为了满足您在安全隔离与访问控制方面的需求,PAI-EAS提供了专属网关功能。该功能支持灵活的访问方式,包括公网访问、同地域内跨专有网络VPC(Virtual Private Cloud)访问和跨地域VPC访问。本方案将以跨地域VPC为例,为您介绍如何使用云企业网CEN(Cloud Enterprise Network)等方式实现跨VPC访问专属网关。
方案概览
客户已通过CEN、VPC对等连接或其他方式实现跨VPC网络互联,本方案不涉及网络打通操作,仅介绍网络打通后的VPC如何连接到专属网关。实现跨VPC访问专属网关大致分为如下四步:
创建专属网关并绑定VPC:执行相应操作后,系统会为专属网关配置内网访问权限。
为专属网关设置域名生效范围:将其他地域的VPC添加至专属网关的域名生效范围内。
验证连通性:验证其他地域VPC可以通过域名地址访问专属网关。
创建服务并关联专属网关:部署服务时绑定专属网关,其他地域VPC可以通过专属网关访问EAS服务。
前提条件
在执行操作前,您需要完成以下准备工作:
已分别在两个地域(例如北京和杭州)创建专有网络VPC1和VPC2,并为每个VPC创建了交换机。具体操作,请参见创建和管理专有网络和创建和管理交换机。
已通过CEN、VPC对等连接或其他方式实现跨VPC网络互联。具体操作,请参见跨VPC互联概述。
步骤一:创建专属网关并绑定VPC
登录PAI控制台并选择华北2(北京)地域,在左侧导航栏选择,然后在选择工作空间后单击进入EAS。
在模型在线服务(EAS)页面的专属网关页签,新建专属网关。具体操作,请参见服务专属网关。
在专属网关详情页面的专有网络页签,添加专有网络。具体操作,请参见服务专属网关。
其中步骤③选择已在华北2(北京)地域创建的VPC(ID)和交换机。
说明添加专有网络时,如果出现以下报错信息,您需要重新选择一个支持的可用区内的交换机。
Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]当状态为运行中时,表明专有网络已添加成功。
步骤二:为专属网关设置域名生效范围
登录到 云解析DNS控制台,在内网DNS解析(PrivateZone)页面,单击目标用户域名(即已创建的专属网关)操作列下的生效范围设置。
在 域名设置 页签,单击 域名生效范围 处的下拉箭头,在 阿里云VPC内网 设置框内选择在华东1(杭州)地域创建的VPC。
配置完成后,单击 确定 完成域名生效范围的设置。
步骤三:验证连通性
在专属网关详情页面的专有网络页签,查询域名地址。
在步骤二绑定的VPC内的终端机器上,访问该域名地址。
输出如下结果,表明支持跨VPC访问专属网关。
步骤四:创建服务并关联专属网关
部署服务时绑定专属网关
登录PAI控制台并选择华北2(北京)地域,在左侧导航栏选择,然后在选择工作空间后单击进入EAS。
在模型在线服务(EAS)页面,自定义部署模型服务,您需要在服务功能配置区域,选择已创建的专属网关,其他配置说明,请参见服务部署:控制台。
当服务状态为运行中时,表明服务已成功部署。
验证网络连通性
查看服务访问地址。
在服务列表中,单击目标服务名称,进入服务详情页面。
查询服务访问地址。
验证其他地域VPC可以通过专属网关访问EAS服务。
在其他地域VPC的终端机器上,访问上述已查询的服务访问地址(需要将访问地址前端的http://和尾端的/删除),输出如下结果,表明其他地域VPC支持通过专属网关访问EAS服务。
相关文档
关于专属网关的计费说明、使用流程等更详细的内容介绍,请参见服务专属网关。