使用专属网关部署EAS服务_人工智能平台 PAI(PAI)-阿里云帮助中心

EAS专属网关提供了灵活的网络配置功能，您可以通过白名单控制公网和内网访问，还可以自定义域名访问服务。此外，专属网关可以提升网络带宽，帮助您降低高并发和高吞吐业务场景带来的网络风险。

功能概述

专属网关支持以下功能：

访问控制：通过白名单控制公网和内网访问。
自定义域名访问：支持配置自定义域名和证书提供对外服务。
跨账号VPC访问：支持跨账号的同地域VPC内服务器通过内网地址访问EAS服务。
权威域名解析：支持网关域名权威解析，跨云、线下IDC机房调用EAS服务时使用，需与阿里云网络打通。

说明

您可以将专属网关设置为默认网关。后续在您部署服务并配置专属网关时，系统将自动默认选用已配置的默认专属网关。
日志与监控默认不开启。如需使用，在日志/监控页面，单击立即开启；若开通项未开通，请单击一键开通，再单击右下角的开启。

计费说明

专属网关本身支持按量计费和包年包月两种计费方式，详情请参见模型在线服务（EAS）计费说明。
如通过内网访问，会产生额外的私网连接（PrivateLink）费用，包括实例费和流量处理费，计费详情请参见私网连接（PrivateLink）计费说明。
如通过公网访问，服务过程中产生的公网流量费通过CDT云数据传输计费收取，详见CDT控制台。

一、新建并配置专属网关

1.1 新建专属网关

登录PAI控制台，在页面上方选择目标地域，并在右侧选择目标工作空间，然后单击进入EAS。
在专属网关页签，单击新建专属网关，根据实际需要选择新建预付费专属网关（包年包月）或新建后付费专属网关（按量付费）。
在EAS专属网关付费页面，配置参数。请参考附录：服务专属网关容量说明选择网关规格，以保证服务的稳定性。
参数配置完成后，单击立即购买。按照界面操作指引确认订单并完成支付。
您可以在专属网关列表中查看已购买的专属网关，当状态为运行中时，即可使用该专属网关。

说明

专属网关新建之后支持更新网关规格和网关节点数，更改后大约需3~5分钟生效。

1.2 配置访问控制

在专属网关页签，单击目标专属网关名称进入专属网关详情页面，在网关访问控制区域进行配置。

公网访问控制

在公网页签，打开访问入口开关。当状态为已开通时，表明已为专属网关开启公网访问通道。
默认公网均不可访问专属网关，您需要单击添加白名单，填入允许访问的公网IP地址段（例如192.0.2.0/24）。
- 每个条目之间使用半角逗号（,）或换行符分隔。
- 如需设置公网均可访问，则添加0.0.0.0/0地址段。最多支持添加15个地址段。
验证专属网关公网访问连通性。例如添加的白名单地址段为本地设备的公网IP地址。
1. 在公网页签，查询域名地址。
2. 在本地终端中，访问该域名地址，输出如下结果，表明支持白名单地址段通过公网访问专属网关。
关闭专属网关公网访问通道。
1. 在公网页签，关闭访问入口开关，即可关闭专属网关公网访问权限。
2. 在本地终端中，访问该域名地址，输出如下结果，表明专属网关的公网访问通道关闭。

内网访问控制

在专有网络页签，单击添加专有网络，选择需要连通的VPC及交换机。
- 支持跨账号添加同地域VPC。添加账号B的VPC后，该VPC内服务器能通过VPC地址访问使用该专属网关的EAS服务。
  说明
  此为白名单功能，如有需要请提工单。
- 支持网关域名权威解析。跨云、线下IDC机房调用EAS服务时使用，需提前和阿里云网络打通。目前只能在一个专有网络的配置中使用权威域名解析。
添加VPC时，系统会默认在该VPC上配置一个0.0.0.0/0的白名单，表示允许该VPC内所有IP访问。您可根据需要修改白名单。
验证专属网关的内网访问连通性。
1. 在专有网络页签，查询域名地址。
2. 在专有网络内的终端机器上，访问该域名地址，输出如下结果，表明支持白名单地址段通过内网访问专属网关。
  说明
  在专有网络内，所有可用区都可以通过配置白名单访问专属网关，不局限于添加到专属网关的交换机可用区。
关闭专属网关的专有网络访问通道。
1. 您可以在专有网络列表中，单击交换机操作列下的删除，即可关闭专属网关的专有网络访问权限。
2. 在专有网络内的终端机器上，访问该域名地址，输出如下结果，表明专属网关的内网访问通道已关闭。

1.3 配置自定义域名

（可选）数字证书管理。如果您使用HTTPS协议来访问服务，需先在数字证书管理服务中维护自定义域名的SSL证书才能在专属网关中进行设置。
1. 登录数字证书管理服务控制台，选择SSL证书管理。
2. 域名没有证书可以选择购买证书，或者上传已有的证书，详情请参见购买SSL证书和上传SSL证书。
配置公网和内网自定义域名。
配置公网自定义域名
1. 在专属网关详情页面，切换到域名页签，单击创建域名，参考下图进行配置。
  如果服务已经使用该专属网关部署，在公网自定义域名设置成功之后，需要等待一会儿（5分钟以内）才生效。查看服务调用信息，如果公网调用地址的域名已经为网关中配置的公网自定义域名，则公网自定义域名已经生效。
2. 配置公网域名解析。为公网自定义域名添加CNAME解析记录，将其指向专属网关公网域名。
  1. 在专属网关的网关详情页签，查看专属网关的公网域名地址。
  2. 以阿里云权威域名解析为例（其它云厂商类似）。登录阿里云DNS解析控制台，在权威域名页签找到自定义域名（非阿里云注册域名需手动添加域名），单击进入解析设置页面，单击添加记录。其中记录类型选择CNAME，主机记录为自定义域名，记录值填写步骤a中的专属网关公网域名。详情请参见添加域名和添加解析记录。
配置内网自定义域名
1. 在专属网关详情页面，切换到域名页签，单击创建域名。参考如下配置。
2. 如果服务已经使用该专属网关部署，在内网自定义域名设置成功之后，需要等待一会儿（5分钟以内），查看服务调用信息，如果调用信息中VPC调用地址中的域名已经为网关中配置的私网域名，则域名已经生效。

二、服务绑定专属网关

登录PAI控制台，在页面上方选择目标地域，并在右侧选择目标工作空间，然后单击进入EAS。
在推理服务页签，单击部署服务，然后在自定义模型部署区域，单击自定义部署。
在新建服务页面的服务功能配置区域，单击专属网关，并选择已创建的专属网关。其他参数配置说明，请参见控制台自定义部署参数说明。
参数配置完成后，单击部署。
当服务状态为运行中时，表明服务已成功部署。

三、测试服务调用

在推理服务页签，在目标服务的服务方式列单击调用信息，在专属网关页签，能查询公网调用地址、VPC调用地址和Token。

使用curl命令发起请求，验证返回数据是否正常。

公网调用：可以在本地终端中执行。
内网调用：在专有网络内的终端机器上执行。

curl <接口URL> -H'Authorization:<token>'

下图测试接口为GET请求，无参，期望返回True。

公网调用

常见问题

添加专有网络报错：Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]
选择的交换机所属可用区不符合要求。请重新选择一个支持的可用区内的交换机。

通过专属网关调用