當EAS服務需要調用公網API、從公網下載檔案、串連 RDS 資料庫或訪問其他外部服務時,需為其配置Virtual Private Cloud以實現網路連通。
工作原理
為EAS服務配置VPC後,系統會為服務的每個執行個體建立一個彈性網卡(ENI),並佔用指定交換器的一個私網IP地址,使服務執行個體獲得VPC內的網路身份,從而實現與VPC內其他資源的網路互連,或通過VPC內的NAT Gateway訪問公網。
計費說明
為EAS服務配置VPC本身不產生費用,但用於訪問公網的NAT Gateway和Elastic IP Address (EIP)均為付費產品,計費詳情請參見NAT Gateway計費和 EIP計費概述。
開始之前:網路規劃與準備
請在配置前規劃網路連接方式,並準備好所需的VPC、交換器和安全性群組。如需建立,請參見建立專用網路與交換器、使用安全性群組。
操作步驟
步驟1:為EAS服務配置專用網路
為EAS服務配置專用網路是實現內網互連或公網訪問的基礎。EAS支援在服務等級和資源群組層級配置VPC:
服務等級:為單個服務指定VPC,優先順序最高。
資源群組層級:為使用專屬資源群組部署的服務設定預設VPC。若服務等級和資源群組層級同時配置,以服務等級為準。
服務等級配置
通過控制台配置
建立或更新服務時,在网络信息地區,進行專用網路配置。下拉選擇專用網路之後,再配置交換器和安全性群組。
通過eascmd用戶端工具配置
在服務的JSON設定檔中添加或修改
cloud.networking欄位,填入VPC、交換器和安全性群組ID。專用網路相關的欄位樣本如下:{ "cloud": { "networking": { "vpc_id": "your-vpc-id", "vswitch_id": "your-switch-id", "security_group_id": "your-security-group-id" } } }可以在Virtual Private Cloud控制台的專用網路、交換器列表頁和ECS控制台-安全性群組頁面分別找到對應的ID。
參見命令使用說明,使用
create或modify命令建立服務或修改服務配置。
資源群組層級配置
控制台:在资源组頁面,對整個資源群組統一配置VPC資訊。選擇目標資源群組,單擊操作列的开启VPC配置。
使用eascmd工具:請參見配置資源群組專用網路。
步驟2:配置公網NAT Gateway與SNAT條目(僅適用於公網訪問)
如果EAS服務需要訪問互連網,需藉助NAT Gateway和EIP。詳情請參見使用公網NAT GatewaySNAT功能訪問互連網。
建立公網NAT Gateway並綁定EIP:前往NAT Gateway - 公網 NAT Gateway購買頁,選擇EAS服務所在的地區和VPC,並為其綁定一個EIP。此EIP將作為EAS服務訪問公網的統一出口IP。
配置SNAT條目:在已建立的NAT Gateway中,建立一條SNAT條目。將SNAT條目粒度選擇為VPC粒度。這樣,該VPC內發往公網的流量將通過此NAT Gateway發出。
步驟3:配置白名單(可選)
如果目標服務(無論是內網還是公網)開啟了IP或安全性群組白名單限制,需要將EAS服務的IP位址區段或者安全性群組ID添加到目標服務的白名單中。下文說明如何擷取EAS服務的內網和公網IP地址。
擷取內網IP地址
EAS的執行個體是動態調度的,重啟或更新後可能會在新的物理節點上建立新執行個體,並從交換器位址集區中擷取一個新的私網IP地址。因此,依賴IP的存取控制策略應使用交換器網段,而不是寫死單個執行個體的IP。
登入Virtual Private Cloud控制台,在交換器頁面查詢到對應IPv4網段。
擷取公網IP地址
登入Virtual Private Cloud控制台,在頁面找到為EAS配置的網關,在Elastic IP Address列可看到綁定的EIP地址。
生產應用建議
IP地址規劃:為EAS服務規劃獨立的、IP數量充足的交換器。所需IP數至少應為
穩定運行執行個體數 + 變換時額外執行個體數 + 預留緩衝IP。IP不足將導致服務建立或擴容失敗。安全性群組隔離:為不同服務或不同環境(開發、測試、生產)使用獨立的安全性群組,並遵循最小許可權原則,僅開放必要的連接埠和訪問源。
成本最佳化:若EAS服務需要訪問公網下載模型或檔案,最佳方案是將資源上傳至同地區的OSS,在部署時掛載OSS。這樣可以避免使用公網產生費用。
常見問題
Q:為什麼EAS預設無法訪問公網?
EAS 服務預設限制公網訪問,主要是出於安全性和穩定性考慮。公網出口頻寬在共用環境中容易被濫用,且頻寬資源存在不確定性與波動,這會直接影響服務的效能表現和可用性。如有需要時可自行配置專用網路的公網訪問。
Q:如何快速驗證服務能否訪問公網?
可以在服務配置的运行命令中添加網路測試指令,如curl -I -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/120.0.0.0" --connect-timeout 5 https://www.aliyun.com。
部署後查看執行個體的即時日誌,如果看到 200 等狀態代碼,則表示公網已連通。
Q: 配置了VPC後,為何仍無法內網訪問 VPC 內的雲產品?
請按以下順序排查:
VPC配置:確認 EAS 服務與目標服務處於同一個 VPC 內。
安全性群組規則:確認EAS服務配置的安全性群組出方向規則允許其訪問目標服務。
目標雲產品的訪問限制:如果目標雲產品通過IP白名單或者安全性群組限制外部存取,請確認已正確添加EAS服務所在的交換器網段或安全性群組。
Q:配置了 NAT Gateway,為何服務仍無法訪問公網?
請按以下順序排查:
SNAT 規則:確認 SNAT 條目中的交換器與部署 EAS 服務時指定的交換器一致。
VPC 路由表:在 VPC 控制台檢查路由條目列表,確認存在一條目標網段為
0.0.0.0/0、下一跳指向 NAT Gateway的路由。安全性群組出方向規則:確認 EAS 服務所在安全性群組的出方向規則允許所有公網訪問(預設為
0.0.0.0/0允許)。