1.15 常见问题

优质
小牛编辑
138浏览
2023-12-01

如何获取客户端地址

HTTP请求的客户端地址可以从HTTP请求头部的X-Forwarded-For字段获得。

根据获得客户端的IP地址,应用可以支持一些特殊需求,比如只允许某些IP访问服务等。

应用访问外网时的地址

部署在应用引擎v2的应用,在访问外网时,IP地址是固定的,参见下表

区域外网IP
金山云-北京6网段:120.92.11.0/24, 120.92.12.0/24, 120.92.72.0/24
具体IP:120.92.11.5,120.92.11.84,120.92.11.223,120.92.11.195,120.92.11.145,120.92.11.252
120.92.11.147,120.92.11.69,120.92.11.176,120.92.11.177,120.92.72.132,120.92.72.225
120.92.72.118,120.92.72.188,120.92.72.120,120.92.72.127,120.92.12.219,120.92.72.133,120.92.72.184,120.92.72.135
建议尽量配置网段;具体IP在NAT端口占满的情况下会增加或者改变(低频操作,会提前通知)
AWS-北京54.223.28.4
AWS-Singapore13.228.237.235
AWS-Oregon52.24.237.134, 52.25.238.91
AWS-Frankfurt18.194.22.96
金山云-Moscow107.155.52.136
AWS-Mumbai13.127.49.186

证书和私钥格式

证书:PEM格式的完整证书链

-----BEGIN CERTIFICATE----- 
(你的域名证书) 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
(根证书) 
-----END CERTIFICATE-----

私钥:PEM格式的私钥

-----BEGIN PRIVATE KEY-----
(你的私钥)
-----END PRIVATE KEY-----

转换私钥格式

如果私钥以BEGIN RSA PRIVATE KEY开头,可以使用下面的命令转换成BEGIN PRIVATE KEY格式:

openssl pkey -in begin-rsa-private.key

访问数据库和缓存等服务

部署在应用引擎V2的应用,如需访问自己在金山云/AWS账号下的数据库或缓存等后端服务,需要

  1. 与生态云建立VPC对接
  2. 修改后端服务的安全组,允许生态云的特定网段访问
  3. 修改应用所在空间的网络策略,允许访后端服务

与生态云建立VPC对接

如果在使用老版应用引擎时,还没有跟生态云的VPC建立对接(对等连接/Peering Connection),请按照下表提供的生态云的VPC信息,在金山云/AWS控制台发起对接请求,然后联系生态云管理员批准.

AWS完成对接后,两边账号还需要各自添加路由.请把自己VPC的网段提供给生态云管理员.

金山云不需要做路由相关操作.

区域生态云账号VPC ID 生态云路由网段
金山云-北京67339943076403753-3fa0-4978-9096-4f68e06ea2f0N/A
AWS-北京403169663644vpc-d2f921b610.7.0.0/16
AWS-俄勒冈654082142051vpc-6c9d3d0910.10.0.0/16
AWS-法兰克福654082142051vpc-7cf1d11410.131.0.0/21
AWS-新加坡654082142051vpc-4757502310.141.0.0/21
AWS-印度654082142051vpc-3cd8015410.161.0.0/20
金山云-俄罗斯733994301bffc183-97c4-492c-874e-4370fa5333b310.171.0.0/20

修改后端服务的安全组,允许生态云的特定网段访问

根据应用所在的区域,按照下表提供的网段,添加到后端服务的安全组.

区域生态云网段
金山云-北京610.1.9.0/24, 10.1.10.0/24
AWS-北京10.7.3.0/24, 10.7.4.0/24
AWS-俄勒冈10.10.16.0/20, 10.10.80.0/20
AWS-法兰克福10.131.2.0/24, 10.131.3.0/24
AWS-新加坡10.141.0.0/24, 10.141.2.0/24
AWS-印度10.161.0.0/20
金山云-俄罗斯10.171.2.0/24

修改应用所在空间的网络策略,允许访后端服务

为了保证隔离和安全性, 应用引擎上的应用默认不允许访问私有保留地址, 请联系生态云管理云,提供后端服务所在的网段,用来配置网络策略,允许访问这些后端服务.

AWS的后端服务,可以ping一下服务的域名来获取网段,一般来说可以直接提供VPC的网段.

金山云后端服务的网段,就是endpoint类型子网的网段,也可以提供整个VPC的网段.