為了滿足您在安全隔離與存取控制方面的需求,PAI-EAS提供了專屬網關功能。該功能支援靈活的訪問方式,包括公網訪問、同地區內跨Virtual Private Cloud(Virtual Private Cloud)訪問和跨地區VPC訪問。本方案將以跨地區VPC為例,為您介紹如何使用雲企業網CEN(Cloud Enterprise Network)等方式實現跨VPC訪問專屬網關。
方案概覽
客戶已通過CEN、VPC對等串連或其他方式實現跨VPC網路互聯,本方案不涉及網路打通操作,僅介紹網路打通後的VPC如何串連到專屬網關。實現跨VPC訪問專屬網關大致分為如下四步:
建立專屬網關並綁定VPC:執行相應操作後,系統會為專屬網關配置內網存取權限。
為專屬網關設定網域名稱生效範圍:將其他地區的VPC添加至專屬網關的網域名稱生效範圍內。
驗證連通性:驗證其他地區VPC可以通過網域名稱地址訪問專屬網關。
建立服務並關聯專屬網關:部署服務時綁定專屬網關,其他地區VPC可以通過專屬網關訪問EAS服務。
前提條件
在執行操作前,您需要完成以下準備工作:
已分別在兩個地區(例如北京和杭州)建立Virtual Private Cloud1和VPC2,並為每個VPC建立了交換器。具體操作,請參見建立和管理專用網路和建立和管理交換器。
已通過CEN、VPC對等串連或其他方式實現跨VPC網路互聯。具體操作,請參見跨VPC互聯概述。
步驟一:建立專屬網關並綁定VPC
登入PAI控制台並選擇華北2(北京)地區,在左側導覽列選擇,然後在選擇工作空間後單擊進入EAS。
在模型線上服務(EAS)頁面的專屬網關頁簽,建立專屬網關。具體操作,請參見服務專屬網關。
在專屬網關詳情頁面的專用網路頁簽,添加專用網路。具體操作,請參見服務專屬網關。
其中步驟③選擇已在華北2(北京)地區建立的VPC(ID)和交換器。
說明添加專用網路時,如果出現以下報錯資訊,您需要重新選擇一個支援的可用性區域內的交換器。
Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]當狀態為運行中時,表明專用網路已添加成功。
步驟二:為專屬網關設定網域名稱生效範圍
登入到 Alibaba Cloud DNS控制台,在內網DNS解析(PrivateZone)頁面,單擊目標使用者網域名稱(即已建立的專屬網關)操作列下的生效範圍設定。
在 網域名稱設定 頁簽,單擊 網域名稱生效範圍 處的下拉式箭頭,在 阿里雲VPC內網 設定框內選擇在華東1(杭州)地區建立的VPC。
配置完成後,單擊 確定 完成網域名稱生效範圍的設定。
步驟三:驗證連通性
在專屬網關詳情頁面的專用網路頁簽,查詢網域名稱地址。
在步驟二綁定的VPC內的終端機器上,訪問該網域名稱地址。
輸出如下結果,表明支援跨VPC訪問專屬網關。
步驟四:建立服務並關聯專屬網關
部署服務時綁定專屬網關
登入PAI控制台並選擇華北2(北京)地區,在左側導覽列選擇,然後在選擇工作空間後單擊進入EAS。
在模型線上服務(EAS)頁面,自訂部署模型服務,您需要在服務功能配置地區,選擇已建立的專屬網關,其他配置說明,請參見服務部署:控制台。
當服務狀態為運行中時,表明服務已成功部署。
驗證網路連通性
查看服務訪問地址。
在服務列表中,單擊目標服務名稱,進入服務詳情頁面。
查詢服務訪問地址。
驗證其他地區VPC可以通過專屬網關訪問EAS服務。
在其他地區VPC的終端機器上,訪問上述已查詢的服務訪問地址(需要將訪問地址前端的http://和尾端的/刪除),輸出如下結果,表明其他地區VPC支援通過專屬網關訪問EAS服務。
相關文檔
關於專屬網關的計費說明、使用流程等更詳細的內容介紹,請參見服務專屬網關。