配置网络

注意事项

• 为服务绑定VPC资源时，请确保配置的服务角色包含vpc:DescribeVSwitchAttributes和vpc:DescribeVpcAttribute权限。

• 针对使用ACR企业版实例容器镜像创建的Custom Container函数，为该函数所在服务配置访问VPC的能力时，专有网络和交换机的选择必须遵循以下原则。

  • 如果ACR企业版实例的访问控制页面的访问 IP存在默认解析标识，则服务的专有网络和交换机必须设置为默认解析的IP地址对应的专有网络和交换机。

  • 如果ACR企业版实例的访问控制页面的访问 IP不存在默认解析标识，则服务的专有网络和交换机可以设置为该实例绑定的任意一组。

网络访问能力

使用VPC功能会降低函数计算的冷启动效率，建议非必要勿配置该功能。您可优先选择使用RAM授权方式访问资源，例如表格存储Tablestore。

根据对网络的不同设置，函数有以下网络访问能力，您可按需设置。

• 函数出流量：是否允许函数访问公网或VPC内资源的出流量，对应的配置包含允许访问 VPC和允许函数访问公网。

  表 1. 函数出流量

  网络配置	说明
  仅允许函数访问公网	通过函数网络访问公网和内网，禁止通过用户VPC访问。所需的网络配置如下： 设置允许访问 VPC为否。 设置允许函数访问公网为是。
  仅允许函数访问VPC	仅通过用户VPC访问公网和内网，适用于PrivateZone、NAT网关和函数绑定VPC等场景。所需的网络配置如下： 设置允许访问 VPC为是，并配置允许函数访问的VPC信息。 设置允许函数访问公网为否。
  允许函数既能访问公网，也能访问VPC	通过函数网络访问公网和通过用户VPC访问内网。所需的网络配置如下： 设置允许访问 VPC为是，并配置允许函数访问的VPC信息。 设置允许函数访问公网为是。
  既不允许函数访问公网，也不允许访问VPC	通过函数网络访问内网，禁止访问公网和禁止通过用户VPC访问。所需的网络配置如下： 设置允许访问 VPC为否。 设置允许函数访问公网为否。

• 函数入流量：是否允许通过公网地址或VPC地址访问函数的入流量，对应的配置为仅允许指定 VPC 调用函数。

  表 2. 函数入流量

  网络配置	说明
  允许通过公网和VPC同时访问函数	函数创建完成后，默认可以通过公网和VPC调用函数。默认的网络配置如下： 设置仅允许指定 VPC 调用函数为否。
  仅允许通过VPC访问函数	允许通过指定的VPC调用函数，并禁止通过公网调用函数。所需的网络配置如下： 设置仅允许指定 VPC 调用函数为是，并配置允许调用函数的VPC信息。

函数计算支持的可用区

关于各地域最新支持的可用区，您可以在OpenAPI Explorer调用APIGetAccountSettings - 获取可用区获取。

如果您的资源所在的可用区不在函数计算支持的可用区中，可以通过在您的VPC环境中创建一个函数计算支持的可用区内的交换机，并在函数计算的服务的VPC配置中设置此交换机ID。由于同一VPC内不同交换机之间私网互通，因此函数计算可以通过该交换机访问在其他可用区的VPC内的资源。具体步骤，请参见遇到vSwitch is in unsupported zone的错误怎么办？。

前提条件

• 创建服务

• （可选）创建网络资源

  如果您未创建相关资源，可在具体配置时，选择自动配置。否则，需按以下文档操作指导提前创建相关资源：

  • 创建专有网络和交换机

  • 创建安全组

配置网络和角色

函数计算访问VPC的配置和权限的配置是服务级别的，为一个服务配置了访问VPC的能力后，此服务下的所有函数都可以访问VPC。

1. 登录函数计算控制台，在左侧导航栏，单击服务及函数。
2. 在顶部菜单栏，选择地域，然后在服务列表页面，单击目标服务操作列的配置。

3. 在编辑服务页面的角色配置区域，选择服务角色，授予服务访问VPC的权限。

   推荐您按照最小权限原则为您提供的角色授权。如需更细粒度的权限管控，请参见权限策略及示例。

4. 在网络配置区域，根据实际情况修改以下配置项。

   • 允许访问 VPC：是否允许函数访问VPC内资源。取值说明如下。

     • 是：允许函数访问VPC内资源。选择是后，需选择配置方式，取值说明如下：

       • （推荐）自动配置：函数计算会为您自动创建专有网络、交换机和安全组等资源，无需您手动创建。创建完成后，也可再次按需修改。

         说明

         自动创建的网络资源均以fc.auto.create开头。

       • 自定义配置：您需手动选择已有的网络资源，请确保您已提前创建好相关资源。

         • 专有网络：在列表中选择要访问的VPC ID。

         • 交换机：在列表中选择交换机ID，至少需选择一个交换机ID。

           该字段限定了函数计算可以访问的子网，建议设置两个或多个交换机ID。当一个可用区出现故障或IP地址不足时，您的函数可以在其他子网下运行。

         • 安全组：在列表中选择安全组ID。

           此安全组是函数计算所在的安全组，安全组限定了函数计算在VPC中的出入站规则。需要设置您的VPC所在安全组的入站规则为允许函数计算所在的安全组访问。否则，函数计算无法顺畅地访问您的VPC内资源。

     • 否：不允许函数访问VPC内资源。

   • 固定公网 IP：是否通过NAT网关和弹性公网IP地址获得一个固定的公网出口IP地址。具体信息，请参见配置固定公网IP地址。

   • 允许函数访问公网：是否允许函数访问公网。取值说明如下。

     • 是：允许函数访问公网。

     • 否：不允许函数访问公网。

   • 仅允许指定 VPC 调用函数：是否允许指定的VPC调用函数。取值说明如下。

     • 是：允许指定的VPC调用函数。需注意以下事项。

       • 同一个服务最多绑定20个VPC。

       • 设置仅允许指定VPC调用函数后，使用触发器调用函数不受影响。

       • VPC绑定后对服务的所有版本和别名生效。

       • 设置允许指定VPC调用函数后，会拒绝来自公网和其他VPC的调用请求，StatusCode为403，ErrorCode为AccessDenied，错误信息为Resource access is bound by VPC: VPC ID。

       • 只允许使用私网HTTP接入点绑定VPC，不允许使用公网接入点和私网HTTPS接入点绑定VPC。

     • 否：不允许指定VPC调用函数，仅允许通过公网调用函数。

5. 单击保存。

常见问题

• 为什么函数计算无法成功接入VPC调试？

  如果您的服务中已经设置允许函数访问VPC，却无法成功接入VPC，可能原因如下。

  • 交换机所在的子网故障或子网中的IP地址已用尽，您可以在配置VPC时提供两个或者多个交换机ID，如果一个可用区出现故障，您的函数可以在其他可用区运行，提高容错能力。

  • 安全组配置错误，请您按照以下要求配置安全组。

    • 需要设置VPC中的安全组的入站规则为允许函数计算所在的安全组访问。

    • 安全组出口方向需要允许ICMP协议，函数计算会通过ICMP协议检查VPC网络联通性。

    安全组的具体配置步骤，请参见添加安全组规则。

• 新增网络资源时，发现资源不足该怎么办？

  如果您在创建VPC网络资源时，自动配置提供的网络前缀长度为24，可用IP地址数量是252个，如果实例数量过多，有可能会超出限制。此时，您需手动调整交换机IP地址网段，以及对应的安全组。

故障排查

函数计算无法在设置vpcConfig时对访问VPC的权限进行检测，而需要在执行函数时检测，因此在通过InvokeFunction接口调用函数时会引入一些新的错误类型。下表描述了接入VPC时一些常见的错误，以便您迅速排查问题。