API Gateway支援使用者通過公網或VPC內網訪問API Gateway,本文重點介紹如何在VPC內網訪問到API Gateway。
概述
VPC內網訪問時,需要通過每個API分組的“次層網域(內網VPC網域名稱)”來進行訪問,該網域名稱的特點如下:
只能在VPC內使用,支援直接存取,且沒有每天1000次調用限制。
支援HTTP和HTTPS直接存取。
不同的執行個體類型,內網VPC網域名稱的開放方法和生效範圍不同,具體可參考共用執行個體/Serverless執行個體設定方式和專享執行個體設定方式。
如果您希望在混合雲結構下,通過VPC內網訪問到API Gateway,如通過雲企業網 ( CEN ) 、VPN (比如IPsec VPN ) 搭建的混合雲結構。建議您使用專享執行個體的API Gateway,此時運行在專享執行個體上的API分組,其內網VPC次層網域所對應的IP為您所綁定的入訪VPC的私網地址,這樣便於您的本地路由設定。共用執行個體/Serverless執行個體上的API分組的內網VPC次層網域統一為
100.x.x.x
的IP地址,無法分配私網地址。關於採用混合雲情況下的更多配置,可參考混合Cloud API集中管理。
共用執行個體/Serverless執行個體設定方式
API Gateway共用執行個體/Serverless執行個體的內網訪問,支援同region的所有使用者VPC訪問。
配置方法:
登入API Gateway控制台,在左側導覽列選擇API管理 > 分組管理。
在分組列表頁面單擊共用執行個體/Serverless執行個體的目標分組,進入到分組詳情頁面,單擊開通VPC次層網域並確定。
說明網關會自動給該分組建立一個內網VPC次層網域,通過該網域名稱可以直接存取API。
專享執行個體設定方式
專享執行個體的VPC內網訪問能力僅只對某一個VPC開放,其他VPC則無法通過內網方式訪問該執行個體下的API,這種方式更加安全。
配置方法:
登入API Gateway控制台,在左側導覽列選擇執行個體與叢集 > 專項執行個體。
在專享執行個體列表頁面,找到目標專享執行個體,單擊綁定到使用者VPC。
在開通專享執行個體VPC內網地址彈框中配置Vpc Id和vSwitch,單擊確定。
在左側導覽列選擇API管理 > 分組管理,單擊專享執行個體的目標分組進入分組詳情頁面,單擊開通VPC次層網域並確定,即可通過內網次層網域訪問API(或者通過CNAME解析到該次層網域後,綁定自己的網域名稱訪問API)。
專享執行個體頁面上未配置綁定到使用者VPC,則分組不能開通VPC次層網域。
當專享執行個體上綁定到使用者VPC發生變更,該執行個體下的所有分組的VPC次層網域將重新設定為對新的VPC開放,原來的VPC就不能再訪問該API了。
當分組從共用執行個體/Serverless執行個體遷移到專享執行個體時,如果分組上開通了內網VPC網域名稱,需要先開通專享執行個體的入訪VPC後,才能完成執行個體的遷移,此時通過內網訪問API,只能從入訪VPC發起訪問。