创建专有网络VPC和交换机

为了实现高可用，您需要将云服务器等资源尽可能分布在多个可用区，规避单可用区故障造成的服务不可用。本方案以双可用区为例，因此，您需要创建1个专有网络和2个交换机。

1. 登录专有网络管理控制台。

2. 在左侧导航栏，单击专有网络。在顶部菜单栏，选择华东1（杭州）地域。

3. 在专有网络页面，单击创建专有网络。

4. 在创建专有网络页面，配置1个专有网络和2台交换机。在配置交换机时，请确保其所在的可用区内的相关资源均处于可用状态，以保证后续操作的顺利进行。

   下表中未提及的配置项请使用默认值。

   项目	说明	示例值
   VPC名称	建议您在部署过程中新建一个VPC作为本方案的专有网络。部署过程中填写VPC名称即可创建对应名称的VPC。 长度为2~128个字符，以英文大小字母或中文开头，可包含数字、下划线（_）和连字符（-）。	VPC_HZ
   IPv4网段	在创建VPC时，您必须按照无类域间路由块（CIDR block）的格式为您的专有网络划分私网网段。阿里云VPC支持的网段信息请参见专有网络组成部分。 在网络规划时可以按照管理网段-开发网段-测试网段-生产网段等规则做好规划。网段一旦投入使用，调整过程复杂，因此规划十分重要。	192.168.0.0/16
   交换机名称	建议您在部署过程中在新建的VPC内创建虚拟交换机。部署过程中填写交换机名称即可创建对应名称的虚拟交换机。 长度为2~128个字符，以英文大小字母或中文开头，可包含数字、下划线（_）和连字符（-）。	vsw_001 vsw_002
   可用区	在规划的地域内选择2个可用区，2台虚拟交换机分别部署在2个可用区。 建议选择排序靠后的，一般此类可用区较新。新可用区资源更充沛，新规格也会在新的可用区优先上线。	vsw_001：可用区 J vsw_002：可用区 K
   IPv4网段	每台虚拟交换机需要一个IPv4网段。	vsw_001：192.168.1.0/24 vsw_002：192.168.2.0/24

创建安全组

接下来，您需要创建1个安全组，以管理该安全组内相关云资源的网络流入和流出，确保网络访问的安全性。

1. 登录ECS管理控制台。

2. 在左侧导航栏，选择网络与安全>安全组。

3. 在顶部菜单栏，选择华东1（杭州）地域。

4. 在安全组页面，单击创建安全组。

5. 在创建安全组页面，创建安全组。

   项目	说明	示例值
   安全组名称	设置安全组的名称。	SecurityGroup_1
   网络	选择之前规划的专有网络VPC。	VPC_HZ
   安全组类型	本方案需从公网拉取相关软件，因此选择普通安全组，以实现公网出方向所有地址可访问。实际部署时，建议选择安全性更高的企业级安全组。	普通安全组
   入方向	仅需要开启80端口号即可，其它端口号删除。	80

创建云服务器ECS

接下来，您需要创建1个云服务器ECS实例，以用于部署相关应用程序。

1. 登录ECS管理控制台。

2. 在左侧导航栏，选择实例与镜像>实例。

3. 在顶部菜单栏，选择华东1（杭州）地域。

4. 在实例页面，单击创建实例。

5. 在云服务器ECS购买页面，创建云服务器ECS。

   项目	说明	示例值
   付费类型	付费类型影响实例的计费和收费规则。ECS 计费的详细信息请参见计费方式概述。	按量付费
   地域	实例所在地域	华东1（杭州）
   网络及可用区	选择VPC及交换机。	VPC_HZ、vsw_001
   实例	ECS 的实例规格及内核、vCPU数量。关于 ECS 选型的最佳实践请参见实例规格选型指导。	ecs.c6.large（2 vCPU 4 GiB）
   镜像	ECS 的“装机盘”，为 ECS 实例提供操作系统、预装软件等。	在公共镜像中选择 Alibaba Cloud Linux
   镜像版本	镜像的版本。	Alibaba Cloud Linux 3.2104 LTS 64位
   系统盘类型	硬盘类型。	ESSD云盘
   系统盘容量	硬盘容量。	40 GiB
   公网IP	用于在云服务器ECS中从公网下载相关应用程序。	选中分配公网 IPv4 地址
   带宽计费模式	由于本方案为解决方案示例，因此选择按使用流量，以节省流量成本。	按使用流量
   带宽峰值	本方案以5 Mbps为例。	5 Mbps
   安全组	使用之前创建的安全组。选择已有安全组。	SecurityGroup_1
   管理设置	选择设置自定义密码，方便后续登录机器安装服务环境。	自定义密码

创建云数据库 RDS MySQL实例

接下来您需要创建云数据库RDS MySQL实例、数据库、数据库账号。您需要记录创建的云数据库的内网连接地址、数据库名称、账号、密码用于之后的服务端配置。

创建轻量消息队列（原MNS）

接下来您需要创建一个轻量消息队列（原MNS），使用轻量消息队列（原MNS）订阅对象存储OSS Bucket中的文件变更，感知函数计算处理文件完成后上传到Bucket的文件上传事件。

1. 登录轻量消息队列（原MNS）控制台。

2. 在左侧导航栏，单击队列列表。

3. 在顶部菜单栏，选择华东1（杭州）地域。

4. 在队列列表页面，单击创建队列。

5. 在创建队列面板配置以下参数，然后单击确定。

   字段	描述	示例
   名称	队列名称	oss-queue
   消息最大长度	发送到队列的消息体的最大长度	64
   长轮询时间	当队列中没有消息时，该队列的ReceiveMessage请求的最大等待时长。	0
   消息可见性超时时间	消息从队列中取出后从Active状态变成Inactive状态后的持续时间。	30
   消息保存时长	消息在队列中的最长存活时间。从发送到队列开始经过此参数指定的时间后，不论消息是否被取出都将被删除。	4
   消息延时时间	发送到队列的所有消息将延后此参数指定的时间后被消费。	0
   启用日志功能	是否开启日志管理功能。	否

创建对象存储OSS Bucket

接下来您需要创建一个对象存储OSS Bucket用于存储用户上传的文件和函数计算处理后的文件。

创建Bucket

1. 登录OSS管理控制台。

2. 在左侧导航栏，选择Bucket 列表。

3. 在Bucket 列表页面，单击创建 Bucket。

4. 在创建 Bucket面板，创建1个Bucket。

   项目	说明	示例值
   Bucket名称	Bucket 命名规范： 命名长度为3~63个字符。 只允许小写字母、数字、短横线（-），且不能以短横线开头或结尾。 Bucket名称在OSS范围内必须全局唯一。	test-bucket
   地域	本方案以华东1（杭州）为例。	华东1（杭州）
   存储类型	存储类型 ，创建成功后不支持修改。本方案以标准存储为例。	标准存储
   存储冗余类型	选择采用多可用区（AZ）冗余机制的同城冗余存储，将用户的数据分散存放在同一地域的3个可用区。当某个可用区不可用时，仍然能够保障数据的正常访问。	同城冗余存储
   读写权限	设置数据访问权限。	私有

配置Bucket可跨域访问

1. 进入目标Bucket，在左侧导航栏，选择数据安全 > 跨域设置。

2. 在跨域设置页面，单击创建规则。

3. 在创建跨域规则面板，按照界面提示创建跨域规则，您可以按以下说明设置跨域规则。

   参数	说明	示例
   来源	指定允许的跨域请求的来源。配置规则如下： 允许多条匹配规则，多条规则需换行填写。 域名需包含协议名，例如HTTP、HTTPS。 支持通配符星号（*），每条匹配规则最多允许使用一个星号（*）。 如果域名使用的不是默认端口，还需要携带端口号。例如https://www.example.com:8080。 域名配置示例如下： 匹配指定域名时，填写完整域名，例如https://www.example.com。 匹配泛二级域名，可使用通配符星号（*）。例如https://*.example.com。 匹配所有域名，可直接填写通配符星号（*）。	*
   允许 Methods	指定允许的跨域请求方法。	GET、POST、HEAD
   允许 Headers	指定允许跨域请求的响应头。配置规则如下： 格式为key:value，例如content-type:text/plain，大小写不敏感。 允许多条匹配规则，多条规则需换行填写。 支持通配符星号（*），每条匹配规则最多允许使用一个星号（*）。建议没有特殊需求的情况下设置为星号（*）。	*
   暴露 Headers	指定允许用户从应用程序中访问的响应头，例如一个JavaScript的XMLHttpRequest对象。不允许使用星号（*）通配符。 建议暴露的常见Headers如下： x-oss-request-id 在您使用OSS服务遇到问题时，请凭借此Request ID请求技术支持协助排查并解决您遇到的问题。 ETag 可用于检查Object内容是否发生变化。	不填
   缓存时间（秒）	指定浏览器对特定资源的预取（OPTIONS）请求返回结果的缓存时间，单位为秒。	0
   返回 Vary: Origin	配置是否返回Vary: Origin Header。 如果实际应用中同时存在CORS和非CORS请求，或者Origin头有多种可能值时，建议选中返回 Vary: Origin以避免本地缓存错乱。	不选择

配置事件通知

1. 在左侧导航栏，选择数据处理>事件通知。

2. 在事件通知页面，单击创建规则。

3. 在创建规则面板，按照页面提示创建事件规则，配置以下参数：

   参数	说明	示例
   规则名称	设置事件通知规则的名称。 相同账号在同一地域下创建的规则名称不能重复。规则名称必须以英文字母开头，只能包含大小写字母、数字和短划线（-），长度不超过85个字符。	processed-completed
   事件类型	为目标Object配置事件类型。例如，您希望接收到目标Object通过拷贝操作创建或覆盖文件的事件通知，请将事件类型配置为CopyObject。 有关事件类型对应Object操作的更多信息，请参见通过事件通知实时处理OSS文件变动。	ObjectCreated:PutObject、ObjectCreated:PostObject
   对象匹配 > 匹配规则	设置事件通知涉及的目标Object。 通过全名匹配目标Object 如果要匹配Bucket根目录下名为exampleobject.txt的目标Object，则填写为exampleobject.txt。 如果要匹配Bucket根目录下destdir目录中名为myphoto.jpg的目标Object，则填写为destdir/myphoto.jpg。 通过前后缀匹配目标Object 如果要匹配Bucket内的所有Object，则前缀和后缀均置空。 如果要匹配Bucket根目录下examplefolder目录中的所有Object，则前缀填写为examplefolder/，后缀置空。 如果要匹配Bucket内所有JPG格式的Object，则前缀置空，后缀填写为.jpg。 如需匹配Bucket根目录下examplefolder目录中所有MP3格式的Object，则前缀填写为examplefolder/，后缀填写为.mp3。 您可以单击添加按钮，创建最多5条资源描述。	前后缀 前缀processed 后缀.pdf
   订阅终端	设置事件的接收终端，支持HTTP和队列。 HTTP：填写接收事件通知的HttpEndpoint地址，例如http://198.xx.xx.0:8080。搭建HttpEndpoint的具体操作，请参见主题使用示例和HttpEndpoint。 队列：填写您在轻量消息队列（原MNS）中创建的队列名称。创建队列的具体操作，请参见创建队列。 您可以单击添加按钮，创建最多5个接收终端。	队列 oss-queue

   以上步骤配置完成后，事件通知规则约10分钟后生效。

创建角色和权限策略

接下来您需要创建自定义角色并授权。角色可以与ECS实例和函数关联起来。当您需要在ECS实例中的应用程序或函数中访问其他云资源时，可以通过角色获取STS临时凭证访问其他云资源，避免在代码中明文使用长期AccessKey，减少AccessKey泄露风险。

创建角色

1. 登录RAM控制台。

2. 在左侧导航栏，选择身份管理>角色。

3. 在角色页面，单击创建角色。

4. 在创建角色页面，选择信任主体类型为云服务，信任主体名称选择云服务器ECS，然后单击确定。

5. 输入角色名称。

修改信任策略

1. 在角色页面，单击目标RAM角色名称。

2. 在信任策略页签，编辑并保存信任策略。修改信任策略如下：

   说明

   本例为了简化操作，将授权云服务器ECS实例的角色和授权函数计算服务的角色设定为一个角色，在您真实的应用中建议您分别为云服务器ECS实例和函数计算创建角色，隔离不同服务的权限，最小化精准授权。

   {
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "ecs.aliyuncs.com",
             "fc.aliyuncs.com"
           ]
         }
       }
     ],
     "Version": "1"
   }

创建自定义权限策略

1. 在左侧导航栏，选择权限管理 > 权限策略。

2. 在权限策略页面，单击创建权限策略。

3. 在创建权限策略页面，单击脚本编辑页签。

4. 输入如下权限策略内容，然后单击继续编辑基本信息。

   {
       "Version": "1",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "oss:PutObject",
                   "oss:GetObject",
                   "oss:GetObjectMeta",
                   "mns:ReceiveMessage",
                   "mns:BatchReceiveMessage",
                   "mns:DeleteMessage"
               ],
               "Resource": "*"
           }
       ]
   }

5. 输入权限策略名称和备注。如FcDemoPolicy

6. 单击确定。

为角色授权

1. 在左侧导航栏，选择身份管理 > 角色。

2. 在角色页面，单击刚刚创建的RAM角色名称。

3. 在权限管理页签，单击精确授权。

   

4. 在精确授权面板，选择权限策略类型为自定义策略，然后输入刚刚创建的权限策略名称。

5. 单击确定。

绑定实例角色

1. 登录ECS管理控制台，在实例列表页面，找到刚刚创建的实例，选择 > 实例设置 > 授予/收回RAM角色。

2. 在对话框中，选择创建好的实例RAM角色，单击确定完成授权。

配置服务器并部署应用

1. 远程连接云服务器ECS。

   1. 登录ECS管理控制台，在实例页面，找到前面步骤所创建的 ECS 实例。

   2. 在右侧操作列，单击远程连接，并选择通过Workbench远程连接。根据页面提示登录，进入终端页面。具体操作请参见：使用Workbench登录ECS实例。

      说明

      如果系统弹出“安全组白名单开通提示”面板， 请按照页面引导完成端口一键添加。

2. 执行以下命令设置环境变量

   说明

   请将<>占位符及其中的值替换为真实配置。

   1. <数据库连接地址>、<数据库用户名>、<数据库名称>在数据库列表页进入实例的详情页，从左侧账号管理和数据库连接页面获取。

   2. <角色名称>可以在角色列表页获取。

   3. <外网访问 OSS endpoint>、<OSS region>、<OSS bucket name>在OSS Bucket列表页进入Bucket详情页获取。OSS endpoint 如oss-cn-hangzhou.aliyuncs.com，OSS region 如cn-hangzhou

   4. <ECS实例公网IP>在ECS实例列表页查看。

   5. <轻量消息队列（原MNS） endpoint>、<轻量消息队列（原MNS）名称>在轻量消息队列（原MNS）页，进入队列详情页查看接入点。轻量消息队列（原MNS） endpoint使用内网地址，如http://xxx.mns.cn-hangzhou-internal.aliyuncs.com

   6. 自定义设置<自定义界面登录用户名>和<自定义界面登录密码>。（为了防止IP泄露被人恶意访问，示例代码提供了登录校验，登录账号密码通过下面的环境变量进行设置。）

   cat << EOF >> ~/.bashrc
   export APPLETS_RDS_ENDPOINT=<数据库连接地址>
   export APPLETS_RDS_USER=<数据库用户名>
   export APPLETS_RDS_PASSWORD=<数据库密码>
   export APPLETS_RDS_DB_NAME=<数据库名称>
   export ALIYUN_RAM_ROLE_NAME=<角色名称>
   export ALIYUN_OSS_ENDPOINT=<外网访问 OSS endpoint>
   export ALIYUN_REGION_ID=<OSS region>
   export ALIYUN_OSS_BUCKET=<OSS bucket name>
   export ECS_IP=<ECS实例公网IP>
   export ALIYUN_MNS_ENDPOINT=<轻量消息队列（原MNS） endpoint>
   export ALIYUN_MNS_QUEUE=<轻量消息队列（原MNS）名称>
   export WANX_DEMO_USERNAME=<自定义界面登录用户名>
   export WANX_DEMO_PASSWORD=<自定义界面登录密码>
   EOF
   
   source ~/.bashrc

   1. 执行以下命令，部署并运行示例应用。

      curl -fsSL https://help-static-aliyun-doc.aliyuncs.com/install-script/fc-drive-file/install.sh|bash

      看到如下信息表示启动成功，接下来准备进行函数配置。

      Installation completed.

创建并配置函数

接下来您需要创建函数计算函数，用于感知OSS Bucket中用户上传的文件，进行处理，然后将处理后的文件上传到OSS Bucket中。

创建函数

1. 登录函数计算3.0控制台，在左侧导航栏，单击函数。

   当左上角显示函数计算 FC 3.0时，表示当前控制台为3.0控制台。

2. 在顶部菜单栏，选择地域，然后在函数列表页面，单击创建函数。

3. 在创建函数页面，选择事件函数，配置以下配置项，然后根据页面提示完成创建。

   • 基础配置：设置函数名称。

   • 函数代码：配置函数的运行环境和代码相关信息。

     配置项	说明	示例
     运行环境	选择您熟悉的语言，例如Python、Java、PHP或Node.js等。	Java 11
     代码上传方式	选择代码上传到函数计算的方式。 使用示例代码：默认方式，您可以根据业务需要选择函数计算为您提供的创建函数的示例代码。 通过 JAR 包上传代码：选择函数代码JAR包并上传。 通过 OSS 上传代码：选择上传函数代码的Bucket 名称和文件名称。	通过 JAR 包上传代码 下载并上传代码包。

   • 高级配置：配置函数的实例相关信息和函数执行超时时间等。

     配置项	说明	示例
     规格方案	根据您的业务情况，选择或手动输入合理的vCPU规格和内存规格组合。关于各资源使用的计费详情，请参见计费概述。 说明 vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1:1到1:4之间。	0.35核，512 MB
     临时硬盘大小	根据您的业务情况，选择临时存储文件的硬盘大小。 说明 取值说明如下。 512 MB：默认值。不计费，函数计算为您提供512 MB以内的硬盘免费使用额度。 10 GB：按9.5 GB进行计费。	512 MB
     执行超时时间	设置超时时间。执行超时时间默认为60秒，最长为86400秒。	60
     请求处理程序	设置请求处理程序，函数计算的运行时会加载并调用您的请求处理程序处理请求。	com.aliyun.demo.Main::handleRequest
     时区	选择函数的时区。此处设置函数的时区后，将自动为函数添加一条环境变量TZ，其值为您设置的目标时区。	UTC
     函数角色	函数计算平台会使用这个RAM角色来生成访问您的阿里云资源的临时密钥，并传递给您的代码。更多信息，请参见使用函数角色授予函数计算访问其他云服务的权限。	之前创建的角色名称
     允许访问 VPC	是否允许函数访问VPC内资源。更多信息，请参见配置网络。	否
     允许函数默认网卡访问公网	是否允许函数可以通过默认网卡访问公网。关闭后，当前服务中的函数将无法通过函数计算的默认网卡访问公网。 说明 使用固定公网IP地址功能时，您必须关闭允许函数默认网卡访问公网，否则配置的固定公网IP地址不生效。更多信息，请参见配置固定公网IP地址。	是
     日志功能	是否启用阿里云日志服务。取值说明如下： 启用：函数的执行日志被持久化保存到日志服务，方便您进行代码调试、故障分析和数据分析等。 禁用：函数的执行日志将无法通过日志服务存储和查询。	禁用

创建触发器

1. 在函数页面，单击目标函数。

2. 在函数配置页面，选择配置页签，在左侧导航栏，单击触发器，然后单击创建触发器。

3. 在创建触发器面板，填写相关信息，然后单击确定。

   配置项	操作	本文示例
   触发器类型	选择对象存储 OSS。	对象存储 OSS
   名称	填写自定义的触发器名称。	oss-trigger
   版本或别名	默认值为LATEST，如果您需要创建其他版本或别名的触发器，需先在函数详情页的版本或别名下拉列表选择该版本。关于版本和别名的简介，请参见版本管理和别名管理。	LATEST
   Bucket 名称	选择刚刚创建的OSS Bucket。	选择刚刚创建的OSS Bucket。
   文件前缀	输入要匹配的文件名称的前缀。建议您配置文件前缀和后缀，避免触发事件嵌套循环触发引起额外费用。此外，一个Bucket的不同触发器如果指定了相同的事件类型，则前缀和后缀不能重复。详细信息，请参见OSS触发器概述。 说明 文件前缀不能以/开头，否则会导致OSS触发器无法被触发。	source
   文件后缀	输入要匹配的文件名称的后缀。强烈建议您配置前缀和后缀，避免触发事件嵌套循环触发引起额外费用。另外，一个Bucket的不同触发器如果指定了相同的事件类型，则前缀和后缀不能重复。详细信息，请参见OSS触发器概述。	不填
   触发事件	选择一个或多个触发事件。关于对象存储OSS的事件类型，请参见OSS触发器概述。	oss:ObjectCreated:PutObject oss:ObjectCreated:PostObject oss:ObjectCreated:CompleteMultipartUpload oss:ObjectCreated:PutSymlink
   角色名称	选择AliyunOSSEventNotificationRole。 说明 如果您第一次创建该类型的触发器，则需要在单击确定后，在弹出的对话框中选择立即授权。	AliyunOSSEventNotificationRole