Flink开通公网，跨VPC连接-实时计算 Flink版(Flink)-阿里云帮助中心

针对实时计算 Flink 无法直接访问公网的限制，本文提供多场景下的网络连通性解决方案，包括公网访问、跨 VPC 互联及混合云连接。

地域与可用区选择

在购买使用实时计算Flink版之前，建议您先了解如下基本概念。

地域（Region）

地域指阿里云数据中心所在的地理区域，通常按照数据中心所在的城市划分。例如，华东1（杭州）地域表示数据中心所在的城市是杭州。资源部署地域与实际业务数据地域的距离越近，网络延迟越低，访问速度越快。
可用区（Available Zone）

可用区是同一地域内具备独立电力和网络基础设施的物理区域（机房）。一个地域通常包含多个可用区，且不同地域之间的可用区完全隔离。在部署业务时，您可以选择跨可用区部署。由于可用区之间电力和网络相互独立，这种部署方式能够显著提升业务可靠性，实现同城多机房的容灾冗余，保障高可用性。

说明

根据上述条件，您需要结合自身业务数据所在地域的分布情况，选择最优的地域和可用区进行服务部署。确保业务数据的高可用性与稳定性，同时有效降低数据传输的延迟。

网络选型

根据实际业务数据的网络情况，选择合适的网络连通方案。

业务数据	适用场景
公网数据源	适用于因目标数据源不支持私网通信或未与VPC直连，需通过公网IP访问外部数据源的场景。
跨VPC服务	适用于同账号或跨账号、同地域或跨地域的两个VPC之间实现私网互通的场景，以降低网络延迟和提升安全性。
混合云场景	适用于与其他云厂商产品或本地数据中心实现数据互通的场景，满足企业多云架构及混合部署需求。

公网数据源

公网访问相较于内网在延迟方面存在不确定性。如果业务场景对网络延迟和稳定性要求较高，建议优先选择内网访问。

阿里云提供的NAT网关可以实现VPC网络与公网互通，以满足实时计算Flink版需要访问公网数据源的需求。

配置公网访问

步骤一：创建NAT网关配置EIP

登录NAT网关控制台。
单击创建公网NAT网关。

请按照购买页面的要求填写相关信息：

请选择购买实时计算Flink版时绑定的所属地域，所属专有网络和关联交换机这三个选项。

详细信息可以在实时计算控制台，单击工作空间更多 > 工作空间详情中查看，其中专有网络 ID即为所属专有网络信息，虚拟交换机区域中的交换机名称及ID即为关联交换机信息。
访问模式：专有网络全通模式（SNAT）
弹性公网IP：新购弹性公网IP（如地域不在中国内地时，可以参考线路类型先购买EIP后选择已有）

线路类型：BGP（多线）

如果您的实时计算Flink版地域不在中国内地时，网络线路将有更多选项，根据自身业务数据所在，就近选择合适的EIP方案进行购买。

线路类型

需前往弹性公网IP控制台进行创建购买。

对比项	弹性公网 IP（BGP 多线）	弹性公网 IP（BGP 多线-精品）	任播弹性公网 IP（Anycast EIP）
核心优势场景	优质 BGP 公网线路，用于低成本公网访问	优化返回中国内地流量，通过运营商精品公网线路直连中国内地	全球多地域使用相同 IP，用户流量就近接入阿里云网络
场景	业务部署在某地域（不限）终端用户使用互联网，从任意地区访问流量经过运营商普通线路	业务部署在中国内地以外区域终端用户使用互联网，从中国内地访问流量经过运营商精品线路	业务部署在中国内地以外区域终端用户使用互联网，从海外地区通过Anycast EIP访问流量经过运营商普通线路、阿里云全球传输网络
质量	低	高	高
成本	低	中	高

单击立即购买，完成付款后，等待资源配置完成。
（可选）进行配置SNAT。
1. 在购买的公网NAT实例中，单击设置SNAT。
2. 单击创建SNAT条目。
3. 选择VPC粒度，选择相应的弹性公网IP。
4. 单击确认创建。

步骤二：上下游访问配置

此时，实时计算 Flink 版已具备访问公网 IP 数据源的能力，但通常需将弹性公网 IP 添加至防火墙规则或安全组策略中，以确保访问来源的合法性。

以访问阿里云ECS中部署的MySQL存储为例，需要我们添加对应的安全组策略（此ECS已开通绑定弹性公网）。

访问ECS控制台-实例。
单击对应实例，在安全组页签中，单击对应安全组。
单击快速添加入方向，授权对象填写对应绑定的弹性公网IP，选择对应MySQL端口。
单击确认。实时计算 Flink 版就可以通过访问该ECS的公网IP来访问其中部署的MySQL存储。
您可以通过实时计算Flink版开发控制台右上角的网络探测功能，完成网络连通性测试。

填写目标的Host和Port（如3306），单击探测，提示网络探测成功连通即表示连通正常。

跨VPC服务

若其他服务处于规划前期或可替换时，建议直接购买与实时计算Flink版相同VPC的服务；或者释放当前Flink工作空间，重新开通一个与其他服务相同VPC的工作空间。

跨VPC网络连接，常用的有如下方式：

VPC对等连接：VPC对等连接可跨账号、跨地域连接两个私有网络（VPC），实现私有IP直接通信，如同处于同一网络环境。支持同账号内及跨账号的VPC互联。
转发路由器：转发路由器用于连接并转发同区域或跨区域的网络实例流量。通过网络连接将VPC关联后，路由自动同步。每个区域仅允许一个转发路由器，跨区域需使用独立路由器。
私网连接：私网连接通过安全私有通道连接VPC来实现服务访问，规避公网暴露风险（如数据泄露、DDoS攻击），并简化架构，提升访问效率与可靠性。

对比项	VPC 对等连接	转发路由器	私网连接
连接方式	VPC两两之间建立连接	VPC以网络连接方式加入转发路由器	VPC之间基于终端节点服务的定向连接
是否支持路由传播	不支持	支持	不支持
访问方式	双向访问	双向访问	单向访问
是否支持跨账号	支持	支持	支持
是否支持跨地域	支持	支持	不支持
优势场景	少量 VPC 互联	大量 VPC 互联	VPC 定向连接
配置复杂度	高。需要两两建立对等连接关系并相互配置对端路由。	低。VPC 只需要加入转发路由器并配置路由指向转发路由器的网络连接。	低。私网连接无需考虑地址冲突和路由配置，网络配置简单。
网络延迟	低	中。由于流量经过转发路由器，会增加额外一跳的延迟。	低
成本	同地域不收费。跨地域统一由云数据传输 CDT 收取出方向流量传输费。	同地域收取连接费、流量处理费，跨地域收取带宽包实例费、连接费和流量处理费。	根据私网连接服务的实际使用量进行计费，费用包含实例费和流量处理费。
VPC 之间网段是否可以重叠	不可以	不可以	可以

场景示例

某企业在华东1（杭州）和华北2（北京）地域分别创建了VPC1和VPC2。华东1地域部署了实时计算Flink版，而华北2地域则购买了ECS服务器作为业务数据存储与开发。

该场景适用于在同一阿里云账户或跨账户下，实现不同VPC之间（可跨地域）的网络互通，推荐采用VPC对等连接方案。

说明

对等连接的两端VPC和交换机之间的网段不可以重叠。

例如，网段分别为192.168.0.0/16和192.168.0.0/24的VPC，即使创建了对等连接也无法实现网络连通。
如果需要创建跨账号VPC对等连接，需确保发起端和接收端账号均已创建VPC。
具体操作详情请参见使用VPC对等连接实现VPC私网互通。

混合云场景

如下产品都支持将本地数据中心等网络连接至云上专有网络，快速构建混合云。

高速通道：高速通道通过物理专线将本地数据中心、其他云厂商平台等网络连接到阿里云。在两端距离很远的情况下，高速通道仍可以提供低时延、低丢包率和高带宽的内网级通信质量。
VPN网关：VPN网关通过建立加密隧道的方式，实现企业本地数据中心、企业办公网络、互联网客户端、其他云厂商等平台与阿里云专有网络之间的安全可靠连接。

对比项	高速通道	VPN 网关
质量	高（专线）	低（公网）
建设周期	较长（2~3个月）	短（开通认证后即用）
成本	高	低
传输带宽	单链路支持最大100Gbps带宽。支持多条专线链路聚合实现Tbps级带宽。	受限于公网IP的带宽。
业务适用场景	金融、政企等对网络安全性要求高的企业上云需求。	企业办公网络、数据存储等基础服务上云需求。