全部产品
Search

搜索本产品

    人工智能平台 PAI:全托管专属网关

    文档中心

    人工智能平台 PAI:全托管专属网关

    更新时间:May 18, 2026

    共享网关因带宽共享且访问策略固定,难以满足高并发业务对隔离性和弹性的高要求。为此,EAS提供了全托管专属网关,它提供灵活的公网或内网访问控制、支持自定义域名,并独享带宽,保障服务的稳定与可靠。

    核心特性

    • 访问控制:通过白名单控制公网和内网访问。

    • 自定义域名访问:支持配置自定义域名和证书提供对外服务。

    • 跨账号VPC访问:支持跨账号的同地域VPC内服务器通过内网地址访问EAS服务。

    • 权威域名解析:支持网关域名权威解析,跨云、线下IDC机房调用EAS服务时使用,需与阿里云网络打通。

    计费说明

    1. 新建全托管专属网关

    1. 登录PAI控制台,在页面上方选择目标地域,并在右侧选择目标工作空间,然后单击进入EAS

    2. 推理网关页签,单击新建专属网关,选择全托管专属网关

    3. 在EAS专属网关付费页面,配置参数。请参考附录:服务专属网关容量说明选择网关规格,以保证服务的稳定性。

    4. 参数配置完成后,单击立即购买。按照界面操作指引确认订单并完成支付。

      您可以在推理网关列表中查看已购买的全托管专属网关,当状态运行中时,即可使用该全托管专属网关。

    说明

    • 全托管专属网关新建之后支持更新网关规格和网关节点数,更改后大约需3~5分钟生效。

    • 可以将某个专属网关设置为默认网关。后续在部署服务时,系统将自动选择它。

    2. 服务绑定专属网关

    以通过控制台自定义部署一个新服务为例,操作如下。对于已部署的服务,可通过服务更新操作来修改其绑定的网关。

    1. 登录PAI控制台,在页面上方选择目标地域,并在右侧选择目标工作空间,然后单击进入EAS

    2. 推理服务页签,单击部署服务,然后在自定义模型部署区域,单击自定义部署

    3. 网络信息区域,选择专属网关,并下拉选择已创建的专属网关。

    3. 开通网络访问

    3.1 配置公网访问

    1. 推理网关页签,单击目标全托管专属网关名称进入详情页面。

    2. 网关访问控制区域的公网页签,打开访问入口开关。当状态为已开通时,表明已为全托管专属网关开启公网访问通道。

    3. 默认公网均不可访问全托管专属网关,单击添加白名单,填入允许访问的公网IP地址段(例如192.0.2.0/24)。

      • 每个条目之间使用半角逗号(,)或换行符分隔。

      • 如需设置公网均可访问,则添加0.0.0.0/0地址段。最多支持添加15个地址段。

    4. 验证全托管专属网关公网访问连通性。

      1. 公网页签,查询域名地址。在网关访问控制页面,单击公网页签,查看域名地址(格式如 gw-c***s.aliyuncs.com),确认访问入口状态为已开通

      2. 在白名单地址段那的设备上访问该域名地址,输出如下结果,表明连通性正常。

        C:\Users\xxx>ping gw-cxxx.cn-beijing.pai-eas.aliyuncs.com

正在 Ping nlb-w0ncxxx.cn-beijing.nlb.aliyuncs.com [xxx] 具有 32 字节的数据:
来自 xxx 的回复: 字节=32 时间=24ms TTL=89
来自 xxx 的回复: 字节=32 时间=29ms TTL=89
来自 xxx 的回复: 字节=32 时间=24ms TTL=89
来自 xxx 的回复: 字节=32 时间=24ms TTL=89

xxx 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 24ms,最长 = 29ms,平均 = 25ms

    5. 如需关闭公网访问,在公网页签,关闭访问入口开关。

      在本地终端中,访问该域名地址,输出如下结果,表明该网关的公网访问通道关闭。 

      C:\Users\xxx> ping gw-ccqv77ddlxxx-xxx.cn-beijing.pai-eas.aliyuncs.com

正在 Ping gw-ccq xxx cn-beijing.pai-eas.aliyuncs.com [47.xxx.xxx.xxx] 具有 32 字节的数据:
来自 xxx 的回复: 字节=32 时间=26ms TTL=89
来自 xxx 的回复: 字节=32 时间=26ms TTL=89
来自 xxx 的回复: 字节=32 时间=27ms TTL=89
来自 xxx 的回复: 字节=32 时间=26ms TTL=89

47.xxx.xxx.xxx 的 Ping 统计信息:
    数据包: 已发送 = 4, 已接收 = 4, 丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 26ms, 最长 = 27ms, 平均 = 26ms
      (base) niki@xxx ~ % telnet gw-ccqxxx.cn-beijing.pai-eas.aliyuncs.com 80
Trying 47.xx.xx.xxx...
telnet: connect to address 47.xx.xx.xxx: Bad file descriptor
telnet: Unable to connect to remote host

    3.2 配置内网访问

    1. 推理网关页签,单击目标全托管专属网关名称进入详情页面。

    2. 网关访问控制区域的专有网络页签,单击添加专有网络,选择需要连通的VPC及交换机。

      • 支持跨账号添加同地域VPC。添加账号B的VPC后(账号B需开通PAI-EAS、Privatelink、PrivateZone),该VPC内服务器能通过VPC地址访问使用该专属网关的EAS服务。

        说明

        此为白名单功能,如有需要请提工单。

        添加专有网络对话框中,填写所属UID(跨账号场景填写目标账号的 UID)、VPC (ID)交换机 ID。交换机需位于网关支持的可用区内(例如 cn-hangzhou-j、cn-hangzhou-k、cn-hangzhou-i)。可根据需要开启权威域名解析开关,完成后单击确定

      • 支持网关域名权威解析。跨云、线下IDC机房调用EAS服务时使用,需提前和阿里云网络打通。目前只能在一个专有网络的配置中使用权威域名解析。

    3. 添加VPC时,系统默认配置0.0.0.0/0的白名单,表示允许该VPC内所有IP访问。您可根据需要修改白名单

    4. 验证专属网关的内网访问连通性。

      1. 专有网络页签,查询域名地址。在访问控制页面,选择专有网络页签,获取域名地址栏中的网关域名(格式如gw-xxx.eas.aliyuncs.com)。

      2. 在专有网络内的终端机器上,访问该域名地址,输出如下结果,表明连通性正常。

        说明

        在专有网络内,所有可用区都可以通过配置白名单访问专属网关,不局限于添加到专属网关的交换机可用区。

        [root@iZ2xxx ~]# ping gw-567lydxxx-vpc.cn-beijing.pai-eas.aliyuncs.com
PING ep-2zeixxx.epsrv-2zemwo87lxxx.cn-beijing.privatelink.aliyuncs.com (192.xxx.xxx.xxx) 56(84) bytes of data.
64 bytes from 192.xxx.xxx.11: icmp_seq=1 ttl=102 time=1.11 ms
64 bytes from 192.xxx.xxx.11: icmp_seq=2 ttl=102 time=1.05 ms
64 bytes from 192.xxx.xxx.11: icmp_seq=3 ttl=102 time=0.572 ms
64 bytes from 192.xxx.xxx.11: icmp_seq=4 ttl=102 time=0.515 ms
64 bytes from 192.xxx.xxx.11: icmp_seq=5 ttl=102 time=0.519 ms
64 bytes from 192.xxx.xxx.11: icmp_seq=6 ttl=102 time=0.514 ms
64 bytes from 192.xxx.xxx.11: icmp_seq=7 ttl=102 time=0.508 ms
^C
--- ep-2zeixxx.epsrv-2zemwo87lxxx.cn-beijing.privatelink.aliyuncs.com ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6111ms
rtt min/avg/max/mdev = 0.508/0.682/1.107/0.252 ms

    5. 如需关闭专有网络访问,在专有网络列表中,单击交换机操作列下的删除

      在专有网络内的终端机器上,访问该域名地址,输出如下结果,表明专属网关的内网访问通道已关闭。

      [root@iZ2zef8xxx ~]# ping gw-xxx-vpc.cn-beijing.pai-eas.aliyuncs.com
PING ep-2zei6xxxlcb.epsrv-2zeute2zixxx.cn-beijing.privatelink.aliyuncs.com (1xxx) 56(84) bytes of data.
      [root@iZ2zcr0StvqwCommduccSU ~]# telnet gw-ccqvxxx-vpc.cn-beijing.pai-eas.aliyuncs.com 80
Trying 1xxx...

    4. 测试服务调用

    1. 推理服务页签,找到目标服务,在服务方式列单击调用信息

    2. 专属网关页签,获取公网调用地址VPC调用地址Token

    3. 使用curl命令发起请求,验证返回数据是否正常。

      • 公网调用:在任何可访问公网的机器上执行。

      • 内网调用:在专有网络内的终端机器上执行。

      curl <接口URL> -H'Authorization:<token>'

      测试接口为GET请求,无参,期望返回True。

    5. 配置自定义域名

    1.(可选)准备SSL证书

    如果使用HTTPS协议访问服务,需先在数字证书管理服务中维护自定义域名的SSL证书。

    1. 登录数字证书管理服务控制台,选择SSL证书管理

    2. 选择购买证书或上传已有证书,详情请参见购买SSL证书上传SSL证书

    2. 配置定义域名

    配置公网自定义域名

    1. 在专属网关详情页面,切换到域名页签,单击创建域名,按照以下说明进行配置。

      在弹出的 创建域名 面板中,访问方式 选择 公网专有网络,在 域名 输入框中填写自定义域名,然后在 证书 下拉列表中选择已在数字证书管理服务中维护的 SSL 证书。若无可用证书,可单击 购买/上传证书 前往证书管理页面创建。

      说明

      • 如果服务已经使用该专属网关部署,公网自定义域名设置成功之后,需等待一会儿(5分钟以内)才生效。

      • 请查看服务调用信息,确认公网调用地址的域名已显示为网关中配置的公网自定义域名。

    2. 配置公网域名解析

      1. 在专属网关的网关详情页签,查看专属网关的公网域名地址。

        网关访问控制页面,单击公网页签,查看域名地址(格式如 gw-c***s.aliyuncs.com),确认访问入口状态为已开通

      2. 为公网自定义域名添加CNAME解析记录,将其指向专属网关公网域名。

      阿里云公网权威域名解析请参见域名管理添加解析记录
    配置内网自定义域名

    1. 在专属网关详情页面,切换到域名页签,单击创建域名。参考如下配置。

      配置访问方式专有网络,在域名输入框中填写自定义域名(例如www.test.com),按需在证书下拉框中选择已在数字证书管理服务中维护的SSL证书,然后单击确定

    2. 如果服务已经使用该专属网关部署,在内网自定义域名设置成功之后,需要等待一会儿(5分钟以内),查看服务调用信息,如果调用信息中VPC调用地址中的域名已经为网关中配置的私网域名,则域名已经生

    监控与告警

    为保障全托管网关的服务稳定性并及时发现运行异常,建议开启日志、监控与告警。

    操作步骤

    1. 开启日志、监控与告警。在网关详情页的日志监控告警页签,按照页面指引进行开启。

    2. 创建告警策略:成功开启告警功能后,页面将显示创建EAS专属网关告警策略按钮,单击该按钮。 参见管理告警规则,为该网关创建告警规则。

      重要

      告警内容中用于标识网关的变量 {{$labels.envoy_clusterid}}显示的是内部ID,不包含您自定义的网关名称,这使得在收到告警时难以快速定位到具体网关。为方便识别,强烈建议您在创建告警规则时,手动修改通知模板,将该变量替换或补充为易于辨识的网关名称。在告警内容中填写告警模板,例如:PAI-EAS专属网关 {{$labels.envoy_clusterid}} 的节点({{$labels.pod_name}}) CPU使用率超过 {{ $labels.metrics_params_value }},当前值 {{ printf "%.2f" $value }}%。其中 {{$labels.envoy_clusterid}} 表示专属网关集群ID。

    告警指标详解

    指标名称

    精确定义与计算公式

    推荐阈值与场景建议

    EAS专属网关CPU使用率

    网关实例(Pod)的CPU使用率百分比。

    建议: 持续 5 分钟 > 85%
    场景: 持续高位表明网关资源接近瓶颈,可能需要扩容。

    EAS专属网关内存使用率

    网关实例(Pod)的内存使用率百分比。

    建议: 持续 5 分钟 > 85%
    场景: 持续高位可能导致OOMKilled,影响网关稳定性。

    EAS专属网关整体正确率

    (HTTP状态码为2xx的请求数 / 总请求数) * 100%

    建议: 持续 1 分钟 < 99.9%
    场景: 核心可用性指标,下跌通常意味着后端服务或网关配置出现严重问题。

    EAS专属网关证书到期

    监控网关上配置的HTTPS证书的剩余有效天数。

    建议: 剩余天数 < 15
    场景: 避免因证书过期导致HTTPS服务中断。

    EAS专属网关请求4xx/5xx占比

    (4xx或5xx请求数 / 总请求数) * 100%。建议分别配置4xx和5xx告警。

    5xx建议: 持续 1 分钟 > 1%
    4xx建议: 持续 5 分钟 > 5%
    场景: 5xx激增表明服务端严重错误;4xx激增可能表示客户端调用异常或鉴权问题。

    EAS专属网关请求平均RT

    单位为毫秒(ms),统计周期内所有请求响应时间的平均值。

    建议: 根据业务基线设定,如 持续 3 分钟 > 200ms
    场景: RT升高直接影响用户体验,需关注。

    EAS专属网关请求量同比昨日

    当前时间点N分钟内的请求量与昨日同一时间点N分钟内的请求量对比的百分比变化。

    建议: 持续 10 分钟 < -50% 或 > 200%
    场景: 用于发现流量的突降(可能服务异常)或突增(可能遭受攻击或活动流量)。

    EAS专属网关请求限流

    统计周期内被网关限流策略拒绝的请求总数。

    建议: 1分钟内 > 10 次
    场景: 频繁触发限流说明流量超出预期,需评估是否需要调整限流策略或扩容。

    注意事项

    当服务使用专属网关时,弹性伸缩不支持从0进行扩容,即最小副本数需设置为大于0。

    常见问题

    Q:添加专有网络报错Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]

    选择的交换机所属可用区不符合要求。请重新选择一个支持的可用区内的交换机。

    附录:全托管专属网关网络结构

    image