CEN跨VPC访问专属网关最佳实践

为了满足您在安全隔离与访问控制方面的需求,PAI-EAS提供了专属网关功能。该功能支持灵活的访问方式,包括公网访问、同地域内跨专有网络VPC(Virtual Private Cloud)访问和跨地域VPC访问。本方案将以跨地域VPC为例,为您介绍如何使用云企业网CEN(Cloud Enterprise Network)等方式实现跨VPC访问专属网关。

方案概览

客户已通过CEN、VPC对等连接或其他方式实现跨VPC网络互联,本方案不涉及网络打通操作,仅介绍网络打通后的VPC如何连接到专属网关。实现跨VPC访问专属网关大致分为如下四步:

  1. 创建专属网关并绑定VPC:执行相应操作后,系统会为专属网关配置内网访问权限。

  2. 为专属网关设置域名生效范围:将其他地域的VPC添加至专属网关的域名生效范围内。

  3. 验证连通性:验证其他地域VPC可以通过域名地址访问专属网关。

  4. 创建服务并关联专属网关:部署服务时绑定专属网关,其他地域VPC可以通过专属网关访问EAS服务。

image

前提条件

在执行操作前,您需要完成以下准备工作:

步骤一:创建专属网关并绑定VPC

  1. 登录PAI控制台并选择华北2(北京)地域,在左侧导航栏选择模型部署 > 模型在线服务(EAS),然后在选择工作空间后单击进入EAS

  2. 模型在线服务(EAS)页面的专属网关页签,新建专属网关。具体操作,请参见服务专属网关

  3. 在专属网关详情页面的专有网络页签,添加专有网络。具体操作,请参见服务专属网关image

    其中步骤③选择已在华北2(北京)地域创建的VPC(ID)交换机

    说明

    添加专有网络时,如果出现以下报错信息,您需要重新选择一个支持的可用区内的交换机。

    Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]

    状态运行中时,表明专有网络已添加成功。

步骤二:为专属网关设置域名生效范围

  1. 登录到 云解析DNS控制台,在内网DNS解析(PrivateZone)页面,单击目标用户域名(即已创建的专属网关)操作列下的生效范围设置

  2. 域名设置 页签,单击 域名生效范围 处的下拉箭头,在 阿里云VPC内网 设置框内选择在华东1(杭州)地域创建的VPC。image

  3. 配置完成后,单击 确定 完成域名生效范围的设置。

步骤三:验证连通性

  1. 在专属网关详情页面的专有网络页签,查询域名地址image

  2. 步骤二绑定的VPC内的终端机器上,访问该域名地址。

    输出如下结果,表明支持跨VPC访问专属网关。image

步骤四:创建服务并关联专属网关

部署服务时绑定专属网关

  1. 登录PAI控制台并选择华北2(北京)地域,在左侧导航栏选择模型部署 > 模型在线服务(EAS),然后在选择工作空间后单击进入EAS

  2. 在模型在线服务(EAS)页面,自定义部署模型服务,您需要在服务功能配置区域,选择已创建的专属网关,其他配置说明,请参见服务部署:控制台image

    服务状态运行中时,表明服务已成功部署。

验证网络连通性

  1. 查看服务访问地址。

    1. 在服务列表中,单击目标服务名称,进入服务详情页面。

    2. 查询服务访问地址。image

  2. 验证其他地域VPC可以通过专属网关访问EAS服务。

    在其他地域VPC的终端机器上,访问上述已查询的服务访问地址(需要将访问地址前端的http://和尾端的/删除),输出如下结果,表明其他地域VPC支持通过专属网关访问EAS服务。image

相关文档

关于专属网关的计费说明、使用流程等更详细的内容介绍,请参见服务专属网关