检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
API访问控制策略配置的IP地址是否为客户端的IP地址? 访问控制策略的IP地址不一定取客户端的IP地址。 APIG的访问控制是根据$remote_addr的值进行校验。$remote_addr代表客户端的IP,它的值是服务端根据客户端的IP指定的,当客户端访问APIG时,如果中
用可以调用API。 配置内网DNS 配置DNS需要配置“/etc”目录下的resolv.conf文件,指定DNS服务器的IP地址。 内网DNS服务器的IP地址与您所位于的区域相关,您可通过内网DNS地址表获取内网DNS服务器的IP地址。 新增内网DNS服务器有两种方法。 方法一:修改虚拟私有云的子网信息。
SSL证书目前仅支持pem类型,如需添加其它证书类型,可转换成pem类型后添加。 如果需要更换/编辑此SSL证书,单击证书名称后的,修改证书信息。由于证书内容和密钥已经加密,不支持再次查看,如果需要修改,请重新输入新的证书内容或者密钥。 如果不再需要此SSL证书,在域名所在行,单击“删除SSL证书”。 常见问题
如果API分组中的API支持HTTPS请求协议,则需要为独立域名添加SSL证书。您需要提前获取SSL证书的内容和密钥,并创建SSL证书。 云服务平台外业务系统访问API的场景,需获取公网域名作为独立域名。 申请公网域名,具体可通过域名注册服务申请。 备案公网域名,您可以通过备案中心完成域名备案。备案时长需几个工作日,建议您提前进行备案。
绑定域名 功能介绍 用户自定义的域名,需要CNAME到API分组的子域名上才能生效,具体方法请参见增加CNAME类型记录集。 每个API分组下最多可绑定5个域名。绑定域名后,用户可通过自定义域名调用API。 URI HTTP/HTTPS请求方法以及URI如下表所示。 表1 HTTP/HTTPS请求方法以及URI
对象模型 API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。
控制访问API的类型。 IP地址:允许/禁止访问API的IP地址。 账号名:允许/禁止访问API的账号名。 动作 包括“允许”和“禁止”。 和“限制类型”配合使用,允许/禁止访问API的IP地址/账号名。 IP地址 输入需要允许或者禁止访问API的IP地址,或IP地址范围。 仅在“限制类型”为“IP地址”时,需要设置。
添加用户网站的防护域名和域名绑定的证书。如果没有域名,请参考域名注册服务注册域名;证书可通过云证书管理服务申请。 填写的域名须备案,如果没有备案,请参考域名备案。 选择实例与线路。 选择已购买的实例,单击“提交并继续”。 单击“下一步”。 单击“完成”。 确认已开启CNAME自动调度和安全防护。
和“类型”配合使用,允许/禁止访问API的IP地址/账号名/账号ID。 IP地址 仅当“类型”为“IP地址”时需要配置。 输入允许或者禁止访问API的IP地址,或IP地址范围。 说明: 允许或禁止访问的IP地址条数,分别可以配置最多100条。 账号名 仅当“类型”为“账号名”时需要配置。 输入允许或者
对API的修改是否需要重新发布? 需要。 API发布后,如果再次编辑API参数,需要重新发布才能将修改后的信息同步到环境中。 关于API重新发布的详细指导,请参考发布API。 父主题: 发布API
有配置任何IP地址,则允许任何IP访问。 安全组策略、实例级访问控制策略和API级访问控制策略遵循Deny优先原则。 入口地址 虚拟私有云访问地址 弹性IP地址 如果实例未绑定弹性IP地址,您可以单击地址右侧的“立即启用”,绑定弹性IP地址。 如果实例已绑定弹性IP地址,您可以单击地址右侧的复制地址信息。
使用身份认证 创建API时,为API调用增加身份认证,如使用IAM认证或API网关提供的APP认证,防止API被恶意调用。 设置访问控制策略 从IP地址(或地址区间)以及账号等不同维度,设置白名单/黑名单。 将API绑定流控策略,通过流控策略保护API。 API网关默认API流量控制为每
及业务不通。 如果不使用VPC通道,需要设置后端服务地址。 填写后端服务的访问地址,格式:“主机:端口”。主机为后端服务的访问IP地址/域名,未指定端口时,HTTP协议默认使用80端口,HTTPS协议默认使用443端口。 如果后端服务地址中需要携带环境变量,则使用“#变量名#”的
如果部署在华为云上的服务绑定了公网IP地址,在API网关中创建API时,使用公网IP地址:端口号作为后端服务地址。如果此服务已绑定域名,则优先使用域名作为后端服务地址。创建API的详细步骤请参见创建API。 如果部署在华为云上的服务无公网IP地址,则将此服务的访问方式设置为VPC
API的后端服务报“Backend domain name resolution failed” APIG实例所在的VPC完成了内网域名解析,后端服务调用仍报“域名无法解析”错误。 可能原因 APIG实例所在的VPC与用户后端服务所在的VPC存在网络隔离,内网域名解析仅在用户后端服务所在的VPC下能够解析。
00次。您可以通过添加独立域名来访问您开放的API。 发布问题 API是否已发布。如果修改过API,则需要重新发布;如果发布到非RELEASE环境,请求X-Stage头的值需要填写发布的环境名称。 API认证鉴权 如果使用APP认证,App Key和Secret是否正确。 API控制策略
ME解析到API分组对应的子域名。不能将无法在公网访问的域名,或者将他人所有的域名绑定给API分组。 对于专享版,可以配置内网域名,域名不需要备案,并将A记录解析到实例的入口地址。 父主题: 开放API
对象模型 API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。
检查后端服务是否可以访问,如果不能访问,请修改后端服务。 检查后端服务对应的ECS安全组配置,查看是否已开放您需要的端口。 检查后端服务地址是否使用公网IP地址,如果使用,需要在APIG控制台的“实例管理 > 查看控制台 > 实例信息”界面开启出口地址。 检查VPC网络中的ACL配置
绑定域名 功能介绍 用户自定义的域名,需要CNAME到API分组的子域名上才能生效,具体方法请参见增加A类型记录集。 每个API分组下最多可绑定5个域名。绑定域名后,用户可通过自定义域名调用API。 URI HTTP/HTTPS请求方法以及URI如下表所示。 表1 HTTP/HTTPS请求方法以及URI
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
