共用網關因頻寬共用且存取原則固定,難以滿足高並發業務對隔離性和彈性的高要求。為此,EAS提供了專屬網關,它提供靈活的公網或內網存取控制、支援自訂網域名,並獨享頻寬,保障服務的穩定與可靠。
概述與選型
EAS提供以下兩種專屬網關:
應用型專屬網關(ALB):基於應用型負載平衡ALB實現七層流量管理,支援HTTP(S)協議,具備自動彈性、安全可靠、智能路由等特性。
重要推薦在生產環境中使用應用型專屬網關(ALB),以獲得更好的效能、穩定性和擴充性。
全託管專屬網關:EAS原有的專屬網關。在PAI控制台即可完成網路設定及自訂網域名等多種網關訴求。網路結構原理如圖所示:
當服務使用專屬網關時,Auto Scaling不支援從0進行擴容,即最小執行個體數需設定為大於0。
計費說明
應用型專屬網關(ALB):費用來自關聯的ALB執行個體,詳情請參見ALB計費規則。
全託管專屬網關:
網關本身支援隨用隨付和訂用帳戶兩種計費方式,詳情請參見模型線上服務(EAS)計費說明。
若通過內網訪問,會產生額外的私網串連(PrivateLink)費用,包括執行個體費和流量處理費,計費詳情請參見私網串連(PrivateLink)計費說明。
若通過公網訪問,服務過程中產生的公網流量費通過CDT雲資料轉送計費收取,詳見CDT控制台。
一、建立並配置專屬網關
【推薦】應用型專屬網關(ALB)
1.1 建立ALB網關
首先,需要建立一個網關的邏輯配置,此步驟不會產生實際的雲資源和費用。
登入PAI控制台,在頁面上方選擇目標地區,並在右側選擇目標工作空間,然後單擊進入EAS。
在推理网关頁簽,單擊新建专属网关,並選擇应用型专属网关(ALB)。
系統會檢查您的服務關聯角色許可權。若未開通,請根據提示完成授權。
輸入網關名稱,然後單擊提交。
1.2 建立並關聯ALB執行個體以開通網路訪問
建立網關後,需為其開通內網或公網訪問。此操作會自動在您的賬戶下建立並關聯一個 ALB 執行個體,並開始計費。
應用型專屬網關(ALB)開通公網和內網訪問需選擇相同的VPC,並且使用該網關部署的EAS服務也需配置相同的VPC。
在推理网关頁簽的列表中,單擊剛建立的 ALB 網關名稱,進入詳情頁。
在网关访问控制地區,可以看到专有网络和公网兩個頁簽。
開通專用網路(內網)訪問
在专有网络頁簽下,單擊添加专有网络。
在彈出的配置抽屜中,選擇符合業務規劃的 VPC和交換器。為確保高可用,請選擇至少兩個不同可用性區域的交換器,每個可用性區域只能選擇一個交換器。
重要如果該網關已開通公網訪問,則此處選擇的Virtual Private Cloud必須與之保持一致。
單擊确定。系統將開始建立 ALB 執行個體。
開通公網訪問
切換到公网頁簽,單擊开通公网。
在彈出的配置抽屜中,選擇符合業務規劃的 VPC和交換器。為確保高可用,請選擇至少兩個不同可用性區域的交換器,每個可用性區域只能選擇一個交換器。
重要如果該網關已開通專用網路訪問,則此處選擇的Virtual Private Cloud必須與之保持一致。
單擊确定。系統將開始建立 ALB 執行個體。
全託管專屬網關
全託管專屬網關支援以下功能:
存取控制:通過白名單控制公網和內網訪問。
自訂網域名訪問:支援配置自訂網域名和認證提供對外服務。
跨帳號VPC訪問:支援跨帳號的同地區VPC內伺服器通過內網地址訪問EAS服務。
權威網域名稱解析:支援網關網域名稱權威解析,跨雲、線下IDC機房調用EAS服務時使用,需與阿里雲網路打通。
1.1 建立全託管專屬網關
登入PAI控制台,在頁面上方選擇目標地區,並在右側選擇目標工作空間,然後單擊進入EAS。
在推理网关頁簽,單擊新建专属网关,選擇全托管专属网关。
在EAS專屬網關付費頁面,配置參數。請參考附錄:專屬網關容量說明選擇網關規格,以保證服務的穩定性。
參數配置完成後,單擊立即購買。按照介面操作指引確認訂單並完成支付。
您可以在推理網關列表中查看已購買的全託管專屬網關,當状态為运行中時,即可使用該全託管專屬網關。
全託管專屬網關建立之後支援更新網關規格和網關節點數,更改後大約需3~5分鐘生效。
1.2 配置存取控制
在推理网关頁簽,單擊目標全託管專屬網關名稱進入詳情頁面,在网关访问控制地區進行配置。
公網存取控制
在公网頁簽,開啟访问入口開關。當狀態為已开通時,表明已為全託管專屬網關開啟公網訪問通道。
預設公網均不可訪問全託管專屬網關,您需要單擊添加白名单,填入允許訪問的公網IP位址區段(例如192.0.2.0/24)。
每個條目之間使用半形逗號(,)或分行符號分隔。
如需設定公網均可訪問,則添加0.0.0.0/0位址區段。最多支援添加15個位址區段。
驗證全託管專屬網關公網訪問連通性。例如添加的白名單位址區段為本地裝置的公網IP地址。
在公网頁簽,查詢域名地址。
在本地終端中,訪問該網域名稱地址,輸出如下結果,表明支援白名單位址區段通過公網訪問該專屬網關。
關閉全託管專屬網關公網訪問通道。
在公网頁簽,關閉访问入口開關,即可關閉該網關公網存取權限。
在本地終端中,訪問該網域名稱地址,輸出如下結果,表明該網關的公網訪問通道關閉。
內網存取控制
在专有网络頁簽,單擊添加专有网络,選擇需要連通的VPC及交換器。
支援跨帳號添加同地區VPC。添加帳號B的VPC後,該VPC內伺服器能通過VPC地址訪問使用該專屬網關的EAS服務。
說明此為白名單功能,如有需要請提工單。
支援網關網域名稱權威解析。跨雲、線下IDC機房調用EAS服務時使用,需提前和阿里雲網路打通。目前只能在一個專用網路的配置中使用權威網域名稱解析。
添加VPC時,系統會預設在該VPC上配置一個0.0.0.0/0的白名單,表示允許該VPC內所有IP訪問。您可根據需要修改白名单。
驗證專屬網關的內網訪問連通性。
在专有网络頁簽,查詢域名地址。
在專用網路內的終端機器上,訪問該網域名稱地址,輸出如下結果,表明支援白名單位址區段通過內網訪問專屬網關。
說明在專用網路內,所有可用性區域都可以通過配置白名單訪問專屬網關,不局限於添加到專屬網關的交換器可用性區域。
關閉專屬網關的專用網路訪問通道。
您可以在專用網路列表中,單擊交换机操作列下的刪除,即可關閉專屬網關的專用網路存取權限。
在專用網路內的終端機器上,訪問該網域名稱地址,輸出如下結果,表明專屬網關的內網訪問通道已關閉。
1.3 配置自訂網域名
(可選)數位憑證管理。如果您使用HTTPS協議來訪問服務,需先在數位憑證管理服務中維護自訂網域名的SSL認證才能在專屬網關中進行設定。
登入數位憑證管理服務控制台,選擇SSL證書管理。
網域名稱沒有認證可以選擇購買認證,或者上傳已有的認證,詳情請參見購買SSL認證和上傳SSL認證。
配置公網和內網自訂網域名。
配置公網自訂網域名
在專屬網關詳情頁面,切換到域名頁簽,單擊创建域名,參考下圖進行配置。
如果服務已經使用該專屬網關部署,在公網自訂網域名設定成功之後,需要等待一會兒(5分鐘以內)才生效。查看服務調用資訊,如果公網調用地址的網域名稱已經為網關中配置的公網自訂網域名,則公網自訂網域名已經生效。
配置公網網域名稱解析。為公網自訂網域名添加CNAME解析記錄,將其指向專屬網關公網網域名稱。
在專屬網關的网关详情頁簽,查看專屬網關的公網網域名稱地址。
以阿里雲權威網域名稱解析為例(其它雲廠商類似)。登入阿里雲DNS解析控制台,在權威網域名稱頁簽找到自訂網域名(非阿里雲註冊網域名稱需手動添加網域名稱),單擊進入解析設定頁面,單擊添加記錄。其中記錄類型選擇CNAME,主機記錄為自訂網域名,記錄值填寫步驟a中的專屬網關公網網域名稱。詳情請參見添加網域名稱和添加解析記錄。
配置內網自訂網域名
在專屬網關詳情頁面,切換到域名頁簽,單擊创建域名。參考如下配置。
如果服務已經使用該專屬網關部署,在內網自訂網域名設定成功之後,需要等待一會兒(5分鐘以內),查看服務調用資訊,如果調用資訊中VPC調用地址中的網域名稱已經為網關中配置的私網網域名稱,則網域名稱已經生效。
可以將某個專屬網關設定為預設閘道。後續在部署服務時,系統將自動選擇它。
二、服務綁定專屬網關
以通過控制台自訂部署一個新服務為例,操作如下。對於已部署的服務,可通過服務更新操作來修改其綁定的網關。
登入PAI控制台,在頁面上方選擇目標地區,並在右側選擇目標工作空間,然後單擊進入EAS。
在推理服務頁簽,單擊部署服務,然後在自定义模型部署地區,單擊自定义部署。
在网络信息地區,選擇专属网关,並下拉選擇已建立的專屬網關。
重要如果使用應用型專屬網關(ALB),服務必須配置與網關相同的專用網路。
三、測試服務調用
在推理服务頁簽,在目標服務的服务方式列單擊调用信息,在专属网关頁簽,能查詢公网调用地址、VPC调用地址和Token。
使用curl命令發起請求,驗證返回資料是否正常。
公網調用:可以在本地終端中執行。
內網調用:在專用網路內的終端機器上執行。
curl <介面URL> -H'Authorization:<token>'下圖測試介面為GET請求,無參,期望返回True。
監控與警示配置
應用型專屬網關(ALB)
大部分進階網路設定和監控功能,請前往應用型負載平衡ALB控制台進行統一管理,以獲得最大的靈活性。
全託管專屬網關
為保障全託管網關的服務穩定性並及時發現運行異常,建議您為其開啟日誌、監控與警示。
操作步驟
開啟日誌、監控與警示。在網關詳情頁的日志、监控和告警頁簽,按照頁面指引進行開啟。
建立警示策略:成功開啟警示功能後,頁面將顯示建立EAS專屬網關警示策略按鈕,單擊該按鈕。 參見管理警示規則,為該網關建立警示規則。
重要警示內容中用於標識網關的變數
{{$labels.envoy_clusterid}}顯示的是內部ID,不包含您自訂的網關名稱,這使得在收到警示時難以快速定位到具體網關。為方便識別,強烈建議您在建立警示規則時,手動修改通知模板,將該變數替換或補充為易於辨識的網關名稱。
警示指標詳解
指標名稱 | 精確定義與計算公式 | 推薦閾值與情境建議 |
EAS專屬網關CPU使用率 | 網關執行個體(Pod)的CPU使用率百分比。 | 建議: |
EAS專屬網關記憶體使用量率 | 網關執行個體(Pod)的記憶體使用量率百分比。 | 建議: |
EAS專屬網關整體正確率 |
| 建議: |
EAS專屬網關認證到期 | 監控網關上配置的HTTPS認證的剩餘有效天數。 | 建議: |
EAS專屬網關請求4xx/5xx佔比 |
| 5xx建議: |
EAS專屬網關請求平均RT | 單位為毫秒(ms),統計周期內所有請求回應時間的平均值。 | 建議: 根據業務基準設定,如 |
EAS專屬網關請求量同比昨日 | 目前時間點N分鐘內的請求量與昨日同一時間點N分鐘內的請求量對比的百分比變化。 | 建議: |
EAS專屬網關請求限流 | 統計周期內被網關限流策略拒絕的請求總數。 | 建議: |
常見問題
添加專用網路報錯:
Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]選擇的交換器所屬可用性區域不符合要求。請重新選擇一個支援的可用性區域內的交換器。
相關文檔
瞭解更多服務接入方式,請參見服務調用概覽。
合理的專屬網關逾時配置能有效防止資源耗盡和請求堆積,並提升使用者體驗。具體配置方法,請參見專屬網關逾時時間設定說明。