使用专属网关部署EAS服务_人工智能平台 PAI(PAI)-阿里云帮助中心

为了满足您在安全隔离与访问控制方面的需求，EAS提供了专属网关功能。通过专属网关，您可以灵活地进行网络配置，支持为专有网络和公网配置访问白名单、自定义域名。此外，专属网关还可以帮助您降低高并发和高吞吐业务场景带来的网络风险。本文将介绍如何使用专属网关。

计费说明

专属网关的计费方式有按量计费和包年包月，计费详情请参见模型在线服务（EAS）计费说明。此外，使用专属网关还会产生额外的私网连接（PrivateLink）费用，包括实例费和流量处理费，计费详情请参见私网连接（PrivateLink）计费说明。

功能概述

公网访问：默认公网均不可访问专属网关，您可以开启公网访问入口，并通过白名单控制访问。
内网访问：为专属网关添加专有网络后，专有网络内的设备能通过专有网络域名访问该专属网关，您可以修改白名单进一步控制访问权限。
自定义域名访问：支持配置自定义域名和证书提供对外服务。

说明

专属网关新建之后支持更新网关规格和网关节点数，更改后大约需3~5分钟生效。
您可以将专属网关设置为默认网关。后续在您部署服务并配置专属网关时，系统将自动默认选用已配置的默认专属网关。
日志与监控默认不开启。如需使用，在日志/监控页面，单击立即开启，如开通项未开通，请单击一键开通，再单击右下角的开启。

步骤一：新建专属网关

登录PAI控制台，在页面上方选择目标地域，并在右侧选择目标工作空间，然后单击进入EAS。
切换到专属网关页签，然后单击新建专属网关，根据实际需要新建预付费专属网关（包年包月）或新建后付费专属网关（按量付费）。
在EAS专属网关付费页面，配置参数。其中，网关规格选择可参考附录：服务专属网关容量说明。选择规格后，您可以在页面右下方查看所选规格对应的单价信息。
参数配置完成后，单击立即购买。按照界面操作指引确认订单并完成支付。
您可以在专属网关列表中查看已购买的专属网关，当状态为运行中时，即可使用该专属网关。

步骤二：为专属网关配置网络访问权限

配置公网访问

开通公网访问。
1. 在专属网关页面，单击专属网关名称，进入专属网关详情页面。
2. 在网关访问控制区域，单击公网。
3. 打开访问入口开关，然后在开启公网访问入口对话框中，单击确定。
  当状态为已开通时，表明已为专属网关开启公网访问通道。

配置公网访问白名单。

当公网访问入口状态为已开通时，默认公网均不可访问专属网关，您需要按照以下操作步骤添加访问白名单地址段：

在公网页签，单击添加白名单。

在添加白名单配置面板，配置以下参数，参数配置完成后，单击确定。

参数	描述
地址段	输入允许公网访问的地址段，例如192.0.2.0/24。每个条目之间使用半角逗号（,）或换行符分隔。如需设置公网均可访问，则添加0.0.0.0/0地址段。
备注	为白名单添加备注信息，用于区分白名单。

您还可以单击添加按钮，增加新的白名单，最多支持添加15个地址段。

验证专属网关公网访问连通性。例如添加的白名单地址段为本地设备的公网IP地址。
1. 在公网页签，查询域名地址。
2. 在本地终端中，访问该域名地址，输出如下结果，表明支持白名单地址段通过公网访问专属网关。
关闭专属网关公网访问通道。
1. 在公网页签，关闭访问入口开关，即可关闭专属网关公网访问权限。
2. 在本地终端中，访问该域名地址，输出如下结果，表明专属网关的公网访问通道关闭。

配置内网访问

添加专有网络。
1. 在专属网关页面，单击专属网关名称，进入专属网关详情页面。
2. 在网关访问控制区域的专有网络页签，单击添加专有网络。
3. 在添加专有网络对话框中，选择VPC（ID）和交换机，如果没有可选的VPC和交换机，您可以单击创建VPC和创建子网（交换机）进行创建，参数配置完成后，单击确定。
  说明
  添加专有网络时，如果出现以下报错信息，您需要重新选择一个支持的可用区内的交换机。
```
Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]
```
  当状态为运行中时，表明专有网络已添加成功。

配置内网访问白名单。

专有网络添加成功后，系统会默认在该VPC上配置一个0.0.0.0/0的白名单，代表可以连通该VPC内的全部地址段。您也可以按照以下操作步骤重新编辑白名单：

在专有网络列表中，单击目标专有网络白名单操作列下的修改白名单。

在修改白名单配置面板中，配置白名单，每个白名单需要配置以下参数。

参数	描述
地址段	删除地址段0.0.0.0/0，并配置需要加入白名单的地址段，例如10.0.0.0/16，多个地址段之间使用半角逗号（,）或换行符分隔。
备注	添加备注信息，用来区分不同白名单。

您还可以单击添加按钮，增加新的白名单，最多支持添加15个地址段。

白名单添加完成后，单击确认。

验证专属网关的内网访问连通性。
1. 在专有网络页签，查询域名地址。
2. 在专有网络内的终端机器上，访问该域名地址，输出如下结果，表明支持白名单地址段通过内网访问专属网关。
  说明
  在专有网络内，所有可用区都可以通过配置白名单访问专属网关，不局限于添加到专属网关的交换机可用区。
关闭专属网关的专有网络访问通道。
1. 您可以在专有网络列表中，单击交换机操作列下的删除，即可关闭专属网关的专有网络访问权限。
2. 在专有网络内的终端机器上，访问该域名地址，输出如下结果，表明专属网关的内网访问通道已关闭。

步骤三：服务绑定专属网关

登录PAI控制台，在页面上方选择目标地域，并在右侧选择目标工作空间，然后单击进入EAS。
在推理服务页签，单击部署服务，然后在自定义模型部署区域，单击自定义部署。
在新建服务页面的服务功能配置区域，单击专属网关，并选择已创建的专属网关。其他参数配置说明，请参见服务部署：控制台。
参数配置完成后，单击部署。
当服务状态为运行中时，表明服务已成功部署。

步骤四（可选）：专属网关使用自定义域名

可选：数字证书管理

如果您使用HTTPS协议来访问服务，需先在数字证书管理服务中维护自定义域名的SSL证书才能在专属网关中进行设置。

登录数字证书管理服务控制台，选择SSL证书管理。
域名没有证书可以选择购买证书，或者上传已有的证书，详情请参见购买SSL证书和上传SSL证书。

配置公网自定义域名

在专属网关详情页面，切换到域名页签，单击创建域名，参考下图进行配置。
如果服务已经使用该专属网关部署，在公网自定义域名设置成功之后，需要等待一会儿（5分钟以内）才生效。查看服务调用信息，如果调用信息中公网访问地址的域名已经为网关中配置的公网自定义域名，则公网定义域名已经生效。
配置公网域名解析。为公网自定义域名添加CNAME解析记录，将其指向专属网关公网域名。
1. 在专属网关的网关详情页签，查看专属网关的公网域名地址。
2. 以阿里云权威域名解析为例（其它云厂商类似）。登录阿里云DNS解析控制台，在权威域名页签找到自定义域名（非阿里云注册域名需手动添加域名），单击进入解析设置页面，单击添加记录。其中记录类型选择CNAME，主机记录为自定义域名，记录值填写步骤a中的专属网关公网域名。详情请参见添加域名和添加解析记录。

配置内网自定义域名

在专属网关详情页面，切换到域名页签，单击创建域名。参考如下配置。
如果服务已经使用该专属网关部署，在内网自定义域名设置成功之后，需要等待一会（5分钟以内），查看服务调用信息，如果调用信息中VPC地址调用中的域名已经为网关中配置的私网域名，则域名已经生效。

步骤五：测试服务请求访问

在推理服务页签，在目标服务的服务方式列单击调用信息，查询公网地址调用和VPC地址调用页签的访问地址。

使用curl命令发起请求，验证返回数据是否正常。

公网调用：在本地终端中执行，使用公网地址调用页签下的地址和Token。
内网调用：在专有网络内的终端机器上执行，使用VPC地址调用页签下的地址和Token。

curl <接口URL> -H'Authorization:<token>'

下图测试接口为GET请求，无参，期望返回True。

公网调用