检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证模式2,开启双重认证时,为自定义认证编号。 30 inner_time apig的内部处理时长,单位秒。 31 proxy_protocol_vni VPC终端节点的虚拟网络标识。 32 proxy_protocol_vpce_id VPC终端节点的ID。 33 proxy_protocol_addr 客户端源IP地址。
API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。 “操作类型”用于描述字段的属性,表示对应字段的值可进行的操作:
流控模式。 安全水位指能够在突发流量增长至双倍的情况下,API网关系统依然维持高吞吐量和低延迟性能。 表1 QPS性能参考 实例规格 基础版 专业版 企业版 铂金版 铂金版x2 连接类型 应答字节数(KBytes) 是否使用HTTPS 是否使用gzip CPU处于安全水位(30%)的QPS参考
配置API的后端服务签名校验 签名密钥用于后端服务验证API网关的身份,在API网关请求后端服务时,保障后端服务的安全。 签名密钥由一对Key和Secret组成,签名密钥需要绑定到API才能生效。当签名密钥绑定API后,API网关向后端服务发送此API的请求时,会增加相应的签名信
API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。 “操作类型”用于描述字段的属性,表示对应字段的值可进行的操作:
创建并使用签名密钥 操作场景 签名密钥用于后端服务验证API网关的身份,在API网关请求后端服务时,保障后端服务的安全。 签名密钥是由一对Key和Secret组成,签名密钥需要绑定到API才能生效。当签名密钥绑定API后,API网关向后端服务发送此API的请求时,会增加相应的签名
专享版-监控信息查询 专享版-分组自定义响应管理 专享版-标签管理 专享版-实例特性管理 专享版-配置管理 专享版-实例管理 专享版-实例终端节点管理 专享版-实例标签管理 专享版-微服务中心管理 专享版-SSL证书管理 专享版-插件管理 专享版-凭据管理 专享版-凭据配额管理 专享版-异步任务管理
创建访问控制策略 操作场景 访问控制策略是API网关提供的API安全防护组件之一,主要用来控制访问API的IP地址和账户,您可以通过设置IP地址或账户的黑白名单来拒绝/允许某个IP地址或账户访问API。 访问控制策略和API本身是相互独立的,只有将访问控制策略绑定API后,访问控制策略才对绑定的API生效。
SSL证书。SSL证书是进行数据传输加密和身份证明的证书,支持单向认证和双向认证两种认证方式。 如果不配置SSL证书,将无法保障请求的链路安全,请谨慎配置。 单向认证:客户端与服务端连接时,客户端需要验证所连接的服务端是否正确。 双向认证:客户端与服务端连接时,除了客户端需要验证
新到负载通道中。 支持通过CCE工作负载标签配置进行灰度发布,完成灰度测试与版本切换。 提供多种认证方式,增加访问安全性。 提供访问流量控制策略,增加后端服务的安全性。 与直接访问容器应用相比,API网关提供流量控制,确保后端服务稳定运行。 支持多实例负载均衡,合理利用资源,增加系统可靠性。
使用APIG专享版实现http到https自动重定向 当用户的API采用http协议访问时,由于http没有传输安全与认证安全保障,可以使用API网关的重定向功能将API升级为安全的https协议访问,同时兼容已有的http协议。 使用APIG专享版实现gRPC服务的路由转发 当用户使
增加云服务器 单击“添加云服务器”,弹出“添加云服务器”对话框。 勾选需要添加的云服务器,并且设置权重,单击“添加”。 待添加的云服务器的安全组必须允许100.125.0.0/16网段访问,否则将导致健康检查失败及业务不通。 删除云服务器 在待删除的云服务器所在行,单击“删除”,弹出对话框。
配置API的访问控制 访问控制策略是API网关提供的API安全防护组件之一,主要用来控制访问API的IP地址和账户,您可以通过设置IP地址或账户的黑白名单来禁止/允许某个IP地址/账号名/账号ID访问API。实例级访问控制策略请参考表1。 访问控制策略和API本身是相互独立的,只
路径:接口请求路径。此处填写“/hello”。 网关响应 API网关未能成功处理API请求,从而产生的错误响应。此处默认“default”。 安全认证 选择API认证方式,此处选择“无认证”。(无认证模式,安全级别低,所有用户均可访问,不推荐在实际业务中使用) 单击“下一步”,配置后端信息。
请求路径:选择与已开启CORS的API相同的请求路径或者与已开启CORS的API匹配的请求路径。 匹配模式:选择前缀匹配。 安全认证:“无认证”模式安全级别低,所有用户均可访问,不推荐使用。 支持跨域CORS:勾选。 父主题: 开放API
应用场景 当用户后端服务器所在的VPC与创建实例所选择的VPC处于不同的场景时,该如何完成服务配置,以实现跨VPC对接?本文以Elastic Load Balance(弹性负载均衡ELB)为例,讲述如何在API网关上开放内网ELB中的服务。 方案架构 图1 API网关跨VPC开放后端服务
WEICLOUD_SDK_AK和HUAWEICLOUD_SDK_SK。以Linux系统为例在本地将已获取的AK/SK设置为环境变量。 打开终端,输入以下命令打开环境变量配置文件。 vi ~/.bashrc 设置环境变量,保存文件并退出编辑器。 export HUAWEICLOUD_SDK_AK="已获取AK值"
支持双重认证 仅当“安全认证”选择“APP认证”或“华为IAM认证”时可配置。 是否对API的调用进行双重安全认证。如果选择启用,则在使用APP认证或IAM认证对API请求进行安全认证时,同时使用自定义的函数API对API请求进行安全认证。 自定义认证 仅当“安全认证”选择“自定义认证”时需要配置。
息。如果请求体中包含多个重复地址的后端实例定义,则使用第一个定义。 引用负载通道类型的负载通道不支持添加或更新后端实例。 调用方法 请参见如何调用API。 URI POST /v2/{project_id}/apigw/instances/{instance_id}/vpc-ch
企业项目 选择实例所属的企业项目,保持默认设置“default”。 网络 选择已创建的虚拟私有云“VPC1”和子网。 安全组 单击“管理安全组”,创建安全组,企业项目选择“default”后,即可创建。 描述 填写实例的描述信息。 单击“立即购买”。 规格确认无误后,勾选用户
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
