云服务器内容精选
-
修订记录 发布日期 修订记录 2023-09-27 第八次正式发布。 新增如下章节: 附录-API治理规范指导 2023-07-14 第七次正式发布。 优化如下章节: 约束与限制 2023-05-22 第六次正式发布。 新增如下章节: 图解API中心 优化如下章节: 产品优势 2023-03-31 第五次正式发布。 优化如下章节: 什么是API中心 应用场景 产品功能 与其他服务的关系 2023-03-22 第四次正式发布。 优化如下章节: 产品功能 2023-03-03 第三次正式发布。 优化如下章节: 产品功能 2023-02-10 第二次正式发布。 优化如下章节: 约束与限制 2022-12-14 第一次正式发布。
-
服务韧性 API中心提供了4级可靠性架构,通过全局部件跨Region容灾、Region部件跨AZ容灾、AZ内集群容灾、数据库主备容灾,保障服务的持久性与可靠性。 表1 API中心可靠性架构 可靠性方案 简要说明 跨Region容灾 全局级部件支持跨Region容灾,当主Region异常后,全局业务可以切换到备Region继续运行。 双AZ容灾 Region级部件实现跨AZ双活,一个AZ异常时不影响云服务持续提供服务。 AZ内集群容灾 通过集群提供服务,集群中每个微服务都有多个实例,当一个或部分实例异常时,其他实例可以持续提供服务。 数据容灾 数据存储在RDS服务中,RDS实现了AZ容灾方案,数据持续会同步到容灾站点,当生产站点的RDS异常后,容灾站点可以接管业务,保障云服务持续运行。 父主题: 安全
-
保证API日志采集的实时性及完整性 本条规则是MUST类型的基本规则,可保障API的可维护性。 在采集API调用日志过程中,需要保证API日志的实时性和完整性,以提升API分析的精准度。 API日志在传递过程中,必须保证传递日志不会出现丢失。API日志总体丢失率小于0.5%。 在对API日志处理过程中,仅能对API日志进行增维操作,禁止对API日志中重要部分,如请求时间、请求者身份、请求IP地址、请求 域名 、请求URL地址、响应时间、响应状态码进行篡改。
-
签名密钥 签名密钥由一对Key和Secret组成,用于后端服务验证API网关代理的身份,在API网关代理请求后端服务时,保障后端服务的安全。 当签名密钥绑定API后,API网关代理向后端服务发送此API的请求时,会增加相应的签名信息,此时,后端服务依照同样方式进行签名并得到签名结果,如果签名结果和API网关代理传过来的Authorization头中的签名一致,则可证明API请求确实来自API网关代理,而不是其他伪造请求。
-
涉及敏感信息或个人隐私数据的API,应提供数据传输和存储过程中的安全机制 本条规则是MUST类型的基本规则,可保障API的安全合规。 API接口参数传输和存储过程中,敏感信息和个人隐私数据禁止明文传输和存储,避免造成敏感信息或个人隐私数据泄露。敏感信息和个人隐私数据包括: 密码、AK/SK、Token等身份凭据。 密钥。 个人信息,如身份证号码、银行卡信息、家庭住址、健康信息等。 人与人之间的私人消息,如短信、电话通信内容。
-
产品功能 表1 API中心功能概览 功能名称 功能描述 发布区域 API设计和测试 API开发者可使用API中心工具库中的API生产工具(如华为云API Arts),进行API的设计、测试等。 华北-北京四 服务商入驻 API开发者可在线申请入驻成为API中心的服务商。 华北-北京四 API资产管理 API中心服务商可在API中心管理控制台管理API资产。 华北-北京四 API网关代理 API中心服务商可使用API中心的网关代理模块,进行API注册、发布,并支持配置流控策略、访问控制、签名密钥等策略来限制对API的访问。 华北-北京四 API门户 API中心门户汇聚展示千行百业API,为应用开发者提供统一的API搜索查找入口,并通过智能搜索和推荐,帮助开发者快速找到所需API。 华北-北京四 在线调测 应用开发者可在API门户的API详情页进行API在线调测,快速试用API。 说明: API是否支持调测,取决于伙伴服务商上架API资产时是否提供了相关试用调测环境。部分API暂未提供调测能力。具体功能以API详情页面展示的为准。 华北-北京四 API凭证获取 对于技术开放型API,应用开发者可根据API使用指南中的指定方式或者联系 API服务 商获取API调用凭证。 对于商业售卖型API,应用开发者可根据页面引导前往云商店通过购买获得API调用凭证。 华北-北京四
-
API响应状态码应使用规范的HTTP状态码 本条规则是MUST类型的基本规则,可保障API的高可用性。 API响应所使用的状态码应使用规范的HTTP状态码,状态码所表达的状态与API响应状态保持一致。 具体的HTTP状态码使用可参考RFC 7231(Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content),常用状态码如表1所示。 表1 常用状态码 状态码 状态码表示 状态码详细信息 200 OK 执行成功,如:查询成功响应。 201 Created 创建成功,如:创建记录成功。 400 Bad Request 客户端请求语义有误,当前请求无法被服务器理解或请求参数有误。 401 Unauthorized 当前请求需要用户验证,需要用户提供Token进行认证。 403 Forbidden 禁止访问某些资源,如权限不足时无法查询对应的信息。 404 Not Found 无法找到对应资源,如资源不存在。 405 Method Not Allowed HTTP方法不能被用于请求相应的资源如:HTTP方法要求POST方法,请求中使用了GET方法。 406 Not Acceptable 请求资源的内容特性无法满足请求头中的条件。 413 Payload Too Large 请求提交的实体数据大小超过了服务器够处理的范围。 414 URI Too Long 请求的URI长度超过了服务器能够解释的长度。 415 Unsupported Media Type 当前请求的方法和所请求的资源,请求中提交的实体并不是服务器中所支持的格式。 500 Internal Server Error 服务器遇到了一个未曾预料的状况,导致了它无法完成对请求的处理。通常是服务器内部产生了错误,导致处理失败。 502 Bad Gateway 代理服务器尝试执行请求时,从上游服务器接收到无效的响应。
-
API请求URI中如果存在特殊字符,需要进行转义编码 本条规则是MUST类型的基本规则,可保障API的高可用性。 某些字符,由于有特殊含义或者系统保留,容易被 Web应用防火墙 或者安全访问控制产品所阻断,导致URI调用不生效,因此不建议在URI中使用,如果必须要用需要用转义编码替换。 转义说明可参考:RFC 2396(Uniform Resource Identifiers (URI): Generic Syntax)。
-
目的 主要用于指导伙伴、开发者在华为云API中心生产和开放API。通过统一的API治理框架和规范,帮助伙伴、开发者构建并提供有质量保障的API服务,为平台营造良好能力开放与交互的环境,支撑华为云和伙伴及开发者共建API生态。 API治理规范主要从安全、可用性、易用性、可维护性,生命周期管理六个维度针对API生产(API设计/开发/测试)和API开放提供规则建议。 安全:对API的安全认证、涉及敏感信息或个人隐私数据使用和处理提出规范要求或建议,保障API的安全合规。 可用性:对API调用成功率、响应时长、并发及流量控制、吞吐量等提出规范要求或建议,保障API的高可用性。 易用性:对API参考文档描述、入参和出参、消息头定义等提出规范要求或建议,提升API调用者使用体验。 可维护性:对于API兼容性、日志实时性和完整性、版本管理等提出规范要求或建议,提升API可维护性。 生命周期管理:对API变更和下线等提出规范要求或建议,保障已订阅API租户的业务连续性。 包含Must类型的基本规则以及Should类型的扩展规则。Must规则牵引API开发者提供符合企业级标准、安全合规的API,Should规则在提供更全面指导的基础上,给予开发者灵活的弹性空间,方便开发者更快地加入API生态圈。
-
API请求设置媒体类型和编码格式,响应内容格式需与响应设置媒体类型和编码格式一致 本条规则是MUST类型的基本规则,可保障API的高可用性。 在API请求中对媒体类型和编码格式的正确定义有助于服务端对请求体进行格式校验,避免出现因请求消息体格式错误导致的执行异常。 API响应内容格式需要与响应设置媒体类型和编码格式一致。在API响应中对媒体类型和编码格式的正确定义有助于服务端对请求体进行格式校验,避免出现因请求消息体格式错误导致的执行异常。 API的默认媒体类型为“Content-Type: application/json”和“charset=UTF-8”。 当使用非application/json媒体类型时,建议根据情况选择合适的媒体格式,具体情况如表2所示。 表2 常见的媒体类型 分类 场景 媒体类型 文件上传/下载类 文件上传下载类的接口,直接传递的是文件内容。 须知: 不建议使用该API进行文件传输。 application/octet-stream 表单提交 主要用于界面表单提交,该方法目前已经不属于主流提交手段,建议使用JSON格式进行表单提交。 application/x-www-form-urlencoded 混合多部分类型 传递混合多部分内容类的接口,比如既有文本内容,表单内容,也有二进制文件的。 multipart/form-data SOAP协议 调用以SOAP协议的WebService。 text/xml或application/xml 纯文本类型 仅传递纯文本内容。 text/plain
-
API描述信息必须易于理解,表述准确 本条规则是Should类型的扩展规则,可提升API调用者的使用体验。 API描述信息要易于理解,字面表述准确,能说明API的用途,场景及约束。 API描述信息建议使用Markdown格式编写,便于生成对应API文档,API描述信息长度建议不超过2000字符。 例如:发布API用于查询虚拟机列表。良好的API描述应为“通过虚拟机名称、IP地址、虚拟机型号查询当前租户下的虚拟机列表,列表包括虚拟机名称,所属VPC、虚拟机IP、虚拟机型号、操作系统版本。”
-
API商业变现 当前面临的主要问题 API商业变现方式不够灵活。 缺少多维度的数据分析支撑。 API中心解决方案 API中心协同华为云云商店为API构建灵活多样的商业闭环路径,并提供API调用次数、API调用者等数据分析能力。 直接变现:API开发者完成API设计/开发/测试后,可以将API注册在华为云生态网关,然后在华为云云商店上架API商品并 定价 售卖,实现直接售卖API并获得商业收益。 间接变现:API能力开放给应用开发者,供其在应用开发和集成中调用。应用生产出来后,可在华为云云商店上架SaaS等应用类型商品,实现API的间接变现,获得商业收益。
-
API文档按照模板进行写作 本条规则是Should类型的扩展规则,可提升API调用者的使用体验。 API对外开放时,API文档建议使用统一的模板,以便保持API参考文档的一致性,易于开发者理解。在API参考文档中必须包含如下内容: API目录,包括本次提供API的列表信息。 API名称及API功能介绍。 API请求方法和URI。 API请求参数说明,包括Header、Query参数,需要明确字段内容和取值范围。 API请求Body内容,Body内容需要明确请求结构体内容及各个字段的取值范围。 API响应状态码,状态码及对应的说明。 API响应参数说明包括Header参数,需要明确字段内容和取值范围。 API正常响应Body内容,正常响应Body内容需要明确响应结构体内容及各个字段的取值范围。 API异常响应Body内容,异常响应Body中描述及说明。
-
API名称必须易于理解、见名知义 本条规则是Should类型的扩展规则,可提升API调用者的使用体验。 API名称要简洁、易于理解、见名知义,建议按照“动词+名词”格式。 在生产环境的API不能包含“test、uat、sit、beta”等字样,API名称只支持中文、字母、数字以及“_”或者"-",API名称长度建议不超过150字符。 例如:易于理解的API名称应为“查询虚拟机列表”/“ListServers”、“创建VPC网络”/“CreateVPC”
-
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS各类各项云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。 华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类各项云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
