配置网络

访问公网

函数创建成功后，默认具有公网访问权限，即函数可直接访问公网上的服务。函数访问公网上的服务需要固定公网出口IP的场景（例如被访问服务需要白名单验证），可以通过开启VPC，在VPC内配置公网NAT网关绑定EIP的方式实现，具体请参见配置固定公网IP。

访问VPC

函数支持用户创建虚拟私有云（VPC）并访问自己VPC内的资源。VPC开启后，函数不再具有默认的公网访问权限，如果需要访问公网，可通过在VPC内配置公网NAT网关绑定EIP的方式实现，具体请参见配置固定公网IP。

函数VPC配置支持开启IPv6。（当前仅华东二支持）

相关权限

配置委托权限请参见配置委托权限。

• 使用VPC功能：需要为函数配置“VPC Administrator”委托权限，或参见表1 最小授权项配置授予访问VPC需要配置的最小权限，让函数拥有操作相关云服务的权限。

  表1 最小授权项配置

  权限	授权项
  删除端口	vpc:ports:delete
  查询端口	vpc:ports:get
  创建端口	vpc:ports:create
  查询VPC	vpc:vpcs:get
  查询子网	vpc:subnets:get

• 解析内网域名：需要为函数配置“DNS ReadOnlyAccess”委托权限。

操作步骤

1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。
2. 选择待配置的函数，单击进入函数详情页。
3. 选择“设置 > 网络设置”，开启“函数访问VPC内资源”，配置VPC和子网。
   图1 配置VPC
   
   

   1. 创建虚拟私有云VPC和子网请参见创建虚拟私有云基本信息及默认子网。
   2. 使用跨VPC访问能力时必须配置具备VPC管理权限的委托，创建委托请参考配置委托权限。
   3. 单个租户在一个项目下所有的函数最多能绑定4个不同的子网。（不区分VPC，此处的项目指在创建账号的时候分配的一个32位的唯一值project_id，且主账户和子账户的project_id相同。）
4. 配置域名（可选）。
   如果函数需要通过内网域名访问VPC内的服务，可配置和VPC绑定的域名，域名可以配置多个，如图1所示。

   

   1. 创建内网域名请参见创建内网域名。
   2. 当前函数仅支持对A记录集类型的域名解析，记录集添加请参见记录集类型及配置规则。
5. 配置VPC对等连接网段（可选）。
   图2 VPC对等连接网段
   
   

   • 您可以声明代码中使用到的VPC网段，用以检测是否与服务使用VPC网段冲突。
   • 当前中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥暂不支持。
6. 开启IPv6（可选，当前仅华东二支持）。
   1. 创建虚拟私有云，确保默认子网配置中支持开启IPv6，具体详情请参见创建虚拟私有云和子网。
   2. 在步骤3的“VPC”和“子网”中选择刚才创建的已开启IPv6的VPC和子网。
   图3 开启IPv6
   
   

   开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭，更多介绍请参见IPv6网络。

7. 配置完成后单击“保存”。

配置固定公网IP

函数需要在VPC内访问公网或者需要固定公网IP的场景，可以选择给VPC添加公网NAT网关并绑定EIP的方式。

前提条件

1. 已创建虚拟私有云和子网，请参见创建虚拟私有云基本信息及默认子网。
2. 已申请弹性云公网IP，请参见申请弹性公网IP。

创建公网NAT网关步骤如下

1. 在服务控制台左侧导航栏，继续选择“ 网络> NAT网关”进入NAT网关控制台，单击“购买公网NAT网关”。
2. 在公网NAT网关购买页面，输入相关信息，选择已创建的虚拟私有云及子网（此处以vpc-01为例），在确认规格信息后提交，完成购买。具体操作步骤请参见购买公网NAT网关。
3. 购买完成后，单击公网NAT网关名称进入详情页面，选择“添加SNAT规则”，单击“确定”完成配置。

网络限制

根据对网络的不同设置，函数有以下网络访问能力，您可按需设置。