配置网络
访问公网
函数创建成功后,默认具有公网访问权限,即函数可直接访问公网上的服务。函数访问公网上的服务需要固定公网出口IP的场景(例如被访问服务需要白名单验证),可以通过开启VPC,在VPC内配置公网NAT网关绑定EIP的方式实现,具体请参见配置固定公网IP。
访问VPC
函数支持用户创建虚拟私有云(VPC)并访问自己VPC内的资源。VPC开启后,函数不再具有默认的公网访问权限,如果需要访问公网,可通过在VPC内配置公网NAT网关绑定EIP的方式实现,具体请参见配置固定公网IP。
函数VPC配置支持开启IPv6。(当前仅华东二支持)
相关权限
配置委托权限请参见配置委托权限。
- 使用VPC功能:需要为函数配置“VPC Administrator”委托权限,或参见表1 最小授权项配置授予访问VPC需要配置的最小权限,让函数拥有操作相关云服务的权限。
- 解析内网域名:需要为函数配置“DNS ReadOnlyAccess”委托权限。
操作步骤
- 登录函数工作流控制台,在左侧的导航栏选择“函数 > 函数列表”。
- 选择待配置的函数,单击进入函数详情页。
- 选择“设置 > 网络设置”,开启“函数访问VPC内资源”,配置VPC和子网。
- 创建虚拟私有云VPC和子网请参见创建虚拟私有云基本信息及默认子网。
- 使用跨VPC访问能力时必须配置具备VPC管理权限的委托,创建委托请参考配置委托权限。
- 单个租户在一个项目下所有的函数最多能绑定4个不同的子网。(不区分VPC,此处的项目指在创建账号的时候分配的一个32位的唯一值project_id,且主账户和子账户的project_id相同。)
- 配置域名(可选)。
如果函数需要通过内网域名访问VPC内的服务,可配置和VPC绑定的域名,域名可以配置多个,如图1所示。
- 创建内网域名请参见创建内网域名。
- 当前函数仅支持对A记录集类型的域名解析,记录集添加请参见记录集类型及配置规则。
- 配置VPC对等连接网段(可选)。
图2 VPC对等连接网段
- 您可以声明代码中使用到的VPC网段,用以检测是否与服务使用VPC网段冲突。
- 当前中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥暂不支持。
- 开启IPv6(可选,当前仅华东二支持)。
- 创建虚拟私有云,确保默认子网配置中支持开启IPv6,具体详情请参见创建虚拟私有云和子网。
- 在步骤3的“VPC”和“子网”中选择刚才创建的已开启IPv6的VPC和子网。
图3 开启IPv6
开启IPv6功能后,将自动为子网分配IPv6网段,暂不支持自定义设置IPv6网段。该功能一旦开启,将不能关闭,更多介绍请参见IPv6网络。
- 配置完成后单击“保存”。
配置固定公网IP
函数需要在VPC内访问公网或者需要固定公网IP的场景,可以选择给VPC添加公网NAT网关并绑定EIP的方式。
前提条件
- 已创建虚拟私有云和子网,请参见创建虚拟私有云基本信息及默认子网。
- 已申请弹性云公网IP,请参见申请弹性公网IP。
创建公网NAT网关步骤如下
网络限制
根据对网络的不同设置,函数有以下网络访问能力,您可按需设置。
网络配置 |
说明 |
---|---|
允许函数访问公网 |
当前函数默认的公网NAT访问带宽在多个租户间共享,带宽小,仅适合小量调用的测试业务场景使用;如果对带宽、性能、可靠性有高要求的生产业务场景,需开启函数访问VPC,在VPC内添加公网NAT网关并绑定EIP,分配独占的外网访问带宽。 |
允许函数访问VPC内资源 |
开启“允许函数访问VPC内资源”时,函数将禁用默认网卡并使用VPC绑定的网卡,是否允许公网访问由配置的VPC决定,开关“允许函数访问公网”将不生效。 |
仅允许指定的VPC调用函数 |
开启“仅允许指定的VPC调用函数”时,将仅允许通过指定的VPC调用函数,并禁止通过公网调用函数。 |