部署在Serverless 應用引擎 SAE(Serverless App Engine)上的應用,其業務通常需要擷取公網資源或者跨VPC訪問。本文介紹如何配置NAT Gateway使SAE應用從VPC內網環境訪問公網。
背景資訊
在業務部署過程中,可能會遇到以下需要訪問公網的情境。
容器在運行時需要建立公網依賴。
與第三方有合作,例如使用微信小程式需要訪問公網。
應用需要跨VPC或地區訪問資料庫。
實施方案
為同一VPC下的所有應用執行個體配置一個公用NAT Gateway代理並綁定EIP,通過SNAT功能為VPC內所有無公網IP地址的應用執行個體配置訪問公網代理。
如果VPC內多個vSwitch下的執行個體需要出公網,則針對多個vSwitch都需要配置SNAT。
單個VPC記憶體在多個應用訪問公網,配置代理後僅需綁定1個EIP。
注意事項
如果您的VPC記憶體在多個NAT執行個體,您需要確保VPC內的路由表中的路由規則已綁定SAE所關聯的NAT執行個體。關於修改路由表的操作步驟,請參見建立和管理路由表。
步驟一:建立NAT Gateway
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,單擊建立NAT Gateway。
首次使用NAT Gateway時,在建立公網NAT Gateway頁面關聯角色建立地區,單擊建立關聯角色。角色建立成功後即可建立NAT Gateway。
關於NAT Gateway服務關聯角色的更多資訊,請參見服務關聯角色。
在公網NAT Gateway頁面,配置相關資訊,單擊立即購買。
配置項
說明
付費模式
預設選擇為隨用隨付,即一種先使用後付費的付費模式。
資源群組
選擇VPC所屬的資源群組。
標籤
選擇或輸入完整的標籤鍵與標籤值。最多支援輸入20個索引值對。一個標籤鍵或標籤值最多支援128個字元,不能以
aliyun
和acs:
開頭,不能包含http://
或者https://
。所屬地區
選擇部署在SAE上的應用所在的地區。
所屬專用網路
選擇部署在SAE上的應用所在的VPC ID。建立後不能修改公網NAT Gateway所屬的VPC。
關聯交換器
選擇交換器ID。
計費類型
預設選擇為按使用量計費,即按公網NAT Gateway實際使用量收費。
計費周期
預設選擇為按小時,即按使用量計費公網NAT Gateway的計費周期為1小時,不足1小時按1小時計算。
執行個體名稱
設定公網NAT Gateway執行個體的名稱。
訪問模式
選擇公網NAT Gateway的訪問模式。支援以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT Gateway建立成功後當前VPC內所有執行個體即可通過該公網NAT Gateway訪問公網。
選擇VPC全通模式(SNAT)後,您需要配置EIP的相關資訊。
稍後配置:如需稍後配置或有更多配置需求,可在購買完成後,前往控制台進行配置。
選擇稍後配置,則只購買公網NAT Gateway執行個體。
本文選擇VPC全通模式(SNAT)。
Elastic IP Address
選擇公網NAT Gateway的EIP。支援以下兩種模式:
選擇已有:在在彈性網關IP執行個體下拉式清單中選擇已有的EIP執行個體綁定到公網NAT Gateway執行個體的EIP。
新購Elastic IP Address:在公網NAT Gateway執行個體地區新購隨用隨付EIP執行個體。
說明從2022年09月19日起,新建立的公網NAT Gateway綁定一個Elastic IP Address(Elastic IP Address,簡稱EIP)時將佔用NAT Gateway所在交換器的一個私網IP ,請確保NAT Gateway所在交換器內私網IP地址充足,如果NAT Gateway所在的交換器沒有可用的空閑私網地址時,將無法綁定新的EIP。
在確認訂單頁面,仔細確認公網NAT Gateway的配置資訊,選中服務合約並單擊確認訂單。
當出現恭喜,購買成功!的提示後,說明已建立成功。您可以在公網NAT Gateway頁面查看已建立的公網NAT Gateway執行個體以及綁定的EIP。
步驟二:建立SNAT條目
建立SNAT條目,為專用網路中沒有公網IP地址的應用執行個體,提供訪問公網代理服務。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT。
在SNAT管理頁簽,單擊建立SNAT條目。
在建立SNAT條目頁面,配置相關資訊,單擊確定建立。
配置項
說明
SANT條目粒度
選擇交換器粒度。
選擇交換器
選擇VPC中的交換器,該交換器下所有的應用執行個體均可通過SNAT功能進行公網訪問。
說明如果持有公網IP的應用執行個體(例如已經綁定了EIP)發起互連網訪問,系統將優先使用其持有的公網IP地址,而不會使用NAT Gateway的SNAT功能。
交換器網段
選擇交換器後,該地區會自動顯示該交換器的網段。
選擇公網IP地址
選擇用來提供互連網訪問的公網IP地址。
說明您建立SNAT條目的公網IP地址不能再用來建立SNAT條目。
條目名稱
輸入自訂的條目名稱。
建立成功後,在SNAT條目列表查看已配置的SNAT條目。