九游平台/ 函数工作流 functiongraph/ / / 配置函数访问公网或vpc网络
更新时间:2025-02-27 gmt 08:00

配置函数访问公网或vpc网络-九游平台

本章节介绍如何通过函数工作流控制台,配置函数访问公网或访问vpc内资源。

操作场景

函数的网络访问能力如表1所示,可根据业务需求配置。

表1 网络配置说明

网络配置

说明

函数访问公网

函数访问公网的配置方式有以下两种:

  • 使用默认网卡:函数创建成功后,无需手动配置即可使用默认网卡访问公网。
  • 配置vpc内固定公网ip:通过手动配置函数访问vpc,并在vpc内配置公网nat网关绑定eip,分配独占公网访问带宽,以实现公网访问。

函数访问vpc

函数访问vpc的配置方式有以下两种:

  • 允许函数访问vpc内资源:函数可访问所选vpc内的资源,默认禁用公网访问权限。若需访问公网,请参考配置vpc内固定公网ip的方式开放公网访问。
  • 仅允许指定的vpc调用函数:函数仅接受所选vpc的调用请求,禁止通过公网调用。

约束与限制

  • 在一个账号下所有的函数最多能绑定4个不同的子网。
  • 开启“函数访问vpc内资源”时,函数将禁用默认网卡并使用vpc绑定的网卡,是否允许公网访问由配置的vpc决定,开关“函数访问公网”将不生效。
  • 如需配置函数访问vpc,需在默认“default”安全组中配置如下要求的入方向规则和出方向规则,添加规则详情请参见添加安全组规则
    • 入方向规则:配置“策略”为“允许”、“协议端口”为“icmp”、“源地址”设置的最小范围为函数所选vpc网段的规则。
      例如图1所示,函数的vpc网段为192.168.x.x/24,安全组的入方向需增加一个规则:“策略”选择“允许”、“协议端口”选择“icmp”、“源地址”设置最小范围的网段为192.168.x.x/24。
      图1 入方向规则
    • 出方向规则:配置“策略”为“允许”的相关业务端口规则。

配置函数访问公网

配置函数访问公网有以下两种方式:

函数创建成功后,“函数访问公网”功能默认开启,无需手动配置即可使用默认网卡访问公网,允许函数访问公网上的服务。

其公网访问带宽为用户间共享,适合函数调用量小的业务场景使用。

如遇函数访问公网上的服务需要固定公网出口ip的场景(例如被访问服务需要白名单验证),可通过在vpc内配置公网nat网关绑定eip的方式实现,是否允许公网访问将由配置的vpc决定,开关“允许函数访问公网”将不再生效

前提条件

  1. 已创建虚拟私有云和子网,请参见创建虚拟私有云基本信息及默认子网
  2. 已申请弹性云公网ip,请参见申请弹性公网ip
  3. 配置函数访问vpc

创建公网nat网关步骤:

  1. 在服务控制台左侧导航栏,选择“ 网络> nat网关”进入nat网关控制台,单击“购买公网nat网关”。
  2. 在公网nat网关购买页面,参考输入相关信息,确认规格信息后提交,完成购买。
  3. 购买完成后,单击公网nat网关名称进入详情页面,选择“”,单击“确定”完成配置。

操作视频参考

配置函数访问vpc

functiongraph支持函数访问自行创建的vpc内资源,或配置其他用户共享的vpc子网,共享vpc的相关介绍请参考共享vpc

在函数工作流控制台中,配置函数访问vpc有以下两种选项:

  • 允许函数访问vpc内资源:允许函数访问所选vpc内的资源,不再具有默认的公网访问权限。如需访问公网,请先开启此功能,再参见配置vpc内固定公网ip进行公网访问配置。
  • 仅允许指定的vpc调用函数:仅允许通过指定的vpc调用函数,并禁止通过公网调用。此配置适用于需严格控制函数调用来源的场景,确保函数只能通过特定网络环境访问。

步骤一:配置函数的委托权限

函数使用vpc访问能力时,必须为函数配置vpc管理权限的委托,配置委托权限的操作步骤请参见。以下为涉及的委托权限:

  • vpc administrator:使用vpc功能需要为函数配置“vpc administrator”委托权限,或参见表2创建自定义策略授予访问vpc需要配置的最小权限,确保函数能操作相关云服务。
    表2 最小授权项配置

    权限

    授权项

    删除端口

    vpc:ports:delete

    查询端口

    vpc:ports:get

    创建端口

    vpc:ports:create

    查询vpc

    vpc:vpcs:get

    查询子网

    vpc:subnets:get
  • dns readonlyaccess:如vpc中配置了内网域名,需要为函数配置“dns readonlyaccess”委托权限以解析内网域名。

步骤二:开启函数访问vpc内资源

  1. 登录,在左侧的导航栏选择“函数 > 函数列表”。
  2. 选择待配置的函数,单击函数名称进入函数详情页。
  3. 选择“设置 > 网络设置”,如图2所示,开启“函数访问vpc内资源”,并参考表3配置参数。
    图2 配置vpc
    表3 网络配置参数说明

    参数

    说明

    vpc

    必选参数。

    选择需要访问的虚拟私有云vpc。创建虚拟私有云vpc和子网请参见创建虚拟私有云基本信息及默认子网

    子网

    必选参数。

    选择vpc下的子网。

    域名

    可选参数。“拉美-圣保罗一”区域暂不支持配置域名。

    如果函数需要通过内网域名访问vpc内的服务,可配置和vpc绑定的域名,域名可以配置多个。

    以下为与配置域名相关的操作,请根据业务需求参考使用:

    • 创建内网域名请参见。
    • 配置函数实现域名解析请参见。当前函数仅支持对a记录集类型的域名解析,记录集添加请参见。
    • 函数如何访问vpc内的redis请参见。

    vpc对等连接网段

    可选参数。

    您可以声明函数代码中使用到的vpc网段,用以检测是否与服务使用vpc网段冲突。

    开启ipv6

    可选参数。当前仅“华东二”区域支持函数vpc配置开启ipv6。

    在创建虚拟私有云vpc时,确保默认子网配置中支持开启ipv6,此处将自动开启,具体详情请参见创建虚拟私有云和子网

    开启ipv6功能后,将自动为子网分配ipv6网段,暂不支持自定义设置ipv6网段。该功能一旦开启,将不能关闭,更多介绍请参见

共享vpc

共享vpc是基于资源访问管理(resource access manager,简称ram)服务的机制,vpc的所有者可以将vpc内的子网共享给其他账号使用,实现网络资源跨租户共享。有关vpc子网共享的更多信息,请参见《虚拟私有云用户指南》的“共享vpc”相关内容。

在函数中可以配置其他用户共享的子网,从而能够在函数中访问该子网下的资源。如需在函数中访问其他用户共享给您的子网,请先确保该子网的拥有者已经为您配置了子网共享,配置步骤请参考vpc子网共享给其他账号。成功配置子网共享后,参考配置函数访问vpc,在函数的网络配置中选择共享的子网即可。如果后续vpc子网拥有者取消了共享,将无法在函数中访问该子网。

父主题:

相关文档

网站地图