Serverless 解惑——函数计算如何访问 MySQL 数据库

函数计算（Function Compute）：函数计算是事件驱动的全托管计算服务。使用函数计算，您无需采购与管理服务器等基础设施，只需编写并上传代码。函数计算为您准备好计算资源，弹性地可靠地运行任务，并提供日志查询、性能监控和报警等功能。借助函数计算，您可以快速构建任何类型的应用和服务，并且只需为任务实际消耗的资源付费。

访问 MySQL 数据库是指在函数计算中通过编写代码调用数据库驱动库通过 TCP 协议实现对数据库进行的插入、查询等操作。通常函数计算中运行的不同函数实例之间是不共享状态的，对于结构化的数据可以通过数据库的形式进行持久化以实现状态共享。由于用户函数运行在函数计算的 VPC 中，而用户的数据库运行在用户所属的 VPC 中，所以在函数计算平台访问数据库会涉及到跨 VPC 访问的场景，下面我们先来介绍一下其工作机制。

工作机制

运行函数时，访问 IP 是不固定的，因此您无法通过设置白名单的方式访问 MySQL。基于最小权限原则，不建议在生产环境中将所有 IP(0.0.0.0/0)设置到数据库白名单中。函数计算已经支持专有网络 VPC 功能，您可以为函数所在的服务开启 VPC 访问的功能，安全地访问 VPC 中的资源。

您可以将 MySQL 放置于安全的专有网络VPC 中，并配置函数计算访问 VPC 中的资源，函数计算就可以通过 VPC 安全地访问您的云数据库。

函数计算访问 MySQL 工作流程如下图所示：

函数计算访问用户 VPC 原理如下：
用户的 VPC 是用户私有的网络，需要用户授权赋予弹性网卡 ENI 访问 VPC 的能力，并将此 ENI 插入到 FC 中执行用户函数的机器上，从而使函数可以访问用户 VPC 内资源。函数计算配置VPC功能，可参考详情.

如果用户的 VPC 资源不在函数计算当前可用区，可以通过在用户 VPC 环境中创建一个与函数计算相同可用区的 VSwitch ，并在函数计算的服务的 VPC 配置中设置此 VSwitchID。由于同一专有网络内不同交换机之间内网互通，因此函数计算可以通过该 VSwitch 访问在其他可用区的用户 VPC 内资源。

MySQL 实例创建成功后，您需要设置白名单，进入相应实例，左侧点击数据安全性，选择白名单设置，将专有网络中 default 设置为配置的 VPC 实例内网 IP 段或者配置 FC 配置的交换机内网 IP 段。
访问 MySQL 数据库 host 为实例的内网地址，可以登录阿里云控制台查看：

配置

公共配置

创建专有网络VPC

登录 VPC控制台。
参阅 VPC 搭建专有网络创建VPC和交换机。

创建安全组

在安全组控制台新建安全组，点击 创建安全组，设置安全组名称，网络类型选择 专有网络，并选择刚才创建的专有网络。

创建 MySQL 实例

在 RDS 控制台新建RDS实例，点击创建实例。
基本配置选择您需要的配置，没有特殊要求选择默认配置即可。
网络类型选择专有网络，并选择您已经创建的 VPC 和交换机。
选择您需要的存储空间和购买量，立即购买。即成功创建了 RDS 实例。
实例创建成功后，您需要设置白名单，进入相应实例，左侧点击 数据安全性，选择白名单设置，将专有网络中 default 设置为配置的 VPC 实例内网 IP 段或者配置 FC 配置的交换机内网 IP 段。
白名单设置成功后，点击左侧数据库管理，点击创建数据库，设置数据库名称。
新建账号访问数据库。点击左侧账号管理，填写数据库账号、授权数据库，登录密码。您可以通过此账号登录数据库。
实例详情页，点击右上角登录数据库，使用刚才创建的账号登录数据库。（如果没有 DMS 访问权限，控制台会弹出授权页面，根据提示授权即可）。
登录到 DMS 系统后，左上角选择数据库，就可以进行创建表、插入数据等操作了。

至此，您已经成功创建了 VPC、安全组、RDS。

函数计算配置 VPC

注意：函数计算服务所在区域与公共配置中创建的资源所在区域一致。

在函数计算控制台创建服务。
- 创建服务步骤请参考文章服务的增删改查
【专有网络配置】选项中，选择您在步骤一中创建的 VPC 网络，交换机、安全组。
【权限配置】选项中，选择【新建角色】，点击【点击授权】，在角色快速创建页面，点击【同意授权】。
- 这步的操作是授予函数计算对 ENI 的操作权限，函数计算访问 VPC 中资源需要的权限请参考文章配置函数计算访问 VPC 内的资源
点击确定，新建服务完毕。