Ray应用配置-云原生数据库 PolarDB-阿里云

当您创建Ray应用后，默认情况下应用无法从外部直接访问，也无法从应用内部访问公网。这可能导致您在开发和运行Ray应用时遇到连接失败或无法调用外部API等问题。本文档将指导您完成Ray应用的基础配置，包括设置安全配置、获取连接地址与应用参数以及开通公网访问能力，帮助您安全与高效地使用Ray应用。

安全配置

为保障应用安全，新创建的Ray应用默认禁止所有外部IP访问。您需通过配置IP白名单或ECS安全组，授权您的开发环境或应用服务器访问Ray应用。

说明

应用白名单与集群白名单相互独立，需进行单独配置。

在开始配置前，请先进入目标Ray应用的管理页面：

当您需要从固定的公网IP（如本地开发机、办公室出口IP）或VPC内的特定IP地址访问Ray应用时，应使用IP白名单。

如果您的ECS实例需要访问应用，可在ECS实例详情页面查看ECS实例的IP地址，并将其填写至IP白名单中。
- 如果您的ECS实例与应用位于同一VPC内，您可以填写ECS的私网IP地址或其所在VPC网段。
- 如果您的ECS实例与应用不在同一VPC内，您可填写ECS的公网IP地址，或添加ECS所在的安全组。
如果您本地的服务器、电脑或其他云服务器需要访问应用，请将其公网IP地址添加到IP白名单中。

配置步骤

单击新增IP白名单分组或配置已有IP白名单分组。规则说明如下：

分组名称要求：长度为2至120个字符，只能由小写字母、数字、下划线（_）组成，且必须以字母开头，以字母或数字结尾。
IP格式：支持单个IP地址（如192.168.0.1）或CIDR格式的IP段（如 192.168.0.0/24）。多个IP地址需要用英文逗号,隔开，如192.168.0.1,192.168.0.0/24。
默认规则：应用默认包含一个名为default的分组，其IP地址为127.0.0.1，代表禁止所有IP地址访问。
高风险设置：将IP地址设置为0.0.0.0/0意味着允许任何IP地址访问您的集群，这将带来安全风险，请仅在测试或特殊场景下谨慎使用。

当您需要授权同一安全组内的所有ECS实例（特别是IP地址可能动态变化的弹性伸缩组）访问Ray应用时，推荐使用ECS安全组。这种方式更易于集中管理和动态授权。

说明

配置步骤

单击选择安全组，将需要ECS安全组关联到Ray应用中。

Ray应用创建后默认提供VPC私网地址，保障了云上资源间通信的安全与高效。当您需要在本地开发环境调试代码，或使用外部工具连接Ray应用时，可以通过申请公网地址实现从公网访问。

获取步骤

登录PolarDB控制台，在集群详情页中，单击左侧导航栏中的AI能力 > AI应用。
在AI应用列表页面，单击您的应用ID进入应用详情页，在基本信息页签中拓扑图区域的应用连接处查看公网地址或私网地址。

说明

应用连接地址说明

Ray应用的配置信息包括Dashboard登录账号与密码、Jupyter Notebook登录密码等。您可以根据业务需求在配置页面进行查看和修改。

配置步骤

说明

修改部分参数后，会自动重启Ray应用，建议在业务低峰期操作。

参数说明

参数名	参数说明
`secret.dashboard.username`	Ray Dashboard的登录用户名。
`secret.dashboard.password`	Ray Dashboard的登录密码。
`secret.jupyterlab.password`	用于登录Jupyter Notebook和进行API调用的Token。
`secret.jwt.enabled`	控制向Ray应用提交Job时是否开启JWT（JSON Web Token）鉴权。
`secret.jwt.secret`	访问Ray应用的密钥。
`secret.jwt.anonKey`	访问Ray应用的匿名密钥。

Ray应用默认不具备访问外部网络的能力。因此，需要为Ray应用所属集群的VPC配置NAT网关，以便允许其访问外部网络。

配置步骤

创建公网NAT网关：请前往NAT 网关 - 公网 NAT 网关购买页进行创建。在创建过程中，请确保选择与PolarDB PostgreSQL版相同的VPC和交换区。
配置SNAT条目：前往公网 NAT 网关页面。单击目标网关操作列的设置SNAT，单击创建SNAT条目。参数请按如下配置：
- SNAT条目粒度：VPC粒度。
- 选择弹性公网IP地址：在下拉列表中选择提供公网访问的EIP。

说明

开通公网访问能力将产生相关的公网NAT网关及公网流量费用。相关费用说明，请参见NAT 网关计费。