检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
对象模型 本节介绍特殊流控的对象模型,如下表所示: “操作类型”用于描述字段的属性,表示对应字段的值可进行的操作: C:创建;U:更新;R:读取。 “是否必选”列表示对于“操作类型”为“C”的创建操作,对应字段是否为必选字段。 表1 特殊流控对象模型 参数 类型 说明 操作类型 是否必选
使用APIG专享版的流量控制2.0策略实现API的精细流控方案概述 应用场景 当在公网中调用APIG上公开的业务API时,如果不限制API调用的次数,随着用户的不断增加,会引起后端性能的下降,甚至会因为恶意用户发送的大量请求导致网站或程序崩溃。APIG提供了传统流量控制策略,从A
Gateway)提供高性能、高可用、高安全的API托管服务,能快速将企业服务能力包装成标准API服务,帮助您轻松构建、管理和部署任意规模的API,并上架API市场进行售卖。借助API网关,可以简单、快速、低成本、低风险地实现内部系统集成、业务能力开放及业务能力变现。API网关帮助您变现服务能力的同时,降低企业
将流控策略应用于API,则所有对该API的访问将会受到该流控策略的限制。当一定时间内的访问次数超过流控策略设置的API最大访问次数限制后,后续的访问将会被拒绝,从而能够较好的保护后端API免受异常流量的冲击,保障服务的稳定运行。 为指定的API绑定流控策略,绑定时,需要指定在哪个环境上生效。
怎样保护API的调用安全? 使用身份认证 创建API时,为API调用增加身份认证,如使用IAM认证或API网关提供的APP认证,防止API被恶意调用。 设置访问控制策略 从IP地址(或地址区间)以及账号等不同维度,设置白名单/黑名单。 将API绑定流控策略,通过流控策略保护API。
POST:请求方法,需替换为获取API的调用信息中获取的请求方法。 {Address}:请求地址,需替换为获取API的调用信息中获取的域名地址。 API调用场景 API请求参数配置 使用域名调用API 使用服务分配的调试域名或服务绑定的域名调用API,无需另外配置。 使用IP调用DEFAULT分组的API A
pi_limits”的参数运行值。 策略和API本身相互独立,只有为API绑定策略后,策略才对API生效。为API绑定策略时需指定发布环境,策略只对指定环境上的API生效。 策略的绑定、解绑、更新会实时生效,不需要重新发布API。 API的下线操作不影响策略的绑定关系,再次发布后仍然会带有下线前绑定的策略。
如果需要批量发布API,则勾选待发布的API,单击“发布”。最多同时发布1000个API。 选择API需要发布到的环境,并填写发布说明。 图1 发布API 如果API在选择的环境中已发布,再次发布即为覆盖该环境的API。 如果在选择的环境时没有自己需要的环境,可以创建一个自己需要的环境。 单击“发布”,完成API发布。
前端自定义认证响应的context映射的指定键值对的字符串值 $context.authorizer.backend.property 后端自定义认证响应的context映射的指定键值对的字符串值 $context.error.message 当前网关错误响应的错误信息 $context
云审计服务支持的关键操作 云审计服务支持的APIG操作列表 在CTS事件列表查看云审计事件 父主题: 共享版操作指导(仅存量用户使用)
云审计服务支持的APIG操作列表 开通云审计服务 如果您需要收集、记录或者查询API网关服务的操作日志,用于支撑安全分析、审计、问题定位等常见应用场景时,那么需要先开通云审计服务。 云审计服务包含以下功能: 记录审计日志 审计日志查询 审计日志转储 事件文件加密 关键操作通知 查看关键操作列表
以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。 单击按钮,可以获取到事件操作记录的最新信息。 在需要查看的事件左侧,单击展开该记录的详细信息。 在需要查看的记录右侧,单击“查看事件”,会弹出一个窗口显示该操作事件结构的详细信息。
后端超时时间设置不合理。 当后端服务没有在设置的后端超时时间内返回时,API网关提示后端服务调用失败。 在编辑API中增加后端超时时间,或缩小后端的处理时间。 如果“后端服务地址”在ECS(Elastic Cloud Server),ECS的安全组的出/入方向规则可能拦截了请求。
使用APIG专享版实现不同后端服务的调用操作流程 配置API前端 在API的前端设置页面选择安全认证方式为“自定义认证”或使用双重认证(APP认证或IAM认证),并选择指定的自定义认证对象,如果没有,则需要创建自定义认证。 配置API后端 在API的后端设置页面添加策略后端,策略条件的条件来源选择“
配置API认证的凭据访问控制 凭据访问控制可控制访问API的凭据IP地址,保护后端服务。您可以为凭据设置访问控制策略,允许/禁止某个IP地址的凭据访问API。 配置凭据的访问控制策略 进入API网关控制台页面。 根据实际业务在左侧导航栏上方选择实例。 在左侧导航栏选择“API管理
由于此时设置的策略后端的参数和条件值没有匹配到前端自定义认证函数返回体中context字段下的任意键值对,因此,无法通过前端自定义认证参数匹配到API的策略后端,此时API的响应结果显示“200 OK”,但是返回值为“默认后端”,表示此时调用的是API的默认后端。否则,请参考错误码章节处理。
Token认证 操作场景 当您使用Token认证方式调用API时,需要获取用户Token并在调用API时将Token值设置到调用请求的“X-Auth-Token”头域中。 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access
健康检查时的目标路径。 仅在协议不为“TCP”时,需要设置。 检查端口 健康检查的目标端口。 缺省时为VPC中主机的端口号。 正常阈值 判定VPC中主机正常的依据为:连续检查x成功,x为您设置的正常阈值。 取值为2 ~ 10。缺省时为2。 异常阈值 判定VPC中主机异常的依据为:连续检查x失败,x为您设置的异常阈值。
API的策略后端有多个时,怎么匹配和执行API请求? 当您的API配置了多个策略后端,API网关会按顺序进行匹配,匹配到其中一个立即执行API请求转发,不会进行后续的匹配。 当策略后端都没有匹配成功,则按照默认后端执行API请求的转发。 父主题: 调用API
配置API的断路器 断路器是API网关在后端服务出现性能问题时保护系统的内置机制。当API的后端服务出现连续N次超时或者时延较高的情况下,会触发断路器的降级机制,向API调用方返回固定错误或者将请求转发到指定的降级后端。当后端服务恢复正常后,断路器关闭,请求恢复正常。 如果此策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
