安全无忧，函数计算推出访问用户VPC功能，实现自定义的多类VPC网络资源互通

摘要： 在观察到用户须要访问到用户自定义的VPC网络下的产品，像RDS、ECS等云资源的时候，函数计算便推出了访问用户VPC功能，经过挂接用户弹性网卡（ENI）的方式打通了与其私有VPC的网络通讯，使得用户能够轻松访问内网VPC资源，这样函数可以和用户已有的云服务交互。

去年10月，阿里云正式对外宣布函数计算（Function Compute）商业化。对于函数计算这个事件驱动的无服务器计算平台，用户只须要按需调用、按需付费，无需管理服务器等基础设施，知足有明显波峰波谷需求的企业应用。

当人们想使用计算资源时，不再用先买一台计算机。开发者经过函数计算便可获取巨大计算资源，发挥本身的创造才能，虽然是一字之差，却颠覆了一个时代，实现计算机到计算的跨越。

依托阿里云VPC优点拓展无服务器应用场景

自阿里云函数计算商业化一年以来，前后推出多个新功能，并不断优化用户体验。阿里云产品由用户需求驱动，好比在观察到用户须要访问到用户自定义的VPC网络下的产品，像RDS、ECS等云资源的时候，函数计算便推出了访问用户VPC功能，经过挂接用户弹性网卡（ENI）的方式打通了与其私有VPC的网络通讯，使得用户能够轻松访问内网VPC资源，这样函数可以和用户已有的云服务交互。

阿里云VPC能知足中大型、甚至超大型企业级客户的需求，对大规模的业务系统有很好的支撑。除了规模，还有一个很是重要的因素就是高可用和容灾设计，而且基于阿里巴巴的骨干网络，阿里云VPC具有了很强的互联互通能力。这次函数计算开通访问用户VPC功能依托VPC的优点大大拓展无服务器应用的适用场景。

打通内外网络服务向来繁琐，阿里云教你快速搞定
众所周知，可以企业级别安全打通内外网络的服务向来都是很是繁琐或者困难的事情，函数计算支持VPC功能推出仅仅须要在控制台上简单设置，用户就能够受权函数计算的请求透传给自定义的VPC环境，实现又安全又便捷的访问方式。

接下来小编将为用户演示如何开通VPC功能，具体操做分为四步：

受权

由于函数计算是经过 ENI 访问 VPC 中的资源的，所以您须要授予须要访问 VPC 的服务对 ENI 的建立、描述、删除等权限。须要为函数计算对应 Service Role 授予如下权限
vpc:DescribeVSwitchAttributes
ecs:CreateNetworkInterface
ecs:DeleteNetworkInterface
ecs:DescribeNetworkInterfaces
ecs:CreateNetworkInterfacePermission
ecs:DescribeNetworkInterfacePermissions
RAM 提供了一个包含以上权限的系统模板 AliyunECSNetworkInterfaceManagementAccess ，您只需将 AliyunECSNetworkInterfaceManagementAccess 绑定到您须要访问 VPC 资源服务的角色上便可。

VPC Config
为服务设置 vpcConfig 即表示容许此服务下的全部函数访问 VPC。 vpcConfig 下有三个字段 vpcId , vSwitchIds, securityGroupId，每个字段都不容许为空。
 vpcId：要访问的 VPC ID
 vSwitchIds: 一系列交换机的列表， 至少要提供一个 vSwitchId
 securityGroupId: 安全组的 ID


其中 vSwitchIds 限定了函数计算在VPC子网可建立弹性网卡的个数，建议在 vSwitchIds 中设置两个或多个 vSwitch，若是一个可用区出现故障或 IP 地址不足，您的函数能够在其余子网下运行

securityGroupId 限定了函数计算在 VPC 中的出入站规则

VPC 的配置是在服务层面的，一旦为服务设置了 vpcConfig，那么此服务下的全部函数均可以访问 VPC

若是 vSwitchIds 中指定了多个 vSwitchId，函数计算在建立 ENI 的时候会随机选取一个

函数计算经过 ENI 访问 VPC 中的资源，安全组是 ENI 在 VPC 中的访问权限控制。用户对安全组的配置有彻底的配置权限，若是安全组没有正确设置，会致使函数计算没法成功访问 VPC

访问公网

函数计算的服务中有 internetAccess 字段，布尔类型，用于表示此服务是否能够访问公网，默认是 true，表示此服务能够访问互联网。能够将internetAccess 字段设置为 false 用户表示此服务下的全部函数都没法链接互联网。

网络访问能力

设置了 "internetAccess": true 后，函数能够访问公网，设置了 vpcConfig 后，函数能够访问相应的 VPC ，函数如今有四种类型的网络访问能力，能够根据您的需求进行设置。

据悉，这次函数计算访问用户VPC功能发布的地域涵盖全网，含国际区域和国内区域，例如国际站东京、法兰克福、悉尼、新加坡、香港等，国内华北2（北京）、华南1（深圳）、华东2（上海）等多个地域，若是须要了解更多关于函数计算访问 VPC 内资源的功能介绍，请戳连接：https://www.alibabacloud.com/...

原文连接本文为云栖社区原创内容，未经容许不得转载