部署在Serverless应用引擎SAE(Serverless App Engine)上的应用,其业务通常需要获取公网资源或者跨VPC访问,本文介绍部署在SAE上的应用如何从VPC内网环境访问公网。
背景信息
在业务部署过程中,可能会遇到以下几种场景需要访问公网:
- 容器在运行时需要建立公网依赖。
- 与第三方有合作,例如使用微信小程序需要上公网。
- 应用需要跨VPC或地域访问数据库。
实施方案
为同一VPC下的所有应用实例配置一个公共NAT网关代理并绑定EIP,通过SNAT功能为VPC内所有无公网IP地址的应用实例配置访问公网代理。
说明
- 如果VPC内多个vSwitch下的实例需要出公网,那么针对多个vSwitch都需要配置SNAT。
- 单个VPC内存在多个应用访问公网,配置代理后仅需绑定1个EIP。
注意事项
如果您的VPC内存在多个NAT实例,您需要确保VPC内的路由表中的路由规则是绑定了SAE所关联的NAT实例。关于修改路由表的操作步骤,请参见创建和管理路由表。
步骤一:创建NAT网关
- 登录NAT网关管理控制台。
- 在公网NAT网关页面,单击创建NAT网关。
- 首次使用NAT网关时,在创建NAT网关面板关联角色创建须知区域,单击创建,创建服务关联角色。角色创建成功后即可创建NAT网关。
- 在公网NAT网关页面,配置相关信息,单击立即购买。
| 参数 |
说明 |
| 付费模式 |
默认选择为按量付费,即一种先使用后付费的付费模式。更多信息,请参见公网NAT网关计费。
|
| 所属地域 |
选择部署在SAE上的应用所在的地域。 |
| 所属专有网络 |
选择部署在SAE上的应用所在的VPC ID。创建后不能修改公网NAT网关所属的VPC。
|
| 关联交换机 |
选择交换机ID。 |
| 计费类型 |
默认选择为按使用量计费,即按公网NAT网关实际使用量收费。更多信息,请参见公网NAT网关计费。
|
| 计费周期 |
默认选择为按小时,即按使用量计费公网NAT网关的计费周期为1小时,不足1小时按1小时计算。
|
| 实例名称 |
设置公网NAT网关实例的名称。
实例名称长度为2~128个字符,以英文大小字母或中文开头,可包含数字、下划线(_)和短划线(-)。
|
| 访问模式 |
选择公网NAT网关的访问模式。支持以下两种模式:
本文选择VPC全通模式(SNAT)。
|
| 弹性公网IP |
选择公网NAT网关的EIP。支持以下两种模式:
- 选择已有:在在弹性网关IP实例下拉列表中选择已有的EIP实例绑定到公网NAT网关实例的EIP。
- 新购弹性公网IP:在公网NAT网关实例地域新购按量付费EIP实例。
- 线路类型:新购EIP的线路类型默认为BGP(多线)。
- 安全防护:默认选择为默认版本的安全防护,即提供不超过5 Gbps的基础DDoS防护能力。
- 带宽峰值:根据业务需要,设置弹性公网IP的带宽峰值。
- 计费类型:选择EIP流量的计费类型。
- 按使用流量计费:根据每小时访问公网的实际流量计费。更多信息,请参见按使用流量计费。
- 按固定带宽计费:由带宽值决定每日账单价格,与实际使用的流量无关。更多信息,请参见按固定带宽计费。
|
- 在确认订单页面确认公网NAT网关的配置信息,选中服务协议并单击确认订单。
当出现恭喜,购买成功!的提示后,说明已创建成功。您可以在公网NAT网关页面查看已创建的公网NAT网关实例以及绑定的EIP。
步骤二:创建SNAT条目
创建SNAT条目,为专有网络中没有公网IP地址的应用实例,提供访问公网代理服务。
- 登录NAT网关管理控制台。
- 在顶部菜单栏,选择公网NAT网关的地域。
- 在公网NAT网关页面,找到目标公网NAT网关实例,然后在操作列单击设置SNAT。
- 在SNAT管理页签,单击创建SNAT条目。
- 在创建SNAT条目页面,配置相关信息,单击确定创建。
| 参数 |
说明 |
| SANT条目粒度 |
选择交换机粒度。
|
| 选择交换机 |
选择VPC中的交换机,该交换机下所有的应用实例均可通过SNAT功能进行公网访问。
说明 如果持有公网IP的应用实例(例如已经绑定了EIP)发起互联网访问,系统将优先使用其持有的公网IP地址,而不会使用NAT网关的SNAT功能。
|
| 交换机网段 |
选择交换机后,该区域会自动显示该交换机的网段。 |
| 选择公网IP地址 |
选择用来提供互联网访问的公网IP地址。
说明 您创建SNAT条目的公网IP地址不能再用来创建SNAT条目。
|
| 条目名称 |
设置条目名称。支持以大小写字母或中文开头,可包含数字、下划线(_)和短划线(-),长度为2~128个字符。 |
创建成功后,在SNAT条目列表处查看配置的SNAT条目。
关于NAT网关服务关联角色的更多信息,请参见服务关联角色。