配置公网NAT网关使SAE应用能访问公网_Serverless 应用引擎(SAE)-阿里云帮助中心

SAE应用实例不具有公网IP，无法直接访问公网上的资源或服务。在SAE应用所在的VPC创建公网NAT网关，即可为所有SAE应用实例主动访问公网提供代理服务。

SAE应用通过公网NAT网关来访问公网时，能够将所有应用实例的请求源IP转换为统一的固定公网IP，适用于绝大多数场景（例如访问公网数据库服务时，方便将转换后的固定公网IP加入数据库白名单）。需要注意即使已经通过配置Service或Ingress实现客户端从公网访问SAE应用（入方向），此时仍需要创建公网NAT网关，才使得SAE应用实例能够主动访问公网上的资源或服务（出方向）。

特殊场景下，如需每个SAE应用实例使用独立的公网IP与其他公网服务建立连接，可以选用另一种SAE应用访问公网的方案：为每个SAE应用实例绑定公网EIP，但需要注意此时应用实例的公网IP是动态变化的，因为应用实例可能随时被创建或销毁。

操作步骤

1. 创建公网NAT网关

如果SAE应用所在的VPC当前不存在公网NAT网关，则按照以下步骤创建；

如果已存在，则无需重复创建，跳过此步骤，后续步骤针对已有公网NAT网关实例进行配置即可。建议一个VPC内仅创建一个公网NAT网关实例，以避免潜在的路由冲突。

如何查看SAE应用所在的VPC

SAE应用属于某个命名空间，命名空间需要关联一个VPC，SAE应用实例均部署在该VPC中。通过以下方式查看：

在SAE应用列表中，在顶部选择目标地域和命名空间，点击目标应用ID跳转到应用详情页。
在左侧导航栏点击基础信息，点击应用信息页签。
在应用信息区域，可以查看应用所在的VPC，点击VPC ID跳转到VPC详情页。

如何判断VPC是否已存在公网NAT网关

在VPC详情页，点击资源管理页签。
在公网访问服务区域，查看当前VPC中公网NAT网关实例数量。
点击实例数量跳转到公网NAT网关列表。

登录NAT网关管理控制台。
在顶部菜单栏，选择公网NAT网关的地域。
在公网NAT网关页面，单击创建公网NAT网关。
首次使用NAT网关时，在创建公网NAT网关页面关联角色创建区域，单击创建关联角色。角色创建成功后即可创建NAT网关。
关于NAT网关服务关联角色的更多信息，请参见服务关联角色。
配置以下参数，单击立即购买，立即开通。详见NAT 网关计费。
1. 地域选择SAE应用部署的地域。
2. 网络及可用区：选择SAE应用所在的VPC，选择期望部署公网NAT网关实例的可用区，选择已有的交换机或创建新交换机。
3. 网络类型选择公网NAT网关。
4. 弹性公网IP：新购弹性公网IP并配置带宽峰值，或者选择已有的弹性公网IP实例。创建的公网NAT网关实例将自动绑定到该弹性公网IP实例。
在公网NAT网关页面，可以查看已创建的公网NAT网关实例和绑定的弹性公网IP。

2. 配置SNAT条目

在公网NAT网关页面，找到目标公网NAT网关实例，然后在操作列单击设置SNAT。
在SNAT管理页签，单击创建SNAT条目。
配置以下参数，单击确定创建。
1. SNAT条目粒度：建议选择交换机粒度，然后选择SAE应用实例所在的全部交换机。
  如何查看SAE应用实例所在的交换机
  创建SAE应用时需要选择一台或多台交换机，SAE应用实例均部署在这些交换机中。通过以下方式查看：
  在SAE应用列表中，在顶部选择目标地域和命名空间，点击目标应用ID跳转到应用详情页。
  在左侧导航栏点击基础信息，点击应用信息页签。
  在应用信息区域，可以查看应用所在的一个或多个交换机，点击交换机 ID跳转到交换机详情页。
2. 选择弹性公网IP地址：选择已绑定的EIP实例的公网IP地址。
在SNAT条目列表中，可以查看已创建的SNAT条目，以及源网段和转换后的公网IP地址。