AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 数字证书管理服务(原SSL证书) 技术解决方案 使用数字证书管理服务在模型在线服务(PAI-EAS)中保证数据传输安全

使用数字证书管理服务在模型在线服务(PAI-EAS)中保证数据传输安全

更新时间:
产品详情
我的收藏

通过为模型在线服务(EAS)的专属网关绑定自定义域名,并使用数字证书管理服务将SSL证书部署至PAI-EAS,即可开启HTTPS加密,以保证数据传输中的数据安全。

业务场景

PAI-EAS 模型服务默认提供阿里云公网访问地址。在生产环境中,可使用自有域名(例如 api.your-company.com)对外提供服务,并启用 HTTPS 加密传输,以保护数据在传输过程中的隐私和完整性。

适用范围

  • PAI-EAS中已创建全托管专属网关,且状态为运行中。如何创建全托管网关,请参见新建全托管专属网关

  • 已通过数字证书管理服务申请或上传了一个 SSL 证书,且证书状态为已签发。如需购买和申请证书,请参见购买正式证书申请证书

    重要

    该证书的域名必须与计划使用的自定义域名完全匹配。

方案架构

通过数字证书管理服务将SSL证书部署到PAI-EAS的全托管专属网关,再通过DNS解析将自定义域名指向该网关。

image

工作流程:

  1. 终端用户通过自定义域名(api.your-company.com)发起 HTTPS 请求。

  2. DNS 服务将自定义域名通过 CNAME 记录解析到 PAI-EAS 专属网关的公网地址。

  3. 请求到达 PAI-EAS 专属网关,网关上已由数字证书管理服务部署了与自定义域名匹配的 SSL 证书。

  4. 网关使用该证书建立安全的 HTTPS 连接,然后将解密后的请求转发至后端的模型服务。

实施步骤

步骤一、PAI-EAS侧配置

新建全托管专属网关

重要

PAI-EAS中已存在全托管专属网关时,可以直接跳过此步骤,直接前往配置公网自定义域名

  1. 进入模型在线服务(EAS)页面,在推理网关页签下,单击新建专属网关

  2. 新建专属网关面板中,选择全托管专属网关

  3. PAI-EAS专属网关付费页面,配置参数后,单击立即购买。按照界面操作指引确认订单并完成支付。

    说明

    您可以在推理网关列表中查看已购买的全托管专属网关,当状态运行中时,即可使用该全托管专属网关。

  4. 推理网关页签,单击目标全托管专属网关名称进入详情页面,在网关访问控制区域进行配置。

    说明

    本文以公网配置为例,更多配置请参考公网访问控制

配置公网自定义域名

  1. 在专属网关详情页面,切换到域名页签,单击创建域名,参考下图进行配置。

    image

    如果服务已经使用该专属网关部署,在公网自定义域名设置成功之后,需要等待一会儿(5分钟以内)才生效。查看服务调用信息,如果公网调用地址的域名已经为网关中配置的公网自定义域名,则公网自定义域名已经生效。

  2. 配置公网域名解析。为公网自定义域名添加CNAME解析记录,将其指向专属网关公网域名。

    1. 在专属网关的网关详情页签,查看专属网关的公网域名地址。

      image

    2. 以阿里云权威域名解析为例(其它云厂商类似)。详情请参见添加域名添加解析记录

      1. 进入公网权威解析页面,在公网权威页签找到自定义域名(非阿里云注册域名需手动添加域名),单击进入解析设置页面,单击添加记录

      2. 记录类型选择CNAME,主机记录为自定义域名,记录值填写步骤a中的专属网关公网域名。

        域名解析添加记录

步骤二、数字证书管理服务侧配置

  1. 首次使用部署服务,需要按照页面提示进行授权,授权后即可创建部署任务。关于授权说明,请参见授权访问云资源

  2. 进入云产品部署页面,单击创建任务

  3. 基础配置页面,依次配置任务名称联系人部署时间后,单击下一步

  4. 选择证书页面,勾选待部署的证书,单击下一步

  5. 选择资源页面,选择人工智能平台PAI下的待部署资源后,单击预览并提交

    image

    说明

    如果在对应的云产品中未找到目标资源,请您确认以下事项:

    • 资源总数区域确认资源是否已完成同步,如果资源正在同步中,请您耐心等待资源同步完成。

    • 如果云产品资源同步完成后仍然没有找到对应资源,请您确认是否满足证书部署前提条件

  6. 任务预览面板,确认部署的证书实例和云产品资源信息,如无问题,单击提交

    预览页面会显示对应云产品匹配的证书个数和消耗的部署次数。证书匹配个数为0表示您选择的证书与云产品资源不匹配,会导致部署失败,请您仔细核对选择的证书。

    image

步骤三、验证 HTTPS 访问

  1. 进入云产品部署页面,定位至部署任务,单击操作一栏的详情,进入部署任务详情页面。

  2. 人工智能平台PAI页签下,查看任务状态一栏,如果显示为部署成功则表示部署成功。

    image

  3. 在浏览器中访问 https://api.your-company.com。若地址栏显示安全锁标志,且能查看到正确的证书信息,则表示配置成功。

证书生命周期管理

  • 自动续期与部署

    对于阿里云签发的证书,在 CAS 控制台开启证书托管功能后,当证书自动续期并签发新证书时,CAS 可通过云产品证书部署任务将新证书自动部署到 PAI-EAS 网关,实现全自动更新。

  • 手动更新

    上传证书无法自动续期。证书到期前,需手动获取新证书,在 CAS 控制台上传证书,并创建新的部署任务完成更新。

成本与风险

  • 费用成本

    • SSL证书费用:证书的购买费用。

    • 证书部署费用:部署上传证书(非阿里云签发的证书)时,每次部署会消耗一次部署次数。通过部署阿里云签发的证书至其他阿里云产品免费。部署次数不足时,请购买部署次数,费用为30元/次,有效期为一年。

  • 关键风险

    • 证书与域名不匹配:SSL 证书绑定的域名必须与 PAI-EAS 网关配置的自定义域名完全一致,否则会导致部署失败或客户端证书校验失败。

    • DNS 解析延迟:DNS 记录的修改在全球范围内生效需要一定时间(取决于 TTL 设置),在完全生效前,部分地区的访问可能会失败。

    • 证书到期:SSL 证书到期后将导致 HTTPS 访问中断。需关注证书的生命周期管理,在证书到期前及时续费并更新部署,避免业务中断。

故障排查

部署任务失败,提示“证书匹配个数为0”?

  • 原因

    选择的 SSL 证书域名与 PAI-EAS 网关上配置的自定义域名不匹配。例如,为 api.your-company.com 配置了 www.your-company.com 的证书。

  • 解决方案

    检查并确保两处配置的域名字符串完全相同。对于通配符证书(如 *.your-company.com),确保自定义域名是其直接子域名(如 api.your-company.com),而不是多级子域(如 test.api.your-company.com)。

部署任务失败,如何查看失败原因?

进入云产品部署页面,定位至部署任务,进入部署任务详情页面。单击查看失败原因,根据日志信息进行分析。例如,若是 RAM 权限问题,为操作账号授予必要的权限。若日志提示为产品内部错误,可提交工单并附上失败原因截图。

部署后如果出现问题,如何回滚部署?

进入云产品部署页面,定位至部署任务,进入部署任务详情页面。单击回滚撤销本次部署操作,将网关恢复到部署前的状态。

上一篇:使用ALB部署HTTPS业务(双向认证)下一篇:安全合规