针对实时计算 Flink 无法直接访问公网的限制,本文提供多场景下的网络连通性解决方案,包括公网访问、跨 VPC 互联及混合云连接。
地域与可用区选择
在购买使用实时计算Flink版之前,建议您先了解如下基本概念。
地域(Region)
地域指阿里云数据中心所在的地理区域,通常按照数据中心所在的城市划分。例如,华东1(杭州)地域表示数据中心所在的城市是杭州。资源部署地域与实际业务数据地域的距离越近,网络延迟越低,访问速度越快。
可用区(Available Zone)
可用区是同一地域内具备独立电力和网络基础设施的物理区域(机房)。一个地域通常包含多个可用区,且不同地域之间的可用区完全隔离。在部署业务时,您可以选择跨可用区部署。由于可用区之间电力和网络相互独立,这种部署方式能够显著提升业务可靠性,实现同城多机房的容灾冗余,保障高可用性。
根据上述条件,您需要结合自身业务数据所在地域的分布情况,选择最优的地域和可用区进行服务部署。确保业务数据的高可用性与稳定性,同时有效降低数据传输的延迟。
网络选型
根据实际业务数据的网络情况,选择合适的网络连通方案。
业务数据 | 适用场景 |
适用于因目标数据源不支持私网通信或未与VPC直连,需通过公网IP访问外部数据源的场景。 | |
适用于同账号或跨账号、同地域或跨地域的两个VPC之间实现私网互通的场景,以降低网络延迟和提升安全性。 | |
适用于与其他云厂商产品或本地数据中心实现数据互通的场景,满足企业多云架构及混合部署需求。 |
公网数据源
公网访问相较于内网在延迟方面存在不确定性。如果业务场景对网络延迟和稳定性要求较高,建议优先选择内网访问。
阿里云提供的NAT网关可以实现VPC网络与公网互通,以满足实时计算Flink版需要访问公网数据源的需求。
配置公网访问
步骤一:创建NAT网关配置EIP
登录NAT网关控制台。
单击创建公网NAT网关。
请按照购买页面的要求填写相关信息:
请选择购买实时计算Flink版时绑定的所属地域,所属专有网络和关联交换机这三个选项。
详细信息可以在实时计算控制台,单击工作空间
访问模式:专有网络全通模式(SNAT)
弹性公网IP:新购弹性公网IP(如地域不在中国内地时,可以参考线路类型先购买EIP后选择已有)
线路类型:BGP(多线)
如果您的实时计算Flink版地域不在中国内地时,网络线路将有更多选项,根据自身业务数据所在,就近选择合适的EIP方案进行购买。
单击立即购买,完成付款后,等待资源配置完成。
(可选)进行配置SNAT。
在购买的公网NAT实例中,单击设置SNAT。
单击创建SNAT条目。
选择VPC粒度,选择相应的弹性公网IP。
单击确认创建。
步骤二:上下游访问配置
此时,实时计算 Flink 版已具备访问公网 IP 数据源的能力,但通常需将弹性公网 IP 添加至防火墙规则或安全组策略中,以确保访问来源的合法性。
以访问阿里云ECS中部署的MySQL存储为例,需要我们添加对应的安全组策略(此ECS已开通绑定弹性公网)。
访问ECS控制台-实例。
单击对应实例,在安全组页签中,单击对应安全组。
单击快速添加入方向,授权对象填写对应绑定的弹性公网IP,选择对应MySQL端口。
单击确认。实时计算 Flink 版就可以通过访问该ECS的公网IP来访问其中部署的MySQL存储。
您可以通过实时计算Flink版开发控制台右上角的网络探测功能,完成网络连通性测试。
跨VPC服务
若其他服务处于规划前期或可替换时,建议直接购买与实时计算Flink版相同VPC的服务;或者释放当前Flink工作空间,重新开通一个与其他服务相同VPC的工作空间。
跨VPC网络连接,常用的有如下方式:
VPC对等连接:VPC对等连接可跨账号、跨地域连接两个私有网络(VPC),实现私有IP直接通信,如同处于同一网络环境。支持同账号内及跨账号的VPC互联。
转发路由器:转发路由器用于连接并转发同区域或跨区域的网络实例流量。通过网络连接将VPC关联后,路由自动同步。每个区域仅允许一个转发路由器,跨区域需使用独立路由器。
私网连接:私网连接通过安全私有通道连接VPC来实现服务访问,规避公网暴露风险(如数据泄露、DDoS攻击),并简化架构,提升访问效率与可靠性。
对比项 | VPC 对等连接 | 转发路由器 | 私网连接 |
连接方式 | VPC两两之间建立连接 | VPC以网络连接方式加入转发路由器 | VPC之间基于终端节点服务的定向连接 |
是否支持路由传播 | 不支持 | 支持 | 不支持 |
访问方式 | 双向访问 | 双向访问 | 单向访问 |
是否支持跨账号 | 支持 | 支持 | 支持 |
是否支持跨地域 | 支持 | 支持 | 不支持 |
优势场景 | 少量 VPC 互联 | 大量 VPC 互联 | VPC 定向连接 |
配置复杂度 | 高。需要两两建立对等连接关系并相互配置对端路由。 | 低。VPC 只需要加入转发路由器并配置路由指向转发路由器的网络连接。 | 低。私网连接无需考虑地址冲突和路由配置,网络配置简单。 |
网络延迟 | 低 | 中。由于流量经过转发路由器,会增加额外一跳的延迟。 | 低 |
成本 | 同地域不收费。跨地域统一由云数据传输 CDT 收取出方向流量传输费。 | 同地域收取连接费、流量处理费,跨地域收取带宽包实例费、连接费和流量处理费。 | 根据私网连接服务的实际使用量进行计费,费用包含实例费和流量处理费。 |
VPC 之间网段是否可以重叠 | 不可以 | 不可以 | 可以 |
场景示例
某企业在华东1(杭州)和华北2(北京)地域分别创建了VPC1和VPC2。华东1地域部署了实时计算Flink版,而华北2地域则购买了ECS服务器作为业务数据存储与开发。
该场景适用于在同一阿里云账户或跨账户下,实现不同VPC之间(可跨地域)的网络互通,推荐采用VPC对等连接方案。
对等连接的两端VPC和交换机之间的网段不可以重叠。
例如,网段分别为192.168.0.0/16和192.168.0.0/24的VPC,即使创建了对等连接也无法实现网络连通。
如果需要创建跨账号VPC对等连接,需确保发起端和接收端账号均已创建VPC。
具体操作详情请参见使用VPC对等连接实现VPC私网互通。
混合云场景
如下产品都支持将本地数据中心等网络连接至云上专有网络,快速构建混合云。
高速通道:高速通道通过物理专线将本地数据中心、其他云厂商平台等网络连接到阿里云。在两端距离很远的情况下,高速通道仍可以提供低时延、低丢包率和高带宽的内网级通信质量。
VPN网关:VPN网关通过建立加密隧道的方式,实现企业本地数据中心、企业办公网络、互联网客户端、其他云厂商等平台与阿里云专有网络之间的安全可靠连接。
对比项 | 高速通道 | VPN 网关 |
质量 | 高(专线) | 低(公网) |
建设周期 | 较长(2~3个月) | 短(开通认证后即用) |
成本 | 高 | 低 |
传输带宽 | 单链路支持最大100Gbps带宽。支持多条专线链路聚合实现Tbps级带宽。 | 受限于公网IP的带宽。 |
业务适用场景 | 金融、政企等对网络安全性要求高的企业上云需求。 | 企业办公网络、数据存储等基础服务上云需求。 |