務已正確關聯到目標資源所在的VPC、交換器。
安全性群組規則：檢查目標資源（如RDS）的安全性群組，確保其入方向規則已授權給EAS服務所使用的安全性群組ID（推薦）或其所在的交換器網段。參見使用安全性群組。
白名單配置：如果目標資源有IP白名單功能，請確認已將正確的EAS服務IP（公網訪問用EIP，內網訪問用交換器網段）添加至白名單。

Q：如何快速驗證服務是否能訪問公網？

可以在服務配置的運行命令中添加 curl 命令用於臨時測試。

說明

服務部署使用的基礎鏡像可能未預裝 curl。若命令執行失敗，請先添加安裝指令。

# 適用於Debian/Ubuntu鏡像
apt-get update && apt-get install -y curl && curl -v https://www.aliyun.com

部署服務後，查看執行個體的即時日誌。如果看到 200 OK 等HTTP狀態代碼和TLS握手成功資訊，則表明公網已連通。