部署在Serverless 应用引擎 SAE(Serverless App Engine)上的应用,其业务通常需要获取公网资源或者跨VPC访问。本文介绍如何配置NAT网关使SAE应用从VPC内网环境访问公网。
背景信息
在业务部署过程中,可能会遇到以下需要访问公网的场景。
容器在运行时需要建立公网依赖。
与第三方有合作,例如使用微信小程序需要访问公网。
应用需要跨VPC或地域访问数据库。
实施方案
为同一VPC下的所有应用实例配置一个公共NAT网关代理并绑定EIP,通过SNAT功能为VPC内所有无公网IP地址的应用实例配置访问公网代理。
如果VPC内多个vSwitch下的实例需要出公网,则针对多个vSwitch都需要配置SNAT。
单个VPC内存在多个应用访问公网,配置代理后仅需绑定1个EIP。
注意事项
如果您的VPC内存在多个NAT实例,您需要确保VPC内的路由表中的路由规则已绑定SAE所关联的NAT实例。关于修改路由表的操作步骤,请参见创建和管理路由表。
步骤一:创建NAT网关
登录NAT网关管理控制台。
在顶部菜单栏,选择公网NAT网关的地域。
在公网NAT网关页面,单击创建公网NAT网关。
首次使用NAT网关时,在创建公网NAT网关页面关联角色创建区域,单击创建关联角色。角色创建成功后即可创建NAT网关。
关于NAT网关服务关联角色的更多信息,请参见服务关联角色。在公网NAT网关页面,配置相关信息,单击立即购买。
配置项
说明
付费模式
默认选择为按量付费,即一种先使用后付费的付费模式。
资源组
选择VPC所属的资源组。
标签
选择或输入完整的标签键与标签值。最多支持输入20个键值对。一个标签键或标签值最多支持128个字符,不能以
aliyun和acs:开头,不能包含http://或者https://。所属地域
选择部署在SAE上的应用所在的地域。
所属专有网络
选择部署在SAE上的应用所在的VPC ID。创建后不能修改公网NAT网关所属的VPC。
关联交换机
选择交换机ID。
计费类型
默认选择为按使用量计费,即按公网NAT网关实际使用量收费。
计费周期
默认选择为按小时,即按使用量计费公网NAT网关的计费周期为1小时,不足1小时按1小时计算。
实例名称
设置公网NAT网关实例的名称。
访问模式
选择公网NAT网关的访问模式。支持以下两种模式:
VPC全通模式(SNAT):选择了VPC全通模式,在公网NAT网关创建成功后当前VPC内所有实例即可通过该公网NAT网关访问公网。
选择VPC全通模式(SNAT)后,您需要配置EIP的相关信息。
稍后配置:如需稍后配置或有更多配置需求,可在购买完成后,前往控制台进行配置。
选择稍后配置,则只购买公网NAT网关实例。
本文选择VPC全通模式(SNAT)。
弹性公网IP
选择公网NAT网关的EIP。支持以下两种模式:
选择已有:在弹性网关IP实例下拉列表中选择已有的EIP实例绑定到公网NAT网关实例的EIP。
新购弹性公网IP:在公网NAT网关实例地域新购按量付费EIP实例。
说明从2022年09月19日起,新创建的公网NAT网关绑定一个弹性公网IP(Elastic IP Address,简称EIP)时将占用NAT网关所在交换机的一个私网IP ,请确保NAT网关所在交换机内私网IP地址充足,如果NAT网关所在的交换机没有可用的空闲私网地址时,将无法绑定新的EIP。
在确认订单页面,仔细确认公网NAT网关的配置信息,选中服务协议并单击确认订单。
当出现恭喜,购买成功!的提示后,说明已创建成功。您可以在公网NAT网关页面查看已创建的公网NAT网关实例以及绑定的EIP。
步骤二:创建SNAT条目
创建SNAT条目,为专有网络中没有公网IP地址的应用实例,提供访问公网代理服务。
登录NAT网关管理控制台。
在顶部菜单栏,选择公网NAT网关的地域。
在公网NAT网关页面,找到目标公网NAT网关实例,然后在操作列单击设置SNAT。
在SNAT管理页签,单击创建SNAT条目。
在创建SNAT条目页面,配置相关信息,单击确定创建。
配置项
说明
SNAT条目粒度
选择交换机粒度。
选择交换机
选择VPC中的交换机,该交换机下所有的应用实例均可通过SNAT功能进行公网访问。
说明如果持有公网IP的应用实例(例如已经绑定了EIP)发起互联网访问,系统将优先使用其持有的公网IP地址,而不会使用NAT网关的SNAT功能。
交换机网段
选择交换机后,该区域会自动显示该交换机的网段。
选择公网IP地址
选择用来提供互联网访问的公网IP地址。
说明您创建SNAT条目的公网IP地址不能再用来创建SNAT条目。
条目名称
输入自定义的条目名称。
创建成功后,在SNAT条目列表查看已配置的SNAT条目。