通过负载均衡连接内网访问在线服务

方案概述

弹性负载均衡（Elastic Load Balance）是将访问流量根据转发策略分发到后端多台弹性云服务器的流量分发控制服务，可以通过流量分发扩展应用系统对外的服务能力，提高应用程序的容错能力。

为了确保外网用户能够安全、高效地访问ModelArts提供的在线服务，并更灵活地整合ModelArts提供的预测服务，弹性负载均衡通过SSL证书加密传输数据，并结合VPC网络隔离和访问控制列表实现安全防护；通过配置路由规则将ModelArts预测服务API发布给外部系统调用。弹性负载均衡通过自动流量分发实现高效访问，通过健康检查和故障转移保障服务可用性，通过灵活的监听器配置满足不同业务场景的整合需求。

本方案将详细描述如何通过弹性负载均衡实现外网用户访问内网中的ModelArts在线服务。

图1 负载均衡连接内网访问在线服务

权限说明

用户在使用内网接入功能时，要保证拥有以下权限。

表1 用户权限
权限名	action	使用场景
查询工作空间详情	modelarts:workspace:get	访问工作空间
查询模型服务列表	modelarts:service:list	查询服务列表
查询专属资源池列表	modelarts:pool:list	查询资源池列表
查询虚拟私有云列表	vpc:vpcs:list	内网接入界面和创建内网接入申请使用
查询子网信息	vpc:subnets:get	内网接入界面和创建内网接入申请使用
更新服务	modelarts:service:update	内网接入为服务粒度，创建、操作和删除内网
查询内网访问列表	modelarts:intranetConnection:list	查询内网接入列表
变更内网访问	modelarts:intranetConnection:create	创建内网接入
创建内网访问	modelarts:intranetConnection:update	更新内网接入
删除内网访问	modelarts:intranetConnection:delete	删除内网访问

用户还需赋予ModelArts服务以下委托权限。ModelArts添加授权授权操作请参见快速配置ModelArts委托授权。

表2 用户授予的委托权限
权限名	action	使用场景
创建终端节点	vpcep:endpoints:create	创建内网接入、变更内网接入
删除终端节点	vpcep:endpoints:delete	删除内网接入
查询终端节点详情	vpcep:endpoints:get	创建内网接入、变更内网接入
查询终端节点列表	vpcep:endpoints:list	创建内网接入、变更内网接入

步骤一：创建VPC

进入创建虚拟私有云页面，在“创建虚拟私有云”页面，根据界面提示配置VPC和子网的参数。更多参数说明请见创建虚拟私有云和子网。
单击“立即创建”。

步骤二：创建内网连接

登录ModelArts管理控制台，在左侧导航栏中选择“模型推理 > 在线推理”，默认进入“在线推理”列表。
单击“内网接入管理”，切换至“内网接入管理”页面。
在“我的申请”页签下，单击“创建”。

在“创建申请”弹框中填写参数，单击“确定”。

在“我的申请”查看申请状态，待申请状态为“接入成功”，即申请审批通过。

表3 内网接入申请参数说明
参数	说明	本案例推荐值
服务ID	需要内网访问的推理服务ID。	在推理服务列表单击服务名称，进入服务详情页获取在线服务ID。
申请场景	申请打通内网的VPC场景。用户网络：打通当前用户指定VPC与推理服务的内网连接。资源池网络：打通已创建的资源池与推理服务的内网连接。	用户网络。
VPC	当申请场景选择“用户网络”时，选择待打通内网连接的VPC。	选择步骤一：创建VPC创建的VPC。
子网	当申请场景选择“用户网络”时，选择待打通内网连接的子网。	选择步骤一：创建VPC创建的子网。
资源池	当申请场景选择“资源池网络”时，选择待打通内网连接的资源池。	不涉及。
自定义访问地址	放通用户域名，允许用户通过公网IP经过负载均衡连接内网访问在线服务。	ELB的公网IP。

步骤三：创建弹性负载均衡

登录弹性负载均衡控制台，单击“购买弹性负载均衡”。

在“购买弹性负载均衡”页面，根据界面提示配置参数，需要配置的参数详情请参见表4，其他配置按需进行配置，更多参数说明请见购买负载均衡。

表4 ELB部分参数说明
参数	配置值
网络类型	IPv4私网。
所属VPC	配置为步骤一：创建VPC创建的VPC。
前端子网	配置为步骤一：创建VPC创建的子网。
IPv4地址	自动分配IP地址。
后端子网	与前端子网保持一致。
IP类型后端	打开。

步骤四：创建后端服务器组

负载均衡实例的监听器绑定后端服务器组后，才能正常转发访问请求。

在负载均衡实例控制台单击负载均衡实例，进入“负载均衡实例”详情页面，单击页面右上角“创建后端服务器组”按钮。

配置“配置后端分配策略”参数，本案例需要配置的参数详情请参见表5。更多参数说明请见创建后端服务器组。

表5 后端服务器组参数说明
参数	说明	配置值
服务器组类型	指定后端服务器组的类型。混合类型：既支持按照弹性云服务器和辅助弹性网卡实例添加后端服务器，也支持开启IP类型后端功能后按照IP地址添加后端服务器。混合类型一定需要指定虚拟私有云，且后端服务器组绑定的是该虚拟私有云下的负载均衡。 IP类型：按照IP地址添加后端服务器。 IP类型必须开启IP类型后端功能才能添加后端服务器。	IP类型
转发模式	支持选择的协议有：负载均衡、主备转发。	负载均衡
后端协议	后端云服务器自身提供的网络服务的协议。支持选择的协议有：HTTP、HTTPS、GRPC、TCP。	对应在线服务的“服务调用接口”的协议进行配置。例如：在线服务的“服务调用接口”是“HTTP://{host}:8080”，配置为“HTTP”。

单击“下一步”，配置“添加后端服务器”参数，需要配置的参数详情请参见表6。

选择IP类型后端（跨VPC后端），单击“添加IP类型后端”，填写“IP类型后端IP”、“业务端口”和“权重”，单击“确定”。

表6 后端服务器参数说明
参数	配置值
IP类型后端IP	填写为步骤二：创建内网连接中获取的“访问地址”的IP地址。例如：获取的“访问地址”是“http://192.168.0.204/v2/infer/d64cda4f-af92-4bd3-804d-763b26201661”，配置为“192.168.0.204”。
业务端口	“后端协议”是“HTTP”，配置为“80”； “后端协议”是“HTTPS”，配置为“443”。
权重	1
是否开启	否

单击“下一步”，确认配置无误后，单击“立即创建”。

步骤五：添加监听器

进入“负载均衡实例”详情页面，在“负载均衡实例”详情页面，单击“监听器”页签，单击“添加监听器”按钮。

在添加监听器对话框中配置参数，需要配置的参数请参见表7，其他配置按需进行配置，更多参数说明请见添加HTTPS监听器。

表7 添加监听器参数说明
参数	配置值
前端协议	对应在线服务的“服务调用接口”的协议进行配置。例如：在线服务的“服务调用接口”是“HTTP://{host}:8080”，配置为“HTTP”。
监听端口	“前端协议”是“HTTP”，配置为“80”； “前端协议”是“HTTPS”，配置为“443”。

单击“下一步：配置后端分配策略”，配置“配置后端分配策略”参数，需要配置的参数详情请参见表8。更多参数说明请见创建后端服务器组。

表8 配置后端分配策略参数说明
参数	说明	配置值
后端服务器组	参考创建后端服务器组创建。	选择“使用已有”。后端服务器组选择步骤四：创建后端服务器组创建的后端服务器组。

单击右下角的“下一步：添加后端服务器”，本案例在此页面可不做任何操作。
单击“下一步：确认配置”，确认配置无误后，单击“提交”。
创建成功之后，返回到监听器页面。

步骤六：通过公网地址访问在线服务

获取公网调用地址，在线服务的公网调用地址是${协议}://${负载均衡实例的IPv4公网地址}/v2/infer/${在线服务ID}/${具体的API}。
例如：http://100.85.221.69/v2/infer/d64cda4f-af92-4bd3-804d-763b26201661/v1/allrequestdata
- “在线服务ID”和“协议”：可以在ModelArts控制台的“模型推理 > 在线推理”，单击指定在线服务，在“服务”页签的“基本信息>ID”和“网络配置>服务协议”获取。
- “负载均衡实例的IPv4公网地址”：可在负载均衡控制台的负载均衡实例基本信息页签的“服务地址>IPv4公网地址”。
图2 在线服务基本信息
图3 负载均衡实例基本信息
使用Postman通过公网地址访问在线服务。
图4 通过公网地址访问在线服务