常见问题
如何获取客户端地址
HTTP请求的客户端地址可以从HTTP请求头部的X-Forwarded-For字段获得。
根据获得客户端的IP地址,应用可以支持一些特殊需求,比如只允许某些IP访问服务等。
应用访问外网时的地址
部署在应用引擎v2的应用,在访问外网时,IP地址是固定的,参见下表
| 区域 | 外网IP |
|---|---|
| 金山云-北京6 | 网段:120.92.11.0/24, 120.92.12.0/24, 120.92.72.0/24 具体IP:120.92.11.5,120.92.11.84,120.92.11.223,120.92.11.195,120.92.11.145,120.92.11.252 120.92.11.147,120.92.11.69,120.92.11.176,120.92.11.177,120.92.72.132,120.92.72.225 120.92.72.118,120.92.72.188,120.92.72.120,120.92.72.127,120.92.12.219,120.92.72.133,120.92.72.184,120.92.72.135 建议尽量配置网段;具体IP在NAT端口占满的情况下会增加或者改变(低频操作,会提前通知) |
| AWS-北京 | 54.223.28.4 |
| AWS-Singapore | 13.228.237.235 |
| AWS-Oregon | 52.24.237.134, 52.25.238.91 |
| AWS-Frankfurt | 18.194.22.96 |
| 金山云-Moscow | 107.155.52.136 |
| AWS-Mumbai | 13.127.49.186 |
证书和私钥格式
证书:PEM格式的完整证书链
-----BEGIN CERTIFICATE-----
(你的域名证书)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(根证书)
-----END CERTIFICATE-----
私钥:PEM格式的私钥
-----BEGIN PRIVATE KEY-----
(你的私钥)
-----END PRIVATE KEY-----
转换私钥格式
如果私钥以BEGIN RSA PRIVATE KEY开头,可以使用下面的命令转换成BEGIN PRIVATE KEY格式:
openssl pkey -in begin-rsa-private.key
访问数据库和缓存等服务
部署在应用引擎V2的应用,如需访问自己在金山云/AWS账号下的数据库或缓存等后端服务,需要
- 与生态云建立VPC对接
- 修改后端服务的安全组,允许生态云的特定网段访问
- 修改应用所在空间的网络策略,允许访后端服务
与生态云建立VPC对接
如果在使用老版应用引擎时,还没有跟生态云的VPC建立对接(对等连接/Peering Connection),请按照下表提供的生态云的VPC信息,在金山云/AWS控制台发起对接请求,然后联系生态云管理员批准.
AWS完成对接后,两边账号还需要各自添加路由.请把自己VPC的网段提供给生态云管理员.
金山云不需要做路由相关操作.
| 区域 | 生态云账号 | VPC ID | 生态云路由网段 |
|---|---|---|---|
| 金山云-北京6 | 73399430 | 76403753-3fa0-4978-9096-4f68e06ea2f0 | N/A |
| AWS-北京 | 403169663644 | vpc-d2f921b6 | 10.7.0.0/16 |
| AWS-俄勒冈 | 654082142051 | vpc-6c9d3d09 | 10.10.0.0/16 |
| AWS-法兰克福 | 654082142051 | vpc-7cf1d114 | 10.131.0.0/21 |
| AWS-新加坡 | 654082142051 | vpc-47575023 | 10.141.0.0/21 |
| AWS-印度 | 654082142051 | vpc-3cd80154 | 10.161.0.0/20 |
| 金山云-俄罗斯 | 73399430 | 1bffc183-97c4-492c-874e-4370fa5333b3 | 10.171.0.0/20 |
修改后端服务的安全组,允许生态云的特定网段访问
根据应用所在的区域,按照下表提供的网段,添加到后端服务的安全组.
| 区域 | 生态云网段 |
|---|---|
| 金山云-北京6 | 10.1.9.0/24, 10.1.10.0/24 |
| AWS-北京 | 10.7.3.0/24, 10.7.4.0/24 |
| AWS-俄勒冈 | 10.10.16.0/20, 10.10.80.0/20 |
| AWS-法兰克福 | 10.131.2.0/24, 10.131.3.0/24 |
| AWS-新加坡 | 10.141.0.0/24, 10.141.2.0/24 |
| AWS-印度 | 10.161.0.0/20 |
| 金山云-俄罗斯 | 10.171.2.0/24 |
修改应用所在空间的网络策略,允许访后端服务
为了保证隔离和安全性, 应用引擎上的应用默认不允许访问私有保留地址, 请联系生态云管理云,提供后端服务所在的网段,用来配置网络策略,允许访问这些后端服务.
AWS的后端服务,可以ping一下服务的域名来获取网段,一般来说可以直接提供VPC的网段.
金山云后端服务的网段,就是endpoint类型子网的网段,也可以提供整个VPC的网段.