为了满足您在安全隔离与访问控制方面的需求,EAS提供了专属网关功能。通过专属网关,您可以灵活地进行网络配置,支持为专有网络和公网配置访问白名单。此外,专属网关还可以帮助您降低高并发和高吞吐业务场景带来的网络风险。本文将介绍如何使用专属网关。
计费说明
专属网关的计费方式为按量计费,计费详情请参见模型在线服务(EAS)计费说明。此外,使用专属网关还会产生额外的私网连接(PrivateLink)费用,包括实例费和流量处理费,计费详情请参见私网连接(PrivateLink)计费说明。
使用流程
为专属网关开启公网访问入口并添加相应白名单后,您将可以通过公网域名访问该专属网关。
为专属网关配置专有网络并添加相应白名单后,专有网络内的设备将能够通过专有网络域名访问该专属网关。
步骤一:新建专属网关
进入模型在线服务(EAS)页面。
登录PAI控制台。
在左侧导航栏单击工作空间列表,在工作空间列表页面中单击待操作的工作空间名称,进入对应的工作空间。
在工作空间页面的左侧导航栏选择,进入模型在线服务(EAS)页面。
切换到专属网关页签,然后单击新建专属网关。
在EAS专属网关后付费页面,配置以下参数。
参数
描述
地域
参考界面提示选择专属网关所属地域。
专属网关名称
自定义专属网关名称。
网关规格
选择专属网关规格,取值如下:
2核4G
4核8G
8核16G
16核32G
参考附录:服务专属网关容量说明,选择相应的网关规格。选择规格后,您可以在页面右下方查看每种规格对应的单价信息。
网关节点数
配置网关节点数量,最少配置2个节点。
参数配置完成后,单击立即购买。
在确认订单页面,勾选服务协议后,单击立即开通。
您可以在专属网关列表中查看已购买的专属网关,当状态为运行中时,即可使用该专属网关。
步骤二:为专属网关配置网络访问权限
配置公网访问
开通公网访问。
在专属网关页面,单击专属网关名称,进入专属网关详情页面。
在网关访问控制区域,单击公网。
打开访问入口开关,然后在开启公网访问入口对话框中,单击确定。
当状态为已开通时,表明已为专属网关开启公网访问通道。
配置公网访问白名单。
当公网访问入口状态为已开通时,默认公网均不可访问专属网关,您需要按照以下操作步骤添加访问白名单地址段:
在公网页签,单击添加白名单。
在添加白名单配置面板,配置以下参数,参数配置完成后,单击确认。
参数
描述
地址段
输入允许公网访问的地址段,例如192.0.2.0/24。每个条目之间使用半角逗号(,)或换行符分隔。如需设置公网均可访问,则添加0.0.0.0/0地址段。
备注
为白名单添加备注信息,用于区分白名单。
您还可以单击添加按钮,增加新的白名单,最多支持添加15个地址段。
验证专属网关公网访问连通性。例如添加的白名单地址段为本地设备的公网IP地址。
在公网页签,查询域名地址。
在本地终端中,访问该域名地址,输出如下结果,表明支持白名单地址段通过公网访问专属网关。
关闭专属网关公网访问通道。
在公网页签,关闭访问入口开关,即可关闭专属网关公网访问权限。
在本地终端中,访问该域名地址,输出如下结果,表明专属网关的公网访问通道关闭。
配置内网访问
添加专有网络。
在专属网关页面,单击专属网关名称,进入专属网关详情页面。
在网关访问控制区域的专有网络页签,单击添加专有网络。
在添加专有网络对话框中,选择VPC(ID)和交换机,如果没有可选的VPC和交换机,您可以单击创建VPC和创建子网(交换机)进行创建,参数配置完成后,单击确定。
说明添加专有网络时,如果出现以下报错信息,您需要重新选择一个支持的可用区内的交换机。
Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]当状态为运行中时,表明专有网络已添加成功。
配置内网访问白名单。
专有网络添加成功后,系统会默认在该VPC上配置一个0.0.0.0/0的白名单,代表可以连通该VPC内的全部地址段。您也可以按照以下操作步骤重新编辑白名单:
在专有网络列表中,单击目标专有网络白名单操作列下的修改白名单。
在修改白名单配置面板中,配置白名单,每个白名单需要配置以下参数。
参数
描述
地址段
删除地址段0.0.0.0/0,并配置需要加入白名单的地址段,例如10.0.0.0/16,多个地址段之间使用半角逗号(,)或换行符分隔。
备注
添加备注信息,用来区分不同白名单。
您还可以单击添加按钮,增加新的白名单,最多支持添加15个地址段。
白名单添加完成后,单击确认。
验证专属网关的内网访问连通性。
在专有网络页签,查询域名地址。
在专有网络内的终端机器上,访问该域名地址,输出如下结果,表明支持白名单地址段通过内网访问专属网关。
说明在专有网络内,所有可用区都可以通过配置白名单访问专属网关,不局限于添加到专属网关的交换机可用区。
关闭专属网关的专有网络访问通道。
您可以在专有网络列表中,单击交换机操作列下的删除,即可关闭专属网关的专有网络访问权限。
在专有网络内的终端机器上,访问该域名地址,输出如下结果,表明专属网关的内网访问通道已关闭。
步骤三:创建服务并关联专属网关
部署服务时绑定专属网关
进入模型在线服务(EAS)页面。
登录PAI控制台。
在左侧导航栏单击工作空间列表,在工作空间列表页面中单击待操作的工作空间名称,进入对应的工作空间。
在工作空间页面的左侧导航栏选择,进入模型在线服务(EAS)页面。
在推理服务页签,单击部署服务,然后在自定义模型部署区域,单击自定义部署。
在新建服务页面的服务功能配置区域,单击专属网关,并选择已创建的专属网关。其他参数配置说明,请参见服务部署:控制台。
参数配置完成后,单击部署。
当服务状态为运行中时,表明服务已成功部署。
验证网络连通性
在为服务部署绑定的专属网关设置白名单后,您可以通过以下操作步骤验证网络连通性。如何为专属网关设置白名单,请参见步骤二:为专属网关配置网络访问权限。
查看服务访问地址。
在服务列表中,单击目标服务名称,进入服务详情页面。
在基本信息区域,单击查看调用信息。
在调用信息对话框中,查询公网地址调用和VPC地址调用页签的访问地址。
验证服务域名连通性。
验证EAS服务支持通过专属网关的公网地址进行访问
在本地终端中,访问上述已查询的服务访问地址(需要将访问地址前端的http://和尾端的/删除),输出如下结果,表明EAS服务支持通过专属网关的公网地址进行访问。
验证EAS服务支持通过专属网关的内网地址进行访问
在专有网络内的终端机器上,访问上述已查询的服务访问地址(需要将访问地址前端的http://和尾端的/删除),输出如下结果,表明EAS服务支持通过专属网关的公网地址进行访问。
管理专属网关
您可以对已成功创建的专属网关进行以下管理操作:
查看专属网关详情
在专属网关页签,单击目标专属网关名称,进入专属网关详情页面。您可以在该页面查询专属网关的基本信息、网关信息以及网关访问控制等内容。
在网关信息区域,您可以查看该专属网关的节点规格和节点数,以及该专属网关已绑定的服务数量。单击数字,在已绑定服务的配置面板中,查看服务详情。
在网关访问控制区域,查看已为专有网络和公网配置的白名单信息。如何配置白名单,请参见步骤二:为专属网关配置网络访问权限。
更新专属网关
单击操作列下的更新,您可以更新网关规格和网关节点数,更改后大约需3~5分钟生效。
设置默认专属网关
单击操作列下的设为默认,您可以将专属网关设置为默认网关。后续在您部署服务并配置专属网关时,系统将自动默认选用已配置的默认专属网关。您也可以单击操作列下的取消默认,来取消默认网关配置。
为专属网关配置白名单
单击操作列下的访问控制,您可以为专属网关添加白名单。具体操作,请参见步骤二:为专属网关配置网络访问权限。
删除专属网关
单击操作列下的删除,删除专属网关。
相关文档
EAS服务支持公网访问、VPC访问、VPC高速直连访问三种不同的服务调用方法,更多内容介绍,请参见调用方式概览。