安全无忧,函数计算推出访问用户VPC功能,实现自定义的多类VPC网络资源互通-阿里云开发者社区

开发者社区> 云攻略小攻> 正文
登录阅读全文

安全无忧,函数计算推出访问用户VPC功能,实现自定义的多类VPC网络资源互通

简介: 在观察到用户需要访问到用户自定义的VPC网络下的产品,像RDS、ECS等云资源的时候,函数计算便推出了访问用户VPC功能,通过挂接用户弹性网卡(ENI)的方式打通了与其私有VPC的网络通信,使得用户可以轻松访问内网VPC资源,这样函数能够和用户已有的云服务交互。

去年10月,阿里云正式对外宣布函数计算(Function Compute)商业化。对于函数计算这个事件驱动的无服务器计算平台,用户只需要按需调用、按需付费,无需管理服务器等基础设施,满足有明显波峰波谷需求的企业应用。

当人们想使用计算资源时,再也不用先买一台计算机。开发者通过函数计算即可获取巨大计算资源,发挥自己的创造才能,虽然是一字之差,却颠覆了一个时代,实现计算机到计算的跨越。

依托阿里云VPC优势拓展无服务器应用场景

自阿里云函数计算商业化一年以来,先后推出多个新功能,并不断优化用户体验。阿里云产品由用户需求驱动,比如在观察到用户需要访问到用户自定义的VPC网络下的产品,像RDS、ECS等云资源的时候,函数计算便推出了访问用户VPC功能,通过挂接用户弹性网卡(ENI)的方式打通了与其私有VPC的网络通信,使得用户可以轻松访问内网VPC资源,这样函数能够和用户已有的云服务交互。

阿里云VPC能满足中大型、甚至超大型企业级客户的需求,对大规模的业务系统有很好的支撑。除了规模,还有一个非常重要的因素就是高可用和容灾设计,并且基于阿里巴巴的骨干网络,阿里云VPC具备了很强的互联互通能力。此次函数计算开通访问用户VPC功能依托VPC的优势大大拓展无服务器应用的适用场景。

打通内外网络服务向来繁琐,阿里云教你快速搞定
众所周知,能够企业级别安全打通内外网络的服务向来都是非常繁琐或者困难的事情,函数计算支持VPC功能推出仅仅需要在控制台上简单设置,用户就可以授权函数计算的请求透传给自定义的VPC环境,实现又安全又便捷的访问方式。

接下来小编将为用户演示如何开通VPC功能,具体操作分为四步:

授权

因为函数计算是通过 ENI 访问 VPC 中的资源的,因此您需要授予需要访问 VPC 的服务对 ENI 的创建、描述、删除等权限。需要为函数计算对应 Service Role 授予以下权限
vpc:DescribeVSwitchAttributes
ecs:CreateNetworkInterface
ecs:DeleteNetworkInterface
ecs:DescribeNetworkInterfaces
ecs:CreateNetworkInterfacePermission
ecs:DescribeNetworkInterfacePermissions
RAM 提供了一个包含以上权限的系统模板 AliyunECSNetworkInterfaceManagementAccess ,您只需将 AliyunECSNetworkInterfaceManagementAccess 绑定到您需要访问 VPC 资源服务的角色上即可。

VPC Config
为服务设置 vpcConfig 即表示允许此服务下的所有函数访问 VPC。 vpcConfig 下有三个字段 vpcId , vSwitchIds, securityGroupId,每一个字段都不允许为空。
 vpcId:要访问的 VPC ID
 vSwitchIds: 一系列交换机的列表, 至少要提供一个 vSwitchId
 securityGroupId: 安全组的 ID
1


其中 vSwitchIds 限定了函数计算在VPC子网可创建弹性网卡的个数,建议在 vSwitchIds 中设置两个或多个 vSwitch,如果一个可用区出现故障或 IP 地址不足,您的函数可以在其他子网下运行

securityGroupId 限定了函数计算在 VPC 中的出入站规则

VPC 的配置是在服务层面的,一旦为服务设置了 vpcConfig,那么此服务下的所有函数都可以访问 VPC

如果 vSwitchIds 中指定了多个 vSwitchId,函数计算在创建 ENI 的时候会随机选取一个

函数计算通过 ENI 访问 VPC 中的资源,安全组是 ENI 在 VPC 中的访问权限控制。用户对安全组的配置有完全的配置权限,如果安全组没有正确设置,会导致函数计算无法成功访问 VPC

访问公网

函数计算的服务中有 internetAccess 字段,布尔类型,用于表示此服务是否可以访问公网,默认是 true,表示此服务可以访问互联网。可以将internetAccess 字段设置为 false 用户表示此服务下的所有函数都无法连接互联网。
2

网络访问能力
设置了 "internetAccess": true 后,函数可以访问公网,设置了 vpcConfig 后,函数可以访问相应的 VPC ,函数现在有四种类型的网络访问能力,可以根据您的需求进行设置。
3

据悉,此次函数计算访问用户VPC功能发布的地域涵盖全网,含国际区域和国内区域,例如国际站东京、法兰克福、悉尼、新加坡、香港等,国内华北2(北京)、华南1(深圳)、华东2(上海)等多个地域,如果需要了解更多关于函数计算访问 VPC 内资源的功能介绍,请戳链接:https://www.alibabacloud.com/help/zh/faq-detail/72959.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

计算,存储,网络,数据库,企业应用服务,开发者服务统统在这里。

官方博客
最新文章
相关文章
你可能感兴趣