检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用DDoS防护服务为APIG抵御DDoS攻击操作流程 购买DDoS高防 购买DDoS高防实例,为对接做准备。 接入域名 添加域名和证书。 注册公网域名 将防护域名注册到DNS服务上。 绑定防护域名 将防护域名绑定到API分组上。 创建API 在绑定域名的分组上创建一个API。 验证
域名接入”,单击“添加域名”。详情请参考配置防护域名。 填写域名信息。 添加用户网站的防护域名和域名绑定的证书。如果没有域名,请参考域名注册服务注册域名;证书可通过云证书管理服务申请。 填写的域名须备案,如果没有备案,请参考域名备案。 选择实例与线路。 选择已购买的实例,单击“提交并继续”。 单击“下一步”。
使用DDoS防护服务为APIG抵御DDoS攻击 使用DDoS防护服务为APIG抵御DDoS攻击方案概述 使用DDoS防护服务为APIG抵御DDoS攻击资源规划 使用DDoS防护服务为APIG抵御DDoS攻击操作流程 使用DDoS防护服务为APIG抵御DDoS攻击实施步骤 父主题: API安全
使用DDoS防护服务为APIG抵御DDoS攻击资源规划 表1 资源规划 资源 数量(个) DDoS高防实例 1 已备案域名 1 API分组 1 API 1 父主题: 使用DDoS防护服务为APIG抵御DDoS攻击
使用DDoS防护服务为APIG抵御DDoS攻击方案概述 应用场景 当用户在公网中调用APIG上公开的业务API时,会存在DDoS攻击风险,为防范DDoS攻击,华为云提供了DDoS防护服务。下文讲述如何对接DDoS高防服务来进行抵御DDoS攻击。DDoS攻击详情请参见常见DDoS攻击类型。 方案架构
关闭实例公网出口 功能介绍 关闭实例公网出口 调用方法 请参见如何调用API。 URI DELETE /v2/{project_id}/apigw/instances/{instance_id}/nat-eip 表1 路径参数 参数 是否必选 参数类型 描述 project_id
API网关如何开放部署在华为云上的服务? 如果部署在华为云上的服务绑定了公网IP地址,在API网关中创建API时,使用公网IP地址:端口号作为后端服务地址。如果此服务已绑定域名,则优先使用域名作为后端服务地址。创建API的详细步骤请参见创建API。 如果部署在华为云上的服务无公网IP地址,则将此服务的访问方式设置为V
API安全 使用WAF对APIG进行安全防护 使用DDoS防护服务为APIG抵御DDoS攻击
关于创建和使用VPC对等连接,请参考VPC对等连接说明或API网关跨VPC开放后端服务。 公网调用API失败时,可能的原因如下: API没有绑定弹性公网IP(EIP),导致API缺少公网访问的有效地址,公网调用API失败。 绑定EIP后重新调用即可,详细步骤请参考网络环境准备。 入方向规则配置有误,导致公网调用API失败。
检查后端服务是否可以访问,如果不能访问,请修改后端服务。 检查后端服务对应的ECS安全组配置,查看是否已开放您需要的端口。 检查后端服务地址是否使用公网IP地址,如果使用,需要在APIG控制台的“实例管理 > 查看控制台 > 实例信息”界面开启出口地址。 检查VPC网络中的ACL配置,查看是
dr代表客户端的IP,它的值是服务端根据客户端的IP指定的,当客户端访问APIG时,如果中间没有任何代理,那么就会把remote_addr设为客户端IP;如果使用了某个代理,那么客户端会先访问这个代理,然后再由这个代理转发到APIG,这样就会把remote_addr设为这台代理机的IP。
否 String 弹性公网IP编号 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 eip_id String 弹性公网IP编号 eip_address String 弹性公网IP eip_status String 弹性公网IP状态 eip_ipv6_address
String 弹性公网IP ID。 实例需要开启公网访问,且loadbalancer_provider为lvs时需要填写,绑定后使用者可以通过该入口从公网访问APIG实例中的API等资源 获取方法:登录虚拟私有云服务的控制台界面,在弹性公网IP的详情页面查找弹性公网IP ID。 enterprise_project_id
String 弹性公网IP ID。 实例需要开启公网访问,且loadbalancer_provider为lvs时需要填写,绑定后使用者可以通过该入口从公网访问APIG实例中的API等资源 获取方法:登录虚拟私有云服务的控制台界面,在弹性公网IP的详情页面查找弹性公网IP ID。 enterprise_project_id
选择API需要发布到的环境,并填写发布说明。 图1 发布API 如果API在选择的环境中已发布,再次发布即为覆盖该环境的API。 如果在选择的环境时没有自己需要的环境,可以创建一个自己需要的环境。 单击“发布”,完成API发布。 查看发布历史 单击“开放API > API管理”,进入到API管理信息页面。
使用DDoS防护服务为APIG抵御DDoS攻击 当用户在公网中调用APIG上公开的业务API时,会存在DDoS攻击风险,为防范DDoS攻击,华为云提供了DDoS防护服务。 使用APIG专享版实现http到https自动重定向 当用户的API采用http协议访问时,由于http没有传输安全与认证安全
了解更多常见问题、案例和解决方案 热门案例 API网关有哪些配额,是否可以调整? 流控策略怎么设置? APP认证和IAM认证有demo吗? AK SK鉴权如何使用? 有没有API导入示例? API的后端地址是否可以绑定为ELB地址? 如何创建API? 更多 开放API API的响应码如何定义? APIG是否支持多后端节点方案?
如果不开启访问控制策略,默认允许所有IP访问;如果开启访问控制策略,设置“白名单”类型,但是没有配置任何IP地址,则禁止任何IP访问;如果开启访问控制策略,设置“黑名单”类型,但是没有配置任何IP地址,则允许任何IP访问。 安全组策略、实例级访问控制策略和API级访问控制策略遵循Deny优先原则。
过私有地址访问,无需购买带宽。 专享版实例的API如从公网调用,实例需绑定一个弹性公网IP,作为公网入口。弹性公网IP需要单独购买。 专享版实例的API如仅在VPC内调用,无需购买/绑定弹性公网IP。 表2 公网带宽计费模式 计费模式 按需计费 付费方式 后付费 按照带宽实际使用大小和时长计费。
对象模型 API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
