API网关 APIG-APIG最佳实践汇总

时间:2024-11-28 01:48:51

APIG最佳实践汇总

本文汇总了基于API网关服务(APIG,APIGateway)常见应用场景的操作实践,为每个实践提供详细的方案描述和操作指导,帮助用户轻松构建基于APIG的业务。

表1 APIG最佳实践一览表

最佳实践

说明

使用APIG专享版开放云容器引擎CCE工作负载

云容器引擎(Cloud Container Engine,即CCE)中的工作负载,以及微服务,可通过API网关将服务能力以API形式对外开放。

使用APIG专享版开放本地数据中心的服务能力

使用专享版API网关为本地数据中心搭建一条与API网关(所绑定的华为云VPC)之间的专线。

使用FunctionGraph服务实现APIG的自定义认证

API网关支持的自定义认证需要借助 函数工作流 服务实现,用户在函数工作流中创建自定义认证函数,API网关调用该函数,实现自定义认证。

使用APIG专享版跨VPC开放后端服务

当用户后端服务器所在的VPC与创建实例所选择的VPC处于不同的场景时,通过跨VPC对接开放后端服务。

使用WAF对APIG进行安全防护

企业为了保护APIG及后端服务器免受恶意攻击,可在APIG和外部网络之间部署WAF。

使用APIG专享版的流量控制2.0策略实现API的精细流控

随着用户多样性以及需求多样性的增加,传统流控策略无法满足更加精细的流量控制场景。比如针对某一请求参数的流控或者某一租户的流控,APIG在传统流量控制策略的基础上提供了插件策略(流量控制2.0),通过制定更加精细的方案来进行流控。

使用APIG的APP认证和自定义认证实现API的双重认证

在API网关提供的安全认证模式下,用户可根据业务需求,配置自定义认证实现API的双重认证方式。

使用DDoS防护服务为APIG抵御DDoS攻击

当用户在公网中调用APIG上公开的业务API时,会存在DDoS攻击风险,为防范DDoS攻击,华为云提供了DDoS防护服务。

使用APIG专享版实现http到https自动重定向

当用户的API采用http协议访问时,由于http没有传输安全与认证安全保障,可以使用API网关的重定向功能将API升级为安全的https协议访问,同时兼容已有的http协议。

使用APIG专享版实现gRPC服务的路由转发

当用户使用gRPC服务时,可以通过API网关创建API,实现gRPC服务的路由转发。

配置APIG专享版与客户端间的单向认证或双向认证

API前端定义中的请求协议支持HTTPS时,API所属分组在绑定独立 域名 后,还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书,当SSL证书带有CA证书时,默认开启客户端认证即双向认证;反之,开启单向认证。

使用APIG专享版实现不同后端服务的调用

API网关支持定义多个策略后端,通过不同的策略条件,将API请求转发到不同的后端服务中,用以满足不同的调用场景。例如为了区分普通调用与特殊调用,可以定义一个“策略后端”,通过调用前端自定义认证参数,为特殊调用方分配专用的后端服务。

使用APIG专享版实现WebSocket服务的转发

API网关支持WebSocket API,其创建过程和创建HTTP API一致。WebSocket是一种全双工通信协议,建立在单个TCP连接上,允许在客户端和服务器之间进行双向通信。

APIG共享版迁移到专享版

APIG共享版即将退市,为了避免影响用户的业务,需要将共享版上已有资源迁移到专享版上继续使用。

support.huaweicloud.com/bestpractice-apig/apig-bp-0051.html