WO2024078427A1 - 一种无服务器函数配置系统、方法及装置 - Google Patents

Abstract

本申请提供一种基于云计算技术的无服务器函数的配置系统、方法及装置。该系统包括：无服务器函数虚拟私有云VPC，设置有用于承载第一无服务器函数的第一计算实例，其中第一无服务器函数设置有用于访问第一租户VPC的第一代码；第一租户VPC；连接网关，连接无服务器函数VPC和租户VPC，其还用于接收第一报文，在确认自身记录有第一租户的标识的情况下允许第一报文进入第一租户VPC；第一计算实例，用于在运行第一无服务器函数的过程中向租户VPC发送第一报文，其中第一报文的外层嵌套报文包头携带有第一租户的标识。该系统、方法和装置通过分配租户标识，满足了无服务器计算服务的多租隔离、路由控制和EIP分配，实现了简单、低开销的无服务器函数配置方案。

Description

一种无服务器函数配置系统、方法及装置 技术领域

本发明涉及云计算技术领域，尤其涉及一种无服务器函数配置系统、方法、装置以及服务器、计算机可读存储介质、计算机程序产品。

背景技术

无服务器计算与网络架构相关联，其中，网络架构的用户依赖于作为服务提供并由网络提供商管理的网络服务器、网络基础设施和操作系统。通过创建、管理和部署能够按需扩展的应用以及使用网络提供商管理的网络资源，网络架构的用户可以充分利用无服务器计算。

在无服务器计算中，计算平台自动管理和创建底层计算资源，以承载和运行无服务器函数的函数代码。无服务器计算机平台的示例包括亚马逊云服务(Amazon Web Service，AWS)Lambda、Google Cloud Functions、Azure Functions等。无服务器计算面临的挑战之一是，在逻辑多租网络中，如何实现在多租户无服务器函数访问租户虚拟私有云(Virtual Private Cloud，VPC)中的云资源(例如，数据库资源、存储资源等)和访问公网时，确保租户安全隔离和资源高效发放。更具体地，无服务器函数配置的现有技术采用双层虚拟化的方式，性能损耗大，组网和运维复杂。

发明内容

为解决现有技术的问题，本申请提供一种无服务器函数配置系统、方法及相关装置，能够实现无服务器函数配置中的多租隔离和弹性公网IP分配，减小无服务器函数实例发放的性能损耗，降低多租无服务器网络组网与运维的复杂度。

第一方面，本申请提供一种基于云计算技术的云系统，该云系统设置在至少一个云数据中心中，云系统包括：无服务器函数虚拟私有云VPC，设置有用于承载第一租户的第一无服务器函数的第一计算实例，其中第一无服务器函数设置有用于访问第一租户VPC的第一代码，第一租户VPC，设置有第一租户的云资源，连接网关，用于连接无服务器函数VPC和第一租户VPC，并且记录有第一租户的标识，第一计算实例，用于在运行第一无服务器函数的过程中发送第一报文，其中第一报文的外层嵌套报文包头携带有第一租户的标识，该第一报文的目的IP地址是云资源在第一租户VPC的私网IP地址，该连接网关，还用于接收第一报文，在确认自身记录有第一租户的标识的情况下允许第一报文进入第一租户VPC。

在一些实施例中，云管理平台为租户分配对应的标识，且第一无服务器函数的第一租户指定连接第一租户VPC，连接网关记录有第一租户的标识，承载第一租户的第一无服务器函数的第一计算实例发出的报文的外层嵌套报文包头携带有第一租户的标识。当该无服务器函数想要访问第一租户VPC时，该第一计算实例向第一租户VPC发送第一报文，该报文在向第一租户VPC发送的过程中需要经由连接网关，该连接网关可以基于确认自身是否记录该报文的外层嵌套报文包头中携带的第一租户标识来决定允许或禁止该报文发送至第一租户VPC，若有记录，则允许该第一报文通过连接网关并发送至第一租户VPC。该连接网关可以是单租的，也可以是多租的，本申请对此不做限制。

通过上述方案，实现第一租户的无服务器函数访问第一租户VPC，从而实现租户网络隔离。

根据第一方面的一种可能的实现方式，该云系统中的第一计算实例，还用于挂载第一弹性网卡，其中第一弹性网卡用于将第一租户的标识写入第一报文的嵌套报文包头中，并在第一计算实例运行第一无服务器函数的过程中向连接网关发送设置有嵌套报文包头的第一报文。

在一些实施例中，第一计算实例启动时，云管理平台为第一计算实例创建并挂载弹性网卡，并为该弹性网卡挂载第一租户的标识，在第一计算实例发送的报文经过该弹性网卡时，该弹性网卡将第一租户的第一计算实例对应的第一租户的标识写入报文的嵌套报文包头中。

通过上述方案，使得该第一报文的嵌套报文包头携带有第一租户的标识，便于在报文发送至连接网关后，连接网关确认该标识并基于该标识决定允许或禁止该报文进入第一租户VPC。

根据第一方面的一种可能的实现方式，该云系统还包括：第二计算实例，用于承载第二租户的第二无服务器函数，其中第二无服务器函数设置有用于访问第一租户VPC的第二代码，第二计算实例，还用于在运行第二无服务器函数的过程中向连接网关发送第二报文，其中第二报文的外层嵌套报文包头携带有第二租户的标识，第二报文的目的IP地址是云资源在第一租户VPC的私网IP地址，则连接网关，还用于接收第二报文，在确认自身没有记录有第二租户的标识的情况下禁止第二报文进入第一租户VPC。

在一些实施例中，云管理平台为租户分配对应的标识，且第一无服务器函数的第二租户未指定连接第一租户VPC，连接网关未记录第二租户的标识，第二报文的外层嵌套报文包头携带有第二租户的标识，在第二租户的第二无服务器函数想要访问第一租户VPC时，承载第二无服务器函数的第二计算实例向第一租户VPC发送的第二报文需要经由连接网关，该连接网关可以基于确认自身是否记录该报文的外层嵌套报文包头中携带的第二租户标识来决定允许或禁止该报文发送至第一租户VPC，若没有记录，则禁止该第二报文通过连接网关并发送至第一租户VPC。

通过上述方案，实现第二租户的无服务器函数无法访问第一租户VPC，从而实现多租网络隔离。

根据第一方面的一种可能的实现方式，第二计算实例，用于承载第二租户的第二无服务器函数，其中第二无服务器函数设置有用于访问第一租户VPC的第二代码，则连接网关，还用于记录第二租户的标识，第二计算实例，还用于在运行第二无服务器函数的过程中向连接网关发送第二报文，其中第二报文的外层嵌套报文包头携带有第二租户的标识，第二报文的目的IP地址是云资源在第一租户VPC的私网IP地址，连接网关，还用于接收第二报文，在确认自身记录有第二租户的标识的情况下允许第二报文进入第一租户VPC。

在一些实施例中，第一无服务器函数的第二租户指定连接第一租户VPC，因此连接网关记录有第二租户的标识，第二报文的外层嵌套报文包头携带有第二租户的标识，在第二租户的第二无服务器函数想要访问第一租户VPC时，承载第二无服务器函数的第二计算实例向第一租户VPC发送的第二报文需要经由连接网关，该连接网关可以基于自身记录有该第二租户的标识，从而允许该报文发送至第一租户VPC。

通过上述方案，实现第二租户的无服务器函数访问第一租户VPC，从而实现多租访问控制。

根据第一方面的一种可能的实现方式，第二计算实例设置在上述无服务器函数VPC中，或设置在与无服务器函数VPC不同的另一无服务器函数VPC中。

在一些实施例中，第二计算实例与第一计算实例设置在同一个无服务器函数VPC中，在另一些实施例中，第二计算实例与第一计算实例设置在不同的无服务器函数VPC中，本申请对其不做限制。

通过上述方案，同一无服务器函数VPC中不同租户的计算实例或不同无服务器函数VPC中不同租户的计算实例均能在访问租户VPC时实现网络隔离或网络访问控制。

第二方面，本申请提供一种基于云计算技术的云系统，该云系统设置在至少一个云数据中心，该云系统包括：无服务器函数虚拟私有云VPC，设置有用于承载第三租户的第三无服务器函数的第三计算实例，其中第三无服务器函数设置有用于访问公网的网络节点的第三代码，网络地址转换NAT网关，用于记录第三租户的弹性公网IP和第三租户的标识的对应关系，第三计算实例，用于在运行第三无服务器函数的过程中向NAT网关发送第三报文，其中第三报文的外层嵌套报文包头携带有第三租户的标识，第三报文的目的IP地址是设置在公网的网络节点的公网IP地址，NAT网关，还用于接收第三报文，根据第三租户的标识和对应关系将第三报文的源IP地址设置为第三租户的弹性公网IP，并将去除外层嵌套报文包头的第三报文发送至公网。

在一些实施例中，云管理平台为租户分配对应的标识，且第三租户为其无服务器函数配置了用于访问公网的弹性公网IP，网络地址转换NAT记录有第三租户的标识，并且记录有第三租户的弹性公网IP和第三租户的标识的对应关系，第三租户的第三无服务器函数发出的报文的外层嵌套报文包头携带有第三租户的标识。当该无服务器函数想要访问公网时，该第三计算实例向公网发送第三报文，该报文在向公网发送的过程中需要经由网络地址转换NAT网关，该网络地址转换NAT网关可以基于确认自身是否记录该报文的外层嵌套报文包头中携带的第一租户标识来决定允许或禁止该报文发送至公网。若有记录，则NAT网关接收该报文，并根据第三租户的标识和对应关系设置第三报文的源IP地址为第三租户的弹性公网IP，并将报文发送至公网。

通过上述方案，实现了租户的无服务器函数访问公网，并实现租户指定EIP访问公网，在本方案提供的其他实施例中，该系统可以按照EIP进行公网资源访问控制。

根据第二方面的一种可能的实现方式，该云系统中的第三计算实例，还用于挂载第二弹性网卡，其中第二弹性网卡用于将第三租户的标识写入第三报文的嵌套报文包头中，并在第三计算实例运行第三无服务器函数的过程中向该网络地址转换NAT网关发送设置有该嵌套报文包头的第一报文。

在一些实施例中，第三计算实例启动时，云管理平台为第三计算实例创建并挂载弹性网卡，并为该弹性网卡挂载第三租户的标识，在第三计算实例发送的报文经过该弹性网卡时，该弹性网卡将第三租户的第三计算实例对应的第三租户的标识写入报文的嵌套报文包头中。

通过上述方案，使得该第三报文的嵌套报文包头携带有第三租户的标识，便于在报文发送至网络地址 转换NAT网关后，NAT网关确认该标识并基于该标识决定允许或禁止该报文进入公网。

根据第二方面的一种可能的实现方式，该云系统还包括：第四计算实例，用于承载第四租户的第四无服务器函数，其中第四无服务器函数设置有用于访问公网的网络节点的第四代码，则NAT网关，还用于记录第四租户的弹性公网IP和第四租户的标识的对应关系，第四计算实例，还用于在运行第三无服务器函数的过程中向NAT网关发送第四报文，其中第四报文的外层嵌套报文包头携带有第四租户的标识，第四报文的目的IP地址是设置在公网的网络节点的公网IP地址，NAT网关，还用于接收第四报文，根据第四租户的标识和对应关系将第四报文的源IP地址设置为第四租户的弹性公网IP，并将去除外层嵌套报文包头的第四报文发送至公网。

在一些实施例中，第四租户为其无服务器函数配置了用于访问公网的弹性公网IP，网络地址转换NAT网关记录有第四租户的标识，并记录有第四租户的弹性公网IP和第三租户的标识的对应关系，该无服务器函数想要访问公网时发送的报文携带有该租户的标识，NAT网关接收该报文，并根据第四租户的标识和对应关系设置第四报文的源IP地址为第四租户的弹性公网IP，并将报文发送至公网。

通过上述方案，实现了多租户的无服务器函数访问公网，并实现租户指定EIP访问公网，在本方案提供的其他实施例中，该系统可以按照EIP进行公网资源多租访问控制。

根据第二方面的一种可能的实现方式，该云系统还包括：第四计算实例，用于承载第四租户的第四无服务器函数，其中第四无服务器函数设置有用于访问公网的网络节点的第四代码，则第四计算实例，还用于在运行第四无服务器函数的过程中向NAT网关发送第四报文，其中第四报文的外层嵌套报文包头携带有第四租户的标识，第四报文的目的IP地址是设置在公网的网络节点的公网IP地址，NAT网关，还用于接收第四报文，在确认自身没有记录第四租户的标识的情况下禁止第四报文访问公网。

在一些实施例中，网络地址转换NAT网关未记录有第四租户的标识，而第四租户的第四无服务器函数在其想要访问公网的报文的外层嵌套报文包头中携带有其标识，NAT网关在接收该报文时，确认自身并未记录有该标识，则禁止该报文访问公网。

通过上述方案，实现在NAT网关未记录租户标识的情况下禁止该租户访问公网，在本申请提供的一种实施例中，当租户未购买或未为其计算实例配置EIP时，NAT网关不会记录有租户标识，由此实现对租户公网资源访问控制。

根据第二方面的一种可能的实现方式，其中，第四计算实例设置在该无服务器函数VPC中，或设置在与该无服务器函数VPC不同的另一无服务器函数VPC中。

在一些实施例中，第四计算实例与第三计算实例设置在同一个无服务器函数VPC中，在另一些实施例中，第四计算实例与第三计算实例设置在不同的无服务器函数VPC中，本申请对其不做限制。

通过上述方案，同一无服务器函数VPC中不同租户的计算实例或不同无服务器函数VPC中不同租户的计算实例均能在访问公网时实现网络访问控制及多租指定EIP访问公网。

第二方面，本申请提供一种无服务器函数的配置方法，该方法应用于云管理平台，云管理平台用于管理提供无服务器函数服务的基础设施，基础设施包括至少一个云数据中心，至少一个云数据中心设置有第一租户VPC和无服务器函数VPC，该方法包括：云管理平台创建分别与第一租户VPC和无服务器函数VPC连接的连接网关，云管理平台确认第一租户输入的第一无服务器函数和第一触发事件，其中第一无服务器函数设置有用于访问第一租户VPC的第一代码，第一租户VPC中设置有云资源，云管理平台发送第一租户的标识至连接网关，并设置该连接网关记录第一租户的标识，云管理平台在检测到第一触发事件发生的情况下，触发第一计算实例运行第一无服务器函数，并设置第一计算实例在运行第一无服务器函数的过程中发送第一报文，其中第一报文的外层嵌套报文包头携带有第一租户的标识，第一报文的目的IP地址是云资源在第一租户VPC的私网IP地址，云管理平台设置连接网关接收第一报文并在确认自身记录有第一租户的标识的情况下允许第一报文进入第一租户VPC。

第三方面或第三方面任意一种实现方式是第一方面或第一方面任意一种实现方式对应的方法实现，第一方面或第一方面任意一种实现方式中的描述适用于第三方面或第三方面任意一种实现方式，在此不再赘述。

第四方面或第四方面任意一种实现方式是第二方面或第二方面任意一种实现方式对应的方法实现，第二方面或第二方面任意一种实现方式中的描述适用于第四方面或第四方面任意一种实现方式，在此不再赘述。

第五方面或第五方面任意一种实现方式是第一方面或第一方面任意一种实现方式对应的装置实现，第一方面或第一方面任意一种实现方式中的描述适用于第五方面或第五方面任意一种实现方式，在此不再赘 述。

第六方面或第六方面任意一种实现方式是第二方面或第二方面任意一种实现方式对应的装置实现，第二方面或第二方面任意一种实现方式中的描述适用于第五方面或第五方面任意一种实现方式，在此不再赘述。

第七方面，本申请提供了一种计算设备集群，其中，包括至少一个计算设备，每个计算设备包括处理器和存储器；至少一个计算设备的处理器用于执行至少一个计算设备的存储器中存储的指令，以使得计算设备集群执行如第一方面的任意一种可能的方法。

第八方面，本申请提供了一种包含指令的计算机程序产品，其中，当指令被计算设备集群运行时，使得计算设备集群执行如第一方面的任意一种可能的方法。

第九方面，本身请提供了一种计算机可读存储介质，其中，包括计算机程序指令，当计算机程序指令由计算设备集群执行时，计算设备集群执行如第一方面的任意一种可能的方法。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种云系统的架构示意图；

图2为本申请实施例提供的一种无服务器函数配置方法的流程示意图；

图3为本申请实施例提供的另一种无服务器函数配置方法的流程示意图；

图4为本申请实施例提供的另一种云系统的架构示意图；

图5为本申请实施例提供的另一种无服务器函数配置方法的流程示意图；

图6为本申请实施例提供的另一种无服务器函数配置方法的流程示意图；

图7是本申请实施例提供的一种云管理平台的计算设备集群结构示意图；

图8是本申请实施例提供的另一种云管理平台的计算设备集群结构示意图；

图9是本申请实施例提供的另一种云管理平台的计算设备集群结构示意图；

图10是本申请实施例提供的一种云管理平台装置结构示意图；

图11是本申请实施例提供的另一种云管理平台的计算设备集群结构示意图；

图12是本申请实施例提供的另一种云管理平台的计算设备集群结构示意图；

图13是本申请实施例提供的另一种云管理平台的计算设备集群结构示意图；

图14是本申请实施例提供的另一种云管理平台装置结构示意图。

具体实施方式

下面结合附图对本申请实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

首先，结合附图对本申请中所涉及的部分用语和相关技术进行解释说明，以便于本领域技术人员理解。

无服务器服务(Serverless服务)：采用无服务器计算(Serverless Computing)开发模式开发的服务。Serverless Computing开发模式是指将服务器从应用开发剥离，由云平台负责置备、维护和扩展服务器基础架构的开发模式，因此，通过Serverless Computing开发模式开发所得的Serverless服务通常不包括服务器端，服务器端的功能可以由云平台实现，租户可专注构建与运行应用，而无需管理服务器。

无服务器函数：无服务器函数是无服务器服务的功能之一，租户需要设置无服务器函数的代码及运行条件，无服务器函数仅在租户预先配置的事件触发时运行，通常租户只需为函数执行期间使用的资源或时长付费。

弹性网卡(Elastic Network Interface，ENI)：弹性网卡即虚拟网卡，可以附加到云服务器实例上，且可在多个云服务器间迁移，实现灵活、高可用的网络方案配置。

弹性公网IP(Elastic IP，EIP)：提供公网IP资源，可以与云服务器、裸金属服务器等云资源灵活绑定与解绑，提供访问公网和被公网访问的能力。

无服务器函数虚拟私有云(无服务器函数Virtual Private Cloud)：设置有承载无服务器函数的计算实例的虚拟私有云。

租户VPC：租户在云上的隔离的、私密的虚拟网络环境，租户可以在VPC中定义安全组、虚拟专用网(Virtual Private Network，VPN)、IP地址段、带宽等网络特性，租户可以通过租户VPC方便地管理、配置内部网络，进行安全快捷的网络变更。

触发事件：触发事件的发生会触发无服务器函数执行，常见的触发事件包括表格数据变更、日志更新、消息队列更新等。

云资源：包括设置在VPC中的云服务器、云容器、云数据库等。

在无服务器函数运行过程中，无服务器VPC内的计算实例存在访问租户VPC内资源的需求，例如，需要访问租户VPC中数据库的数据，这时，需要连接网关将该访问请求转发至该租户VPC；无服务器VPC内的计算实例还存在访问公网资源的需求，例如，需要访问某天气预报网站以获取天气预报数据，这时，需要网络地址转换NAT网关分配或指定公网IP以访问外部资源。然而，访问租户VPC和访问公网都需要识别无服务器函数所属租户是否有权进行访问，若使用物理机在已有物理网络上建立Overlay虚拟逻辑网络，或若使用虚拟机并在其上建立Overlay虚拟逻辑网络成为双层虚拟化网络，都存在实例发送速度低、网络损耗大、运维复杂度高的问题。

基于此，本申请实施例提供了一种无服务器函数配置的系统、方法及装置。在该系统、方法及装置中，云管理平台为租户分配唯一的标识，并将标识下发到租户有权访问的连接网关与网络地址转换NAT网关中，以简单、高效、一致的方式解决了无服务器实例多租网络隔离与弹性公网IP分配问题，提升了实例发放速度，降低了网络损耗与运维成本。

为了使得本申请的技术方案更加清楚、易于理解，下面结合附图对本申请实施例的系统架构进行介绍。

以下请参见图1，图1是本发明实施例提供的一种云系统的架构示意图。该云系统包括云管理平台20和多个无服务器函数VPC、租户VPC，如图1所示，该云系统包括无服务器函数VPC101、无服务器函数VPC102在内的多个无服务器函数VPC，还包括租户VPC111、租户VPC112在内的多个租户VPC，租户50和租户60可以通过客户端40经由互联网30访问云管理平台20，并通过云管理平台20管理无服务器函数VPC101、102和/或租户VPC111、112。无服务器函数VPC101中设置有包括计算实例1011在内的至少一个计算实例，计算实例1011用于承载租户50的无服务器函数10111，计算实例1011挂载有弹性网卡10112。类似的，无服务器函数VPC102中设置有包括计算实例1021在内的至少一个计算实例，计算实例1021用于承载租户60的无服务器函数10211，计算实例1021挂载有弹性网卡10212。租户VPC111内设置有租户50的租户实例1111，租户实例1111中运行有云资源，租户VPC111中设置有连接网关1112。无服务器函数10111所在的计算实例1011需要访问租户VPC111内的云资源时，计算实例1011向租户实例1111发送报文，该报文先发送计算实例1011的弹性网卡10112，再由弹性网卡10112发送至租户VPC111内的连接网关1112，由连接网关1112根据自身是否记录有该报文外层报文包头中的租户标识来判断该报文是否能够进入租户VPC111。

以下请参见图2，图2为本申请实施例提供的一种无服务器函数配置方法的流程示意图，该方法实现了通过租户标识控制租户的无服务器函数访问租户的VPC，从而实现租户网络隔离，该流程包括但不限于以下步骤：

S201.创建连接网关。

具体地，云管理平台20为租户VPC111创建连接网关1112，用于租户VPC111接收报文，在本实施例中，该连接网关1112可以用于接收来自无服务器函数VPC101中的计算实例1011发送的报文。

S202.输入无服务器函数、触发事件。

具体地，租户50使用租户客户端40通过互联网30向云管理平台20输入无服务器函数、触发事件，该触发事件发生时会触发该无服务器函数的运行。

S203.接收无服务器函数、触发事件。

具体地，云管理平台20接收租户50输入的无服务器函数和触发事件，并将该无服务器函数和触发事件配置在计算实例1011上。

S204.发送租户标识。

具体地，云管理平台20向租户VPC111的连接网关1112发送该租户50的标识，从而使得租户VPC111 的连接网关1112记录有该租户50的标识。

S205.记录租户标识。

具体地，租户VPC111记录云管理平台20发送的该租户50的标识。

S206.确认触发事件发生。

具体地，当租户50设置的触发事件发生时，由云管理平台20进行确认。

S207.运行无服务器函数。

具体地，在S206中云管理平台20确认租户50设置的触发事件发生时，云管理平台20告知无服务器函数VPC101中的计算实例1011运行租户50在步骤S202中输入的无服务器函数。

S208.发送报文。

具体地，计算实例1011在运行无服务器函数的过程中发送报文，该报文经过无服务器函数VPC101的弹性网卡10112。

S209.将租户标识写入报文头。

具体地，弹性网卡10112将该租户50的标识写入计算实例1011发送报文的嵌套报文包头中，使得该报文的嵌套报文包头携带有该租户50的标识。

S210.发送报文。

具体地，弹性网卡10112将携带有该租户50标识的报文发送至租户VPC111的连接网关1112。

S211.确认记录有标识。

具体地，连接网关1112在步骤S205中记录有租户50的标识，在步骤S210接收到携带有租户标识的报文后，确认自身记录有租户标识。

S212.允许报文进入租户VPC

具体地，连接网关1112在步骤S212确认自身记录有该标识后，允许携带有该租户标识的报文进入租户VPC111。

S213.发送报文。

具体地，连接网关1112将该报文发送至租户VPC111内的云资源。

以下请参见图3，图3为本申请实施例提供的另一种无服务器函数配置方法的流程示意图，该方法实现了通过租户标识控制租户的无服务器函数访问租户的VPC，从而实现多租网络访问控制和隔离，该流程包括但不限于以下步骤：

S301.创建连接网关。

具体地，云管理平台20为租户VPC111创建连接网关1112，用于租户VPC1112接收报文。

S302.输入无服务器函数、触发事件。

具体地，租户60使用租户客户端40通过互联网30向云管理平台20输入无服务器函数、触发事件，该触发事件发生时会触发该无服务器函数的运行。

S303.接收无服务器函数、触发事件。

具体地，云管理平台20接收租户60输入的无服务器函数和触发事件，并将该无服务器函数和触发事件配置在计算实例1021上。

S304.确认触发事件发生。

具体地，当租户60设置的触发事件发生时，由云管理平台20进行确认。

S305.运行无服务器函数。

具体地，在S304中云管理平台20确认租户60设置的触发事件发生时，云管理平台20告知无服务器函数VPC102中的计算实例1021运行租户60在步骤S302中输入的无服务器函数。

S306.发送报文。

具体地，计算实例1021在运行无服务器函数的过程中发送报文，该报文经过无服务器函数VPC102的弹性网卡10212。

S307.将租户标识写入报文头。

具体地，弹性网卡10212将该租户60的标识写入计算实例1021发送报文的嵌套报文包头中，使得该报文的嵌套报文包头携带有该租户60的标识。

S308.发送报文。

具体地，弹性网卡10212将携带有该租户标识的报文发送至租户VPC111的连接网关1112。

S309.确认没有记录标识。

具体地，连接网关1112并未记录该租户标识，连接网关1112确认自身没有记录该报文的报文头中携带的租户标识。在本申请提供的一种实施例中，租户60未设置其无服务器函数可以访问租户VPC111，因此该连接网关1112未记录该租户标识，在本申请提供的另一种实施例中，租户VPC111未开放租户60的无服务器函数的访问权限，因此该连接网关1112未记录该租户60的租户标识。

S310.禁止报文进入租户VPC

具体地，连接网关1112在步骤S309确认自身没有记录该标识后，禁止携带有该租户标识的报文进入租户VPC111。

以下请参见图4，图4是本发明实施例提供的另一种云系统的架构示意图。该云系统包括云管理平台20和多个无服务器函数VPC、公网，如图4所示，该云系统包括无服务器函数VPC121、无服务器函数VPC122在内的多个无服务器函数VPC，还包括公网13，租户50和租户60可以通过客户端40经由互联网30访问云管理平台20，并通过云管理平台20管理无服务器函数VPC121。无服务器函数VPC121中设置有包括计算实例1211在内的至少一个计算实例，计算实例1211用于承载租户50的无服务器函数12111，计算实例1211挂载有弹性网卡12112。类似的，无服务器函数VPC122中设置有包括计算实例1221在内的至少一个计算实例，计算实例1221用于承载租户60的无服务器函数12211，计算实例1221挂载有弹性网卡12212。无服务器函数12111所在的计算实例1211需要访问公网资源时，计算实例1211向公网13发送报文，该报文先发送至计算实例1211的弹性网卡12112，再由弹性网卡12112发送至网络地址转换NAT网关123，由网络地址转换NAT网关123判断该报文是否能够进入公网13。

以下请参见图5，图5为本申请实施例提供的另一种无服务器函数配置方法的流程示意图，该方法实现了通过租户标识控制租户的无服务器函数访问公网，从而实现多租指定EIP访问公网，该流程包括但不限于以下步骤：

S501.创建网络地址转换NAT网关123。

具体地，云管理平台20为无服务器函数VPC121创建网络地址转换NAT网关123，用于无服务器函数VPC121向公网13发送报文，在本实施例中，该网络地址转换NAT网关123可以用于发送无服务器函数VPC121中的计算实例1211发送的报文。

S502.输入无服务器函数、触发事件。

具体地，租户50使用租户客户端40通过互联网30向云管理平台20输入无服务器函数12111、触发事件，该触发事件发生时会触发该无服务器函数的运行。

S503.接收无服务器函数、触发事件。

具体地，云管理平台20接收租户50输入的无服务器函数12111和触发事件，并将该无服务器函数12111和触发事件配置在计算实例1211上。

S504.发送租户标识。

具体地，云管理平台20向无服务器函数VPC121的网络地址转换NAT网关123发送该租户50的租户标识，从而使得该网络地址转换NAT网关123记录有该租户的标识。

S505.记录租户标识。

具体地，网络地址转换NAT网关123记录云管理平台20发送的该租户50的租户标识。

S506.确认触发事件发生。

具体地，当租户50设置的触发事件发生时，由云管理平台20进行确认。

S507.运行无服务器函数。

具体地，在S506中云管理平台20确认租户50设置的触发事件发生时，云管理平台20告知无服务器函数VPC121中的计算实例1211运行租户50在步骤S502中输入的无服务器函数12111。

S508.发送报文。

具体地，计算实例1211在运行无服务器函数12111的过程中发送报文，该报文经过无服务器函数VPC121的弹性网卡12112。

S509.将租户标识写入报文头。

具体地，弹性网卡12112将该租户50的标识写入计算实例1211发送报文的嵌套报文包头中，使得该报文的嵌套报文包头携带有该租户50的标识。

S510.发送报文。

具体地，弹性网卡12112将携带有该租户标识的报文发送至无服务器函数VPC121的网络地址转换NAT网关123。

S511.确认记录有标识并接收报文。

具体地，网络地址转换NAT网关123在步骤S505中记录有租户50的租户标识，在步骤S510接收到携带有租户标识的报文后，确认自身记录有租户标识。

S512.设置IP地址。

具体地，网络地址转换NAT网关123在步骤S511确认自身记录有该标识后，根据该租户的标识和其弹性公网IP的对应关系将该报文的源IP地址设置为该租户的弹性公网IP。

S513.去除报文头。

具体地，网络地址转换NAT网关123去除该报文的外层嵌套报文包头。

S514发送报文。

具体地，网络地址转换NAT网关123将该报文发送至公网13。

以下请参见图6，图6为本申请实施例提供的另一种无服务器函数配置方法的流程示意图，该方法实现了通过租户标识控制租户的无服务器函数访问公网，从而实现多租指定EIP访问公网，该流程包括但不限于以下步骤：

S601.创建网络地址转换NAT网关123。

具体地，云管理平台20为无服务器函数VPC122创建网络地址转换NAT网关123，用于无服务器函数VPC122向公网13发送报文。

S602.输入无服务器函数、触发事件。

具体地，租户60使用租户客户端40通过互联网30向云管理平台20输入无服务器函数12211、触发事件，该触发事件发生时会触发该无服务器函数12211的运行。

S603.接收无服务器函数、触发事件。

具体地，云管理平台20接收租户60输入的无服务器函数12211和触发事件，并将该无服务器函数12211和触发事件配置在计算实例1221上。

S604.确认触发事件发生。

具体地，当租户60设置的触发事件发生时，由云管理平台20进行确认。

S605.运行无服务器函数。

具体地，在S606中云管理平台确认租户设置的触发事件发生时，云管理平台告知无服务器函数VPC122中的计算实例运行租户60在步骤S602中输入的无服务器函数12211。

S606.发送报文。

具体地，计算实例1221在运行无服务器函数12211的过程中发送报文，该报文经过无服务器函数VPC122的弹性网卡12212。

S607.将租户标识写入报文头。

具体地，弹性网卡12212将该租户60的标识写入计算实例1221发送报文的嵌套报文包头中，使得该报文的嵌套报文包头携带有该租户60的租户标识。

S608.发送报文。

具体地，弹性网卡12212将携带有该租户标识的报文发送至无服务器函数VPC122的网络地址转换NAT网关123。

S609.确认没有记录标识。

具体地，网络地址转换NAT网关123在步骤S608接收到携带有租户标识的报文后，确认自身没有记录有租户标识，在本申请提供的一种实施例中，租户60未为无服务器函数12211购买弹性公网IP或未配置弹性公网IP，因此网络地址转换NAT网关123未记录该租户60的租户标识。

S610.禁止报文访问公网。

具体地，网络地址转换NAT网关123在步骤S609确认自身没有记录该标识后，禁止该租户60的无服务器函数12211的报文访问公网13。

本申请还提供一种云管理平台，如图10所示，包括：连接网关创建模块201、无服务器函数设置模块202、发送模块203、触发模块204、连接网关设置模块205。其中，连接网关创建模块201、无服务器函数设置模块202、发送模块203、触发模块204、连接网关设置模块205均可以通过软件实现，或者可以通过硬件实现。示例性的，接下来以连接网关创建模块201为例，介绍连接网关创建模块201的实现方式。类似的，无服务器函数设置模块202、发送模块203、触发模块204、连接网关设置模块205的实现方式可以参考连接网关创建模块201的实现方式。

模块作为软件功能单元的一种举例，连接网关创建模块可以包括运行在计算实例上的代码。其中，计算实例可以包括物理主机(计算设备)、虚拟机、容器中的至少一种。进一步地，上述计算实例可以是一台或者多台。例如，连接网关创建模块201可以包括运行在多个主机/虚拟机/容器上的代码。需要说明的是，用于运行该代码的多个主机/虚拟机/容器可以分布在相同的区域(region)中，也可以分布在不同的region中。进一步地，用于运行该代码的多个主机/虚拟机/容器可以分布在相同的可用区(availability zone，AZ)中，也可以分布在不同的AZ中，每个AZ包括一个数据中心或多个地理位置相近的数据中心。其中，通常一个region可以包括多个AZ。

同样，用于运行该代码的多个主机/虚拟机/容器可以分布在同一个虚拟私有云(virtual private cloud，VPC)中，也可以分布在多个VPC中。其中，通常一个VPC设置在一个region内，同一region内两个VPC之间，以及不同region的VPC之间跨区通信需在每个VPC内设置通信网关，经通信网关实现VPC之间的互连。

模块作为硬件功能单元的一种举例，连接网关创建模块201可以包括至少一个计算设备，如服务器等。或者，连接网关创建模块201也可以是利用专用集成电路(application-specific integrated circuit，ASIC)实现、或可编程逻辑器件(programmable logic device，PLD)实现的设备等。其中，上述PLD可以是复杂程序逻辑器件(complex programmable logical device，CPLD)、现场可编程门阵列(field-programmable gate array，FPGA)、通用阵列逻辑(generic array logic，GAL)或其任意组合实现。

连接网关创建模块201包括的多个计算设备可以分布在相同的region中，也可以分布在不同的region中。连接网关创建模块201包括的多个计算设备可以分布在相同的AZ中，也可以分布在不同的AZ中。同样，连接网关创建模块201包括的多个计算设备可以分布在同一个VPC中，也可以分布在多个VPC中。其中，所述多个计算设备可以是服务器、ASIC、PLD、CPLD、FPGA和GAL等计算设备的任意组合。

需要说明的是，在其他实施例中，连接网关创建模块201、无服务器函数设置模块202、发送模块203、触发模块204、连接网关设置模块205可以用于执行无服务器函数的配置方法中的任意步骤，连接网关创建模块、无服务器函数设置模块、发送模块、触发模块、连接网关设置模块负责实现的步骤可根据需要指定，通过连接网关创建模块、无服务器函数设置模块、发送模块、触发模块、连接网关设置模块分别实现无服务器函数的配置方法中不同的步骤来实现云管理平台的全部功能。

本申请还提供一种计算设备600。如图7所示，计算设备600包括：总线602、处理器604、存储器606和通信接口608。处理器604、存储器606和通信接口608之间通过总线602通信。计算设备600可以是服务器或终端设备。应理解，本申请不限定计算设备600中的处理器、存储器的个数。

总线602可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条线表示，但并不表示仅有一根总线或一种类型的总线。总线602可包括在计算设备600各个部件(例如，存储器106、处理器104、通信接口108)之间传送信息的通路。

处理器604可以包括中央处理器(central processing unit，CPU)、图形处理器(graphics processing unit，GPU)、微处理器(micro processor，MP)或者数字信号处理器(digital signal processor，DSP)等处理器中的任意一种或多种。

存储器606可以包括易失性存储器(volatile memory)，例如随机存取存储器(random access memory，RAM)。处理器604还可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)，快闪存储器，机械硬盘(hard disk drive，HDD)或固态硬盘(solid state drive，SSD)。

存储器606中存储有可执行的程序代码，处理器104执行该可执行的程序代码以分别实现前述连接网关创建模块、无服务器函数设置模块、发送模块、触发模块、连接网关设置模块的功能，从而实现无服务器函数的配置方法。也即，存储器606上存有用于执行无服务器函数的配置方法的指令。

或者，存储器606中存储有可执行的代码，处理器604执行该可执行的代码以分别实现前述无服务器函数虚拟私有云VPC、连接网关、租户VPC、计算实例的功能，从而实现无服务器函数的配置方法。也即，存储器106上存有用于执行无服务器函数的配置方法的指令。

通信接口608使用例如但不限于网络接口卡、收发器一类的收发模块，来实现计算设备600与其他设备或通信网络之间的通信。

本申请实施例还提供了一种计算设备集群。该计算设备集群包括至少一台计算设备。该计算设备可以是服务器，例如是中心服务器、边缘服务器，或者是本地数据中心中的本地服务器。在一些实施例中，计算设备也可以是台式机、笔记本电脑或者智能手机等终端设备。

如图8所示，所述计算设备集群包括至少一个计算设备600。计算设备集群中的一个或多个计算设备600中的存储器606中可以存有相同的用于执行无服务器函数的配置方法的指令。

在一些可能的实现方式中，该计算设备集群中的一个或多个计算设备600的存储器606中也可以分别存有用于执行无服务器函数的配置方法的部分指令。换言之，一个或多个计算设备600的组合可以共同执行用于执行无服务器函数的配置方法的指令。

需要说明的是，计算设备集群中的不同的计算设备600中的存储器606可以存储不同的指令，分别用于执行云管理平台的部分功能。也即，不同的计算设备600中的存储器606存储的指令可以实现连接网关创建模块、无服务器函数设置模块、发送模块、触发模块、连接网关设置模块中的一个或多个模块的功能。

在一些可能的实现方式中，计算设备集群中的一个或多个计算设备可以通过网络连接。其中，所述网络可以是广域网或局域网等等。图9示出了一种可能的实现方式。如图9所示，两个计算设备600A和600B之间通过网络进行连接。具体地，通过各个计算设备中的通信接口与所述网络进行连接。在这一类可能的实现方式中，计算设备600A中的存储器606中存有执行连接网关创建模块201、无服务器函数设置模块202、连接网关设置模块205的功能的指令。同时，计算设备600B中的存储器606中存有执行发送模块203、触发模块204的功能的指令。

图9所示的计算设备集群之间的连接方式可以是考虑到本申请提供的无服务器函数的配置方法需要提供无服务器函数计算服务，因此考虑将发送模块、触发模块实现的功能交由计算设备600B执行。

应理解，图9中示出的计算设备600A的功能也可以由多个计算设备600完成。同样，计算设备600B的功能也可以由多个计算设备600完成。

本申请实施例还提供了另一种计算设备集群。该计算设备集群中各计算设备之间的连接关系可以类似的参考图7和图8所述计算设备集群的连接方式。不同的是，该计算设备集群中的一个或多个计算设备600中的存储器606中可以存有相同的用于执行无服务器函数的配置方法的指令。

在一些可能的实现方式中，该计算设备集群中的一个或多个计算设备600的存储器606中也可以分别存有用于执行无服务器函数的配置方法的部分指令。换言之，一个或多个计算设备600的组合可以共同执行用于执行无服务器函数的配置方法的指令。

需要说明的是，计算设备集群中的不同的计算设备600中的存储器606可以存储不同的指令，用于执行云系统的部分功能。也即，不同的计算设备600中的存储器606存储的指令可以实现无服务器函数虚拟私有云VPC、连接网关、租户VPC、计算实例中的一个或多个装置的功能。

本申请还提供一种云管理平台，如图14所示，包括：网络地址转换NAT网关创建模块206、无服务器函数设置模块202、发送模块203、触发模块204、连接网关设置模块205。其中，网络地址转换NAT网关创建模块206、无服务器函数设置模块202、发送模块203、触发模块204、连接网关设置模块205均可以通过软件实现，或者可以通过硬件实现。示例性的，接下来以网络地址转换NAT网关创建模块206为例，介绍网络地址转换NAT网关创建模块206的实现方式。类似的，无服务器函数设置模块202、发送模块203、触发模块204、连接网关设置模块205的实现方式可以参考网络地址转换NAT网关创建模块206的实现方式。

模块作为软件功能单元的一种举例，连接网关创建模块可以包括运行在计算实例上的代码。其中，计算实例可以包括物理主机(计算设备)、虚拟机、容器中的至少一种。进一步地，上述计算实例可以是一台或者多台。例如，网络地址转换NAT网关创建模块206可以包括运行在多个主机/虚拟机/容器上的代码。需要说明的是，用于运行该代码的多个主机/虚拟机/容器可以分布在相同的区域(region)中，也可以分布在不同的region中。进一步地，用于运行该代码的多个主机/虚拟机/容器可以分布在相同的可用区(availability zone，AZ)中，也可以分布在不同的AZ中，每个AZ包括一个数据中心或多个地理位置相近的数据中心。其中，通常一个region可以包括多个AZ。

同样，用于运行该代码的多个主机/虚拟机/容器可以分布在同一个虚拟私有云(virtual private cloud，VPC)中，也可以分布在多个VPC中。其中，通常一个VPC设置在一个region内，同一region内两个VPC之间，以及不同region的VPC之间跨区通信需在每个VPC内设置通信网关，经通信网关实现VPC之间的互连。

模块作为硬件功能单元的一种举例，网络地址转换NAT网关创建模块206可以包括至少一个计算设备，如服务器等。或者，网络地址转换NAT网关创建模块206也可以是利用专用集成电路(application-specific integrated circuit，ASIC)实现、或可编程逻辑器件(programmable logic device，PLD)实现的设备等。其中，上述PLD可以是复杂程序逻辑器件(complex programmable logical device，CPLD)、现场可编程门阵 列(field-programmable gate array，FPGA)、通用阵列逻辑(generic array logic，GAL)或其任意组合实现。

网络地址转换NAT网关创建模块206包括的多个计算设备可以分布在相同的region中，也可以分布在不同的region中。网络地址转换NAT网关创建模块206包括的多个计算设备可以分布在相同的AZ中，也可以分布在不同的AZ中。同样，网络地址转换NAT网关创建模块206包括的多个计算设备可以分布在同一个VPC中，也可以分布在多个VPC中。其中，所述多个计算设备可以是服务器、ASIC、PLD、CPLD、FPGA和GAL等计算设备的任意组合。

需要说明的是，在其他实施例中，网络地址转换NAT网关创建模块206、无服务器函数设置模块202、发送模块203、触发模块204、连接网关设置模块205可以用于执行无服务器函数的配置方法中的任意步骤，连接网关创建模块、无服务器函数设置模块、发送模块、触发模块、连接网关设置模块负责实现的步骤可根据需要指定，通过连接网关创建模块、无服务器函数设置模块、发送模块、触发模块、连接网关设置模块分别实现无服务器函数的配置方法中不同的步骤来实现云管理平台的全部功能。

本申请还提供一种计算设备700。如图11所示，计算设备700包括：总线702、处理器704、存储器706和通信接口708。处理器704、存储器706和通信接口708之间通过总线702通信。计算设备700可以是服务器或终端设备。应理解，本申请不限定计算设备700中的处理器、存储器的个数。

总线702可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条线表示，但并不表示仅有一根总线或一种类型的总线。总线702可包括在计算设备700各个部件(例如，存储器106、处理器104、通信接口108)之间传送信息的通路。

处理器704可以包括中央处理器(central processing unit，CPU)、图形处理器(graphics processing unit，GPU)、微处理器(micro processor，MP)或者数字信号处理器(digital signal processor，DSP)等处理器中的任意一种或多种。

存储器706可以包括易失性存储器(volatile memory)，例如随机存取存储器(random access memory，RAM)。处理器704还可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)，快闪存储器，机械硬盘(hard disk drive，HDD)或固态硬盘(solid state drive，SSD)。

存储器706中存储有可执行的程序代码，处理器104执行该可执行的程序代码以分别实现前述连接网关创建模块、无服务器函数设置模块、发送模块、触发模块、连接网关设置模块的功能，从而实现无服务器函数的配置方法。也即，存储器706上存有用于执行无服务器函数的配置方法的指令。

或者，存储器706中存储有可执行的代码，处理器704执行该可执行的代码以分别实现前述无服务器函数虚拟私有云VPC、连接网关、租户VPC、计算实例的功能，从而实现无服务器函数的配置方法。也即，存储器106上存有用于执行无服务器函数的配置方法的指令。

通信接口708使用例如但不限于网络接口卡、收发器一类的收发模块，来实现计算设备700与其他设备或通信网络之间的通信。

本申请实施例还提供了一种计算设备集群。该计算设备集群包括至少一台计算设备。该计算设备可以是服务器，例如是中心服务器、边缘服务器，或者是本地数据中心中的本地服务器。在一些实施例中，计算设备也可以是台式机、笔记本电脑或者智能手机等终端设备。

如图12所示，所述计算设备集群包括至少一个计算设备700。计算设备集群中的一个或多个计算设备700中的存储器706中可以存有相同的用于执行无服务器函数的配置方法的指令。

在一些可能的实现方式中，该计算设备集群中的一个或多个计算设备700的存储器706中也可以分别存有用于执行无服务器函数的配置方法的部分指令。换言之，一个或多个计算设备700的组合可以共同执行用于执行无服务器函数的配置方法的指令。

需要说明的是，计算设备集群中的不同的计算设备700中的存储器706可以存储不同的指令，分别用于执行云管理平台的部分功能。也即，不同的计算设备700中的存储器706存储的指令可以实现连接网关创建模块、无服务器函数设置模块、发送模块、触发模块、连接网关设置模块中的一个或多个模块的功能。

在一些可能的实现方式中，计算设备集群中的一个或多个计算设备可以通过网络连接。其中，所述网络可以是广域网或局域网等等。图13示出了一种可能的实现方式。如图13所示，两个计算设备700A和700B之间通过网络进行连接。具体地，通过各个计算设备中的通信接口与所述网络进行连接。在这一类可能的实现方式中，计算设备700A中的存储器706中存有执行网络地址转换NAT网关创建模块206、无服务器函数设置模块202、连接网关设置模块205的功能的指令。同时，计算设备700B中的存储器706中存有执行发送模块203、触发模块204的功能的指令。

图13所示的计算设备集群之间的连接方式可以是考虑到本申请提供的无服务器函数的配置方法需要提供无服务器函数计算服务，因此考虑将发送模块、触发模块实现的功能交由计算设备700B执行。

应理解，图13中示出的计算设备700A的功能也可以由多个计算设备700完成。同样，计算设备700B的功能也可以由多个计算设备700完成。

本申请实施例还提供了另一种计算设备集群。该计算设备集群中各计算设备之间的连接关系可以类似的参考图11和图12所述计算设备集群的连接方式。不同的是，该计算设备集群中的一个或多个计算设备700中的存储器706中可以存有相同的用于执行无服务器函数的配置方法的指令。

在一些可能的实现方式中，该计算设备集群中的一个或多个计算设备700的存储器706中也可以分别存有用于执行无服务器函数的配置方法的部分指令。换言之，一个或多个计算设备700的组合可以共同执行用于执行无服务器函数的配置方法的指令。

需要说明的是，计算设备集群中的不同的计算设备700中的存储器706可以存储不同的指令，用于执行云系统的部分功能。也即，不同的计算设备700中的存储器706存储的指令可以实现无服务器函数虚拟私有云VPC、连接网关、租户VPC、计算实例中的一个或多个装置的功能。

本申请实施例还提供了一种包含指令的计算机程序产品。所述计算机程序产品可以是包含指令的，能够运行在计算设备上或被储存在任何可用介质中的软件或程序产品。当所述计算机程序产品在至少一个计算设备上运行时，使得至少一个计算设备执行无服务器函数的配置方法。

本申请实施例还提供了一种计算机可读存储介质。所述计算机可读存储介质可以是计算设备能够存储的任何可用介质或者是包含一个或多个可用介质的数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘)等。该计算机可读存储介质包括指令，所述指令指示计算设备执行无服务器函数的配置方法，或指示计算设备执行无服务器函数的配置方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的保护范围。

Claims (29)

1. 一种基于云计算技术的云系统，其特征在于，所述云系统设置在至少一个云数据中心中，所述云系统包括：

   无服务器函数虚拟私有云VPC，设置有用于承载第一租户的第一无服务器函数的第一计算实例，其中所述第一无服务器函数设置有用于访问第一租户VPC的第一代码；

   所述第一租户VPC，设置有所述第一租户的云资源；

   连接网关，用于连接所述无服务器函数VPC和所述第一租户VPC，并且记录有所述第一租户的标识；

   所述第一计算实例，用于在运行所述第一无服务器函数的过程中发送第一报文，其中所述第一报文的外层嵌套报文包头携带有所述第一租户的标识，所述第一报文的目的IP地址是所述云资源在所述第一租户VPC的私网IP地址；

   所述连接网关，还用于接收所述第一报文，在确认自身记录有所述第一租户的标识的情况下允许所述第一报文进入所述第一租户VPC。
2. 根据权利要求1所述的云系统，其特征在于，

   所述第一计算实例，还用于挂载第一弹性网卡，其中所述第一弹性网卡用于将所述第一租户的标识写入所述第一报文的嵌套报文包头中，并在所述第一计算实例运行所述第一无服务器函数的过程中向所述连接网关发送设置有所述嵌套报文包头的第一报文。
3. 根据权利要求1或2所述的云系统，其特征在于，还包括：

   第二计算实例，用于承载第二租户的第二无服务器函数，其中所述第二无服务器函数设置有用于访问所述第一租户VPC的第二代码；

   所述第二计算实例，还用于在运行所述第二无服务器函数的过程中向所述连接网关发送第二报文，其中所述第二报文的外层嵌套报文包头携带有所述第二租户的标识，所述第二报文的目的IP地址是所述云资源在所述第一租户VPC的私网IP地址；则

   所述连接网关，还用于接收所述第二报文，在确认自身没有记录有所述第二租户的标识的情况下禁止所述第二报文进入所述第一租户VPC。
4. 根据权利要求1或2所述的云系统，其特征在于，还包括：

   第二计算实例，用于承载第二租户的第二无服务器函数，其中所述第二无服务器函数设置有用于访问所述第一租户VPC的第二代码；则

   所述连接网关，还用于记录所述第二租户的标识；

   所述第二计算实例，还用于在运行所述第二无服务器函数的过程中向所述连接网关发送第二报文，其中所述第二报文的外层嵌套报文包头携带有所述第二租户的标识，所述第二报文的目的IP地址是所述云资源在所述第一租户VPC的私网IP地址；

   所述连接网关，还用于接收所述第二报文，在确认自身记录有所述第二租户的标识的情况下允许所述第二报文进入所述第一租户VPC。
5. 根据权利要求3或4所述的云系统，其特征在于，所述第二计算实例设置在所述无服务器函数VPC中，或设置在与所述无服务器函数VPC不同的另一无服务器函数VPC中。
6. 一种基于云计算技术的云系统，其特征在于，所述云系统设置在至少一个云数据中心，所述云系统包括：

   无服务器函数虚拟私有云VPC，设置有用于承载第三租户的第三无服务器函数的第三计算实例，其中所述第三无服务器函数设置有用于访问公网的网络节点的第三代码；

   网络地址转换NAT网关，用于记录所述第三租户的弹性公网IP和所述第三租户的标识的对应关系；

   所述第三计算实例，用于在运行所述第三无服务器函数的过程中向所述NAT网关发送第三报文，其中所述第三报文的外层嵌套报文包头携带有所述第三租户的标识，所述第三报文的目的IP地址是设置在所述公网的所述网络节点的公网IP地址；

   所述NAT网关，还用于接收所述第三报文，根据所述第三租户的标识和所述对应关系将所述第三报文的源IP地址设置为所述第三租户的弹性公网IP，并将去除所述外层嵌套报文包头的第三报文发送至所述公网。
7. 根据权利要求6所述的云系统，其特征在于，

   所述第三计算实例，还用于挂载第二弹性网卡，其中所述第二弹性网卡用于将所述第三租户的标识写 入所述第三报文的嵌套报文包头中，并在所述第三计算实例运行所述第三无服务器函数的过程中向所述网络地址转换NAT网关发送设置有所述嵌套报文包头的第一报文。
8. 根据权利要求5或6所述的云系统，其特征在于，还包括：

   第四计算实例，用于承载第四租户的第四无服务器函数，其中所述第四无服务器函数设置有用于访问公网的网络节点的第四代码；则

   所述NAT网关，还用于记录所述第四租户的弹性公网IP和所述第四租户的标识的对应关系；

   所述第四计算实例，还用于在运行所述第三无服务器函数的过程中向所述NAT网关发送第四报文，其中所述第四报文的外层嵌套报文包头携带有所述第四租户的标识，所述第四报文的目的IP地址是设置在所述公网的所述网络节点的公网IP地址；

   所述NAT网关，还用于接收所述第四报文，根据所述第四租户的标识和所述对应关系将所述第四报文的源IP地址设置为所述第四租户的弹性公网IP，并将去除所述外层嵌套报文包头的第四报文发送至所述公网。
9. 根据权利要求5或6所述的云系统，其特征在于，还包括：

   第四计算实例，用于承载第四租户的第四无服务器函数，其中所述第四无服务器函数设置有用于访问公网的网络节点的第四代码；则

   所述第四计算实例，还用于在运行所述第四无服务器函数的过程中向所述NAT网关发送第四报文，其中所述第四报文的外层嵌套报文包头携带有所述第四租户的标识，所述第四报文的目的IP地址是设置在所述公网的所述网络节点的公网IP地址；

   所述NAT网关，还用于接收所述第四报文，在确认自身没有记录所述第四租户的标识的情况下禁止所述第四报文访问所述公网。
10. 根据权利要求8或9所述的云系统，其特征在于，所述第四计算实例设置在所述无服务器函数VPC中，或设置在与所述无服务器函数VPC不同的另一无服务器函数VPC中。
11. 一种无服务器函数的配置方法，其特征在于，所述方法应用于云管理平台，所述云管理平台用于管理提供无服务器函数服务的基础设施，所述基础设施包括至少一个云数据中心，所述至少一个云数据中心设置有第一租户VPC和无服务器函数VPC，所述方法包括：

    所述云管理平台创建分别与所述第一租户VPC和所述无服务器函数VPC连接的连接网关；

    所述云管理平台确认第一租户输入的第一无服务器函数和第一触发事件，其中所述第一无服务器函数设置有用于访问第一租户VPC的第一代码，所述第一租户VPC中设置有云资源；

    所述云管理平台发送所述第一租户的标识至所述连接网关，并设置所述连接网关记录所述第一租户的标识；

    所述云管理平台在检测到所述第一触发事件发生的情况下，触发第一计算实例运行所述第一无服务器函数，并设置所述第一计算实例在运行所述第一无服务器函数的过程中发送第一报文，其中所述第一报文的外层嵌套报文包头携带有所述第一租户的标识，所述第一报文的目的IP地址是所述云资源在所述第一租户VPC的私网IP地址；

    所述云管理平台设置所述连接网关接收所述第一报文并在确认自身记录有所述第一租户的标识的情况下允许所述第一报文进入所述第一租户VPC。
12. 根据权利要求11所述的方法，其特征在于，所述设置所述第一计算实例在运行所述第一无服务器函数的过程中向所述第一租户VPC发送第一报文具体包括：

    所述云管理平台设置所述第一计算实例挂载第一弹性网卡，其中所述第一弹性网卡用于将所述第一租户的标识写入所述第一报文的嵌套报文包头中，并在所述第一计算实例运行所述第一无服务器函数的过程中向所述连接网关发送设置有所述嵌套报文包头的第一报文。
13. 根据权利要求11或12所述的方法，其特征在于，所述方法还包括：

    所述云管理平台确认第二租户输入的第二无服务器函数和第二触发事件，其中所述第二无服务器函数设置有用于访问第一租户VPC的第二代码；

    所述云管理平台在检测到所述第二触发事件发生的情况下，触发第二计算实例运行所述第二无服务器函数，并设置所述第二计算实例在运行所述第二无服务器函数的过程中发送第二报文，其中所述第二报文的外层嵌套报文包头携带有所述第二租户的标识，所述第二报文的目的IP地址是所述云资源在所述第一租户VPC的私网地址；

    所述云管理平台设置所述连接网关接收所述第二报文并在确认自身没有记录有所述第二租户的标识 的情况下禁止所述第二报文进入所述第一租户VPC。
14. 根据权利要求11或12所述的方法，其特征在于，所述方法还包括：

    所述云管理平台确认第二租户输入的第二无服务器函数和第二触发事件，其中所述第二无服务器函数设置有用于访问第一租户VPC的第二代码；

    所述云管理平台设置所述连接网关记录所述第二租户的标识；

    所述云管理平台在检测到所述第二触发事件发生的情况下，触发第二计算实例运行所述第二无服务器函数，并设置所述第二计算实例在运行所述第二无服务器函数的过程中发送第二报文，其中所述第二报文的外层嵌套报文包头携带有所述第二租户的标识，所述第二报文的目的IP地址是所述云资源在所述第一租户VPC的私网地址；

    所述云管理平台设置所述连接网关接收所述第二报文并在确认自身记录有所述第二租户的标识的情况下允许所述第二报文进入所述第一租户VPC。
15. 一种无服务器函数的配置方法，其特征在于，所述方法应用于云管理平台，所述云管理平台用于管理提供无服务器函数服务的基础设施，所述基础设施包括至少一个云数据中心，所述至少一个云数据中心设置有无服务器函数VPC和网络地址转换NAT网关，所述方法包括：

    所述云管理平台创建网络地址转换NAT网关；

    所述云管理平台确认第三租户输入的第三无服务器函数和第三触发事件，其中所述第三无服务器函数设置有用于访问公网的网络节点的第三代码；

    所述云管理平台发送所述第三租户的标识至所述网络地址转换NAT网关，并设置所述网络地址转换NAT网关记录所述第三租户的标识；

    所述云管理平台在检测到所述第三触发事件发生的情况下，触发第三计算实例运行所述第三无服务器函数，并设置所述第三计算实例在运行所述第三无服务器函数的过程中发送第三报文，其中所述第三报文的外层嵌套报文包头携带有所述第三租户的标识，所述第三报文的目的IP地址是设置在所述公网的所述网络节点的公网IP地址；

    所述云管理平台设置所述网络地址转换NAT网关用于接收所述第三报文，并根据所述第三租户的标识将所述第三报文的源IP地址设置为所述第三租户的弹性公网IP，并将去除所述外层嵌套报文包头的第三报文发送至所述公网。
16. 根据权利要求15所述的方法，其特征在于，所述设置所述第三计算实例在运行所述第三无服务器函数的过程中发送第三报文，具体包括：

    所述云管理平台设置所述第三计算实例挂载第二弹性网卡，其中所述第二弹性网卡用于将所述第三租户的标识写入所述第三报文的嵌套报文包头中，并在所述第三计算实例在运行所述第三无服务器函数的过程中发送第三报文。
17. 根据权利要求15或16所述的方法，其特征在于，所述方法包括：

    所述云管理平台确认第四租户输入的第四无服务器函数和第四触发事件，其中所述第四无服务器函数设置有用于访问公网的网络节点的第四代码；

    所述云管理平台发送所述第四租户的标识至所述网络地址转换NAT网关，并设置所述网络地址转换NAT网关记录所述第四租户的标识；

    所述云管理平台在检测到所述第四触发事件发生的情况下，触发第四计算实例运行所述第四无服务器函数，并设置所述第四计算实例在运行所述第四无服务器函数的过程中发送第四报文，其中所述第四报文的外层嵌套报文包头携带有所述第四租户的标识，所述第四报文的目的IP地址是设置在所述公网的所述网络节点的公网IP地址；

    所述云管理平台设置所述网络地址转换NAT网关用于接收所述第四报文，并根据所述第四租户的标识将所述第四报文的源IP地址设置为所述第四租户的弹性公网IP，并将去除所述外层嵌套报文包头的第四报文发送至所述公网。
18. 根据权利要求15或16所述的方法，其特征在于，所述方法包括：

    所述云管理平台确认第四租户输入的第四无服务器函数和第四触发事件，其中所述第四无服务器函数设置有用于访问公网的网络节点的第四代码；

    所述云管理平台在检测到所述第四触发事件发生的情况下，触发第四计算实例运行所述第四无服务器函数，并设置所述第四计算实例在运行所述第四无服务器函数的过程中发送第四报文，其中所述第四报文的外层嵌套报文包头携带有所述第四租户的标识，所述第四报文的目的IP地址是设置在所述公网的所述网 络节点的公网IP地址；

    所述云管理平台设置所述网络地址转换NAT网关用于接收所述第四报文并在确认自身没有记录所述第四租户的标识的情况下禁止第四报文访问所述公网。
19. 一种云管理平台，其特征在于，所述云管理平台用于管理提供无服务器函数服务的基础设施，所述基础设施包括至少一个云数据中心，所述至少一个云数据中心设置有第一租户VPC和无服务器函数VPC，所述云管理平台包括：

    连接网关创建模块，用于创建分别与所述第一租户VPC和所述无服务器函数VPC连接的连接网关；

    无服务器函数设置模块，用于确认第一租户输入的第一无服务器函数和第一触发事件，其中所述第一无服务器函数设置有用于访问第一租户VPC的第一代码，所述第一租户VPC中设置有云资源；

    发送模块，用于发送所述第一租户的标识至所述连接网关，并设置所述连接网关记录所述第一租户的标识；

    触发模块，用于在检测到所述第一触发事件发生的情况下，触发第一计算实例运行所述第一无服务器函数，并设置所述第一计算实例在运行所述第一无服务器函数的过程中发送第一报文，其中所述第一报文的外层嵌套报文包头携带有所述第一租户的标识，所述第一报文的目的IP地址是所述云资源在所述第一租户VPC的私网IP地址；

    连接网关设置模块，用于设置所述连接网关接收所述第一报文并在确认自身记录有所述第一租户的标识的情况下允许所述第一报文进入所述第一租户VPC。
20. 根据权利要求19所述的云管理平台，其特征在于，

    所述触发模块，具体用于设置所述第一计算实例挂载第一弹性网卡，其中所述第一弹性网卡用于将所述第一租户的标识写入所述第一报文的嵌套报文包头中，并在所述第一计算实例运行所述第一无服务器函数的过程中向所述连接网关发送设置有所述嵌套报文包头的第一报文。
21. 根据权利要求19或20所述的云管理平台，其特征在于，

    所述触发模块，还用于确认第二租户输入的第二无服务器函数和第二触发事件，其中所述第二无服务器函数设置有用于访问第一租户VPC的第二代码；

    所述触发模块，还用于在检测到所述第二触发事件发生的情况下，触发第二计算实例运行所述第二无服务器函数，并设置所述第二计算实例在运行所述第二无服务器函数的过程中发送第二报文，其中所述第二报文的外层嵌套报文包头携带有所述第二租户的标识，所述第二报文的目的IP地址是所述云资源在所述第一租户VPC的私网地址；

    所述连接网关设置模块，还用于设置所述连接网关接收所述第二报文并在确认自身没有记录有所述第二租户的标识的情况下禁止所述第二报文进入所述第一租户VPC。
22. 根据权利要求19或20所述的云管理平台，其特征在于，

    所述触发模块，还用于确认第二租户输入的第二无服务器函数和第二触发事件，其中所述第二无服务器函数设置有用于访问第一租户VPC的第二代码；

    所述发送模块，还用于发送所述第二租户的标识至所述连接网关并设置所述连接网关记录所述第二租户的标识；

    所述触发模块，还用于在检测到所述第二触发事件发生的情况下，触发第二计算实例运行所述第二无服务器函数，并设置所述第二计算实例在运行所述第二无服务器函数的过程中发送第二报文，其中所述第二报文的外层嵌套报文包头携带有所述第二租户的标识，所述第二报文的目的IP地址是所述云资源在所述第一租户VPC的私网地址；

    所述连接网关设置模块，还用于设置所述连接网关接收所述第二报文并在确认自身记录有所述第二租户的标识的情况下允许所述第二报文进入所述第一租户VPC。
23. 一种云管理平台，其特征在于，所述云管理平台用于管理提供无服务器函数服务的基础设施，所述基础设施包括至少一个云数据中心，所述至少一个云数据中心设置有无服务器函数VPC和网络地址转换NAT网关，所述云管理平台包括：

    所述网络地址转换NAT网关创建模块，用于创建NAT网关；

    所述无服务器函数设置模块，用于确认第三租户输入的第三无服务器函数和第三触发事件，其中所述第三无服务器函数设置有用于访问公网的网络节点的第三代码；

    所述发送模块，用于发送所述第三租户的标识至所述网络地址转换NAT网关，并设置所述网络地址转换NAT网关记录所述第三租户的标识；

    所述触发模块，用于在检测到所述第三触发事件发生的情况下，触发第三计算实例运行所述第三无服务器函数，并设置所述第三计算实例在运行所述第三无服务器函数的过程中发送第三报文，其中所述第三报文的外层嵌套报文包头携带有所述第三租户的标识，所述第三报文的目的IP地址是设置在所述公网的所述网络节点的公网IP地址；

    所述NAT网关设置模块，用于设置所述网络地址转换NAT网关用于接收所述第三报文，并根据所述第三租户的标识将所述第三报文的源IP地址设置为所述第三租户的弹性公网IP，并将去除所述外层嵌套报文包头的第三报文发送至所述公网。
24. 根据权利要求23所述的云管理平台，其特征在于，

    所触发模块，具体用于设置所述第三计算实例挂载第二弹性网卡，其中所述第二弹性网卡用于将所述第三租户的标识写入所述第三报文的嵌套报文包头中，并在所述第三计算实例在运行所述第三无服务器函数的过程中发送第三报文。
25. 根据权利要求23或24所述的云管理平台，其特征在于，

    所述无服务器函数设置模块，还用于确认第四租户输入的第四无服务器函数和第四触发事件，其中所述第四无服务器函数设置有用于访问公网的网络节点的第四代码；

    所述发送模块，还用于发送所述第四租户的标识至所述网络地址转换NAT网关，并设置所述网络地址转换NAT网关记录所述第四租户的标识；

    所述检测模块，还用于在检测到所述第四触发事件发生的情况下，触发第四计算实例运行所述第四无服务器函数，并设置所述第四计算实例在运行所述第四无服务器函数的过程中发送第四报文，其中所述第四报文的外层嵌套报文包头携带有所述第四租户的标识，所述第四报文的目的IP地址是设置在所述公网的所述网络节点的公网IP地址；

    所述NAT网关设置模块，还用于设置所述网络地址转换NAT网关接收所述第四报文，并根据所述第四租户的标识将所述第四报文的源IP地址设置为所述第四租户的弹性公网IP，并将去除所述外层嵌套报文包头的第四报文发送至所述公网。
26. 根据权利要求23或24所述的云管理平台，其特征在于，

    所述无服务器函数设置模块，还用于确认第四租户输入的第四无服务器函数和第四触发事件，其中所述第四无服务器函数设置有用于访问公网的网络节点的第四代码；

    所述触发模块，还用于在检测到所述第四触发事件发生的情况下，触发第四计算实例运行所述第四无服务器函数，并设置所述第四计算实例在运行所述第四无服务器函数的过程中发送第四报文，其中所述第四报文的外层嵌套报文包头携带有所述第四租户的标识，所述第四报文的目的IP地址是设置在所述公网的所述网络节点的公网IP地址；

    所述NAT网关设置模块，还用于设置所述NAT网关用于接收所述第四报文并在确认自身没有记录所述第四租户的标识的情况下禁止第四报文访问所述公网。
27. 一种计算设备集群，其特征在于，包括至少一个计算设备，每个计算设备包括处理器和存储器；

    所述至少一个计算设备的处理器用于执行所述至少一个计算设备的存储器中存储的指令，以使得所述计算设备集群执行如权利要求11至14任一项所述的方法或权利要求15至18任一项所述的方法。
28. 一种包含指令的计算机程序产品，其特征在于，当所述指令被计算设备集群运行时，使得所述计算设备集群执行如权利要求的11至14任一项所述的方法或权利要求15至18任一项所述的方法。
29. 一种计算机可读存储介质，其特征在于，包括计算机程序指令，当所述计算机程序指令由计算设备集群执行时，所述计算设备集群执行如11至14任一项所述的方法或权利要求15至18任一项所述的方法。