部署在Serverless 應用引擎 SAE(Serverless App Engine)上的應用,其業務通常需要獲取公網資源或者跨VPC訪問。本文介紹如何配置NAT網關使SAE應用從VPC內網環境訪問公網。
背景信息
在業務部署過程中,可能會遇到以下需要訪問公網的場景。
容器在運行時需要建立公網依賴。
與第三方有合作,例如使用微信小程序需要訪問公網。
應用需要跨VPC或地域訪問數據庫。
實施方案
為同一VPC下的所有應用實例配置一個公共NAT網關代理并綁定EIP,通過SNAT功能為VPC內所有無公網IP地址的應用實例配置訪問公網代理。
如果VPC內多個vSwitch下的實例需要出公網,則針對多個vSwitch都需要配置SNAT。
單個VPC內存在多個應用訪問公網,配置代理后僅需綁定1個EIP。
注意事項
如果您的VPC內存在多個NAT實例,您需要確保VPC內的路由表中的路由規則已綁定SAE所關聯的NAT實例。關于修改路由表的操作步驟,請參見創建和管理路由表。
步驟一:創建NAT網關
登錄NAT網關管理控制臺。
在頂部菜單欄,選擇公網NAT網關的地域。
在公網NAT網關頁面,單擊創建公網NAT網關。
首次使用NAT網關時,在創建公網NAT網關頁面關聯角色創建區域,單擊創建關聯角色。角色創建成功后即可創建NAT網關。
關于NAT網關服務關聯角色的更多信息,請參見服務關聯角色。在公網NAT網關頁面,配置相關信息,單擊立即購買。
配置項
說明
付費模式
默認選擇為按量付費,即一種先使用后付費的付費模式。
資源組
選擇VPC所屬的資源組。
標簽
選擇或輸入完整的標簽鍵與標簽值。最多支持輸入20個鍵值對。一個標簽鍵或標簽值最多支持128個字符,不能以
aliyun和acs:開頭,不能包含http://或者https://。所屬地域
選擇部署在SAE上的應用所在的地域。
所屬專有網絡
選擇部署在SAE上的應用所在的VPC ID。創建后不能修改公網NAT網關所屬的VPC。
關聯交換機
選擇交換機ID。
計費類型
默認選擇為按使用量計費,即按公網NAT網關實際使用量收費。
計費周期
默認選擇為按小時,即按使用量計費公網NAT網關的計費周期為1小時,不足1小時按1小時計算。
實例名稱
設置公網NAT網關實例的名稱。
訪問模式
選擇公網NAT網關的訪問模式。支持以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT網關創建成功后當前VPC內所有實例即可通過該公網NAT網關訪問公網。
選擇VPC全通模式(SNAT)后,您需要配置EIP的相關信息。
稍后配置:如需稍后配置或有更多配置需求,可在購買完成后,前往控制臺進行配置。
選擇稍后配置,則只購買公網NAT網關實例。
本文選擇VPC全通模式(SNAT)。
彈性公網IP
選擇公網NAT網關的EIP。支持以下兩種模式:
選擇已有:在彈性網關IP實例下拉列表中選擇已有的EIP實例綁定到公網NAT網關實例的EIP。
新購彈性公網IP:在公網NAT網關實例地域新購按量付費EIP實例。
說明從2022年09月19日起,新創建的公網NAT網關綁定一個彈性公網IP(Elastic IP Address,簡稱EIP)時將占用NAT網關所在交換機的一個私網IP ,請確保NAT網關所在交換機內私網IP地址充足,如果NAT網關所在的交換機沒有可用的空閑私網地址時,將無法綁定新的EIP。
在確認訂單頁面,仔細確認公網NAT網關的配置信息,選中服務協議并單擊確認訂單。
當出現恭喜,購買成功!的提示后,說明已創建成功。您可以在公網NAT網關頁面查看已創建的公網NAT網關實例以及綁定的EIP。
步驟二:創建SNAT條目
創建SNAT條目,為專有網絡中沒有公網IP地址的應用實例,提供訪問公網代理服務。
登錄NAT網關管理控制臺。
在頂部菜單欄,選擇公網NAT網關的地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,然后在操作列單擊設置SNAT。
在SNAT管理頁簽,單擊創建SNAT條目。
在創建SNAT條目頁面,配置相關信息,單擊確定創建。
配置項
說明
SNAT條目粒度
選擇交換機粒度。
選擇交換機
選擇VPC中的交換機,該交換機下所有的應用實例均可通過SNAT功能進行公網訪問。
說明如果持有公網IP的應用實例(例如已經綁定了EIP)發起互聯網訪問,系統將優先使用其持有的公網IP地址,而不會使用NAT網關的SNAT功能。
交換機網段
選擇交換機后,該區域會自動顯示該交換機的網段。
選擇公網IP地址
選擇用來提供互聯網訪問的公網IP地址。
說明您創建SNAT條目的公網IP地址不能再用來創建SNAT條目。
條目名稱
輸入自定義的條目名稱。
創建成功后,在SNAT條目列表查看已配置的SNAT條目。