实时计算Flink版默认不具备访问公网的能力,本文为您介绍如何进行公网访问、跨VPC访问、域名解析以及网络连通性测试等相关的常见问题。
如何排除网络问题?
由于实时计算Flink版部署在专有网络VPC下,在开通Flink工作空间时选择了专有网络后,您将无法再更改。如果源端或目标端任意一个与目标Flink工作空间不在同一VPC下,会导致源端和目标端网络不通,数据无法读写。因此,如果您遇到数据无法读写的情况,可以按照以下步骤排查是否为网络问题:
检查上下游服务与Flink工作空间之间网络是否连通。您可以在Flink控制台测试网络连通性,具体请参见如何进行网络探测?。
实时计算Flink版默认仅支持访问相同地域、相同VPC下的服务。如果有访问跨VPC资源或者通过公网访问的需求:
跨VPC访问详情请参见如何访问跨VPC的其他服务?。
公网访问可以使用阿里云提供的NAT网关实现VPC网络和公网的连通,详情请参见如何访问公网?。
检查上下游服务中是否已配置了白名单,具体操作请参见如何设置白名单?。
如果还存在网络超时的报错,也可能是连接超时导致的。需要在DDL的WITH参数中调大connect.timeout参数的取值,该参数的默认值是30秒。
如何进行网络探测?
实时计算Flink版支持网络探测能力,您可以在Flink开发控制台进行网络探测,具体步骤如下:
登录实时计算控制台。
单击目标工作空间操作列下的控制台。
单击顶部导航栏右侧的网络探测图标。
通过输入Endpoint或者IP地址的方式检测Flink作业运行的环境与您的上下游系统是否连通。
重要输入Endpoint时,请删除后面的
:<port>,并将port放到网络探测的Port栏输入。
报错
connect timed out时,请确认访问的域名是否为公网或其他VPC。实时计算Flink版默认仅支持访问相同VPC下的服务。如果有访问跨VPC资源或者通过公网访问的需求,请参见如何访问跨VPC的其他服务?和如何访问公网?。
如何获取Hologres的Endpoint地址?
登录Hologres管理控制台,在实例列表页面,单击目标实例。
在实例详情页面的网络信息区域可以获取对应的Endpoint地址。
您可以根据网络的情况获取对应的Endpoint地址。
网络类型
使用场景
指定VPC(推荐)
与指定的VPC连通的私有网络。
同一VPC(推荐):Hologres实例和实时计算Flink版工作空间在同一VPC下可直接连通。
不同VPC:Hologres实例和实时计算Flink版工作空间在不同的VPC下,要访问跨VPC资源则需要进行网络设置,具体操作请参见跨VPC服务。
公网
公共网络,无网络访问限制的场景,相较于内网在延迟方面存在不确定性。
您需要通过NAT网关实现VPC网络与公网互通,具体操作请参见配置公网访问。
(可选)在Flink控制台测试网络连通性,具体操作可参见如何进行网络探测?。
如何访问公网?
公网访问相较于内网在延迟方面存在不确定性。如果业务场景对网络延迟和稳定性要求较高,建议优先选择内网访问。
阿里云提供的NAT网关可以实现VPC网络与公网互通,以满足实时计算Flink版需要访问公网数据源的需求,具体操作详情请参见公网数据源。
如何查看公网带宽情况?
在使用公网读取或写入作业,作业各项指标都正常且作业没有反压的情况下,可以通过公网带宽来排查是否是有瓶颈问题。操作步骤如下:
在实时计算Flink版控制台的工作空间详情中获取专有网络ID。
在专有网络控制台,单击目标专有网络ID。
在资源管理里,单击公网NAT网关数字。
说明如果公网NAT网关数字为0,需要您创建公网NAT网关,具体操作详情请参见公网 NAT 网关。
单击公网NAT网关实例ID。
在绑定的弹性公网页签,单击实例名称。
在页面,单击监控运维查看公网带宽信息。
如何访问跨VPC的其他服务?
若其他服务处于规划前期或可替换时,建议直接购买与实时计算Flink版相同VPC的服务;或者释放当前Flink工作空间,重新开通一个与其他服务相同VPC的工作空间。
您可以根据实际的业务情况选择合适的方式访问跨VPC,具体方案选择请参见跨VPC服务。
如何设置白名单?
通常,实时计算Flink版上下游服务默认拒绝外部设备的访问。因此,您需要在目标服务的白名单中添加Flink工作空间配置的虚拟交换机的网段。操作步骤详情如下:
如何解析Flink作业所依赖服务的域名?
如果Flink作业依赖的上下游服务使用域名访问,迁移至实时计算Flink版后可能出现域名无法解析的问题。根据是否已有自建DNS,按以下方案选择解析方式。
场景一:无自建DNS
场景二:已有自建DNS且能正常解析域名
根据Flink工作空间绑定的VPC与自建DNS服务之间的网络连通情况,选择对应方案。
VPC与自建DNS网络连通
方案一:使用云解析DNS转发(推荐)
通过云解析DNS的转发管理功能,将解析请求转发至自建DNS。配置时注意以下事项:
创建出站终端节点时,出站VPC选择Flink工作空间所绑定的VPC。创建转发规则时,生效范围同样选择该VPC。
出站终端节点创建成功后,记录所有出站流量源IP地址。在自建DNS所在网络的安全组中,将这些IP地址添加至入方向白名单,端口开放53。
方案二:通过作业模板配置DNS(仅限非JDK 11引擎)
如果引擎版本不包含
jdk-11,还可以在作业模板中配置DNS。假设自建DNS IP为192.168.0.1,操作步骤如下:登录实时计算控制台。
单击目标工作空间操作列下的控制台。
在配置管理页面作业默认配置页签其他配置文本框,添加如下代码。
env.java.opts: >- -Dsun.net.spi.nameservice.provider.1=default -Dsun.net.spi.nameservice.provider.2=dns,sun -Dsun.net.spi.nameservice.nameservers=192.168.0.1说明此方式仅适用于非JDK 11引擎,引擎版本包含
jdk-11时无法生效。如果自建DNS有多个IP,IP之间使用英文逗号(,)分隔。
单击保存更改。
在实时计算开发控制台新建作业并运行。
如果仍报UnknownHostException错误,表示域名无法解析,请联系技术支持。
配置自建DNS域名解析后出现作业频繁failover,且报错信息为JobManager heartbeat timeout,请参见报错:JobManager heartbeat timeout。
VPC与自建DNS网络不通
报错:JobManager heartbeat timeout
报错详情
在配置了自建DNS域名解析后,出现作业频繁failover, 且报错信息为JobManager heartbeat timeout。
报错原因
可能是由于自建DNS的连接延迟大造成的。
解决方案
您需要在该作业中关闭对于TM的域名解析,即配置
jobmanager.retrieve-taskmanager-hostname: false,该配置并不会影响作业通过域名连接外部服务。配置方法请参见如何配置自定义的作业运行参数?。
为什么Flink和Kafka之间的网络是连通的,但是依然会有timeout expired while fetching topic metadata的报错?
Flink和Kafka之间的网络连通并不意味着能读取数据,只有Kafka Broker在bootstrap过程中返回的集群metadata中描述的Endpoint, 才可以连通Flink和Kafka,并读取到Kafka的数据,详情请参见Flink-cannot-connect-to-Kafka。检查办法为:
使用zkCli.sh或者zookeeper-shell.sh工具登录Kafka使用的Zookeeper。
执行
ls /brokers/ids命令列出所有的Kafka Broker ID。使用
get /brokers/ids/{your_broker_id}命令查看Broker metadata信息。Endpoint信息显示在listener_security_protocol_map中。
确认Flink是否可以连通该Endpoint。
如果该Endpoint中使用了域名,请为Flink配置对应的域名解析服务。域名解析方法详情请参见如何解析Flink作业所依赖服务的域名?。