检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
API网关支持http重定向到https功能。当用户的API采用http协议访问时,由于http没有传输安全与认证安全保障,可以使用API网关的重定向功能将API升级为安全的https协议访问,同时兼容已有的http协议。(2022年11月30日之后创建的实例支持http重定向到https) 约束与限制
objects 分组上绑定的独立域名列表 sl_domain_access_enabled Boolean 调试域名是否可以访问,true表示可以访问,false表示禁止访问 缺省值:true sl_domains Array of strings 系统默认分配的子域名列表 remark String
groups URI中的参数说明如下表所示。 表2 参数说明 名称 是否必选 类型 说明 project_id 是 String 项目ID。可从控制台“我的凭证”中获取region下项目ID,管理员权限可查询。 instance_id 是 String 实例ID,可从API网关控制台的专享版实例信息中获取。
能否针对VPC通道(负载通道)内的ECS私有IP进行访问控制 不支持。 父主题: API安全
已创建API分组。如果未创建API分组,可在本操作页面中创建API分组。 如果后端服务需要使用VPC通道,请先创建VPC通道,或在本操作页面中创建VPC通道。 设置基本信息 进入共享版控制台。 单击“开放API > API管理”,进入到API列表信息页面。 单击“新建API”,进入“新建API”页面。填写如表1所示信息。
域名可选调试域名或独立域名。当选择的独立域名为泛域名时,需要填写泛域名的子域名。 当独立域名为泛域名时,用户可以通过泛域名的所有子域名访问所绑定分组下的所有API。 例如,某个泛域名为“*.aaa.com”,子域名可以为“default.aaa.com”和 “1.aaa.com”等。 单击“调试”。
不使用VPC通道(负载通道)时,后端服务地址可以是什么? 可以是公网域名或者公网IP(支持云服务器的弹性IP地址)。前提需要开启公网出口, 可以是内网的IP,不可以是内网域名。 父主题: API创建
图1 后端服务器访问原理 方案一(推荐):WAF侧注册对外访问域名并配置证书,通过APIG实例的分组调试域名访问后端服务 推荐原因:API分组通过域名方式对外提供服务,具备更强的可扩展性。 在APIG实例中,新建API分组,并记录域名,将API添加在新建的分组中。 登录APIG控制台,在左侧导航栏中选择“API管理
apig:instances:get √ √ 范围 全部Region。 影响 自定义策略中未包含以上新增的授权项时,用户无权访问以上API。 适配方案 创建或更新自定义策略,添加以上新增的授权项以及依赖授权项,并通过给用户组授予自定义策略来进行精细的访问控制。自定义策略请参考API网关自定义策略。 父主题: 产品公告
存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。此处默认为已选择的区域。 函数名称 根据规划自定义名称。建议您按照一定的命名规则填写名称,方便您快速识别和查找。 企业项目 企业项目是项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。此处默认“default”。
方案描述 API前端定义中的请求协议支持HTTPS时,API所属分组在绑定独立域名后,还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书,当SSL证书带有CA证书时,默认开启客户端认证即双向认证;反之,开启单向认证。 单向认证:客户端与服务端连接时,客户端需要校验服务端SSl证书合法性。
路径:后端服务的路径。此处填写“/”。 单击“完成”。 在“API运行”页面中,API的URL不显示调用方法以及协议,仅显示域名跟路径部分。当发送gRPC请求时,填入域名部分即可。 发布API 在“API运行”页面,选择已创建的API,单击“发布最新版本”。 选择API的发布环境,并填写发布说明。
是否支持HTTPS的双向认证? 专享版:支持。 前端双向认证。在绑定独立域名时,选择带有CA证书的SSL证书,开启客户端认证即双向认证。 后端双向认证。在创建API时,配置双向认证,在API网关和后端服务间启用双向认证。配置请参考创建API中的“TLS双向认证”参数说明。 共享版:不支持,API网关仅做HTTPS的单向认证。
器地址添加到弹性云服务器对应的子网中。以“华北-北京一”为例描述相关的操作步骤。 在管理控制台左上角单击,选择区域。 在服务列表中,单击“计算 > 弹性云服务器”,进入弹性云服务器管理页面。 单击待使用的弹性云服务器名称,进入弹性云服务器详情页面。 在“网卡”页签,单击,查看弹性云服务器的子网名称。
识别可能影响业务的潜在风险。 安全防护 域名访问认证支持TLS1.1、TLS1.2防护,支持mTLS双向认证。 访问控制策略主要用来控制访问API的IP地址和账户,您可以通过设置IP地址或账户的黑白名单来拒绝/允许某个IP地址或账户访问API。 断路器策略是API网关在后端服务
请求方法:接口调用方式,此处选择“GET”。 请求协议:选择API请求协议,默认“HTTPS”,对应wss协议。 子域名:API分组创建后,系统为分组自动分配一个内部测试用的调试域名,此调试域名每天最多可以访问1000次。 路径:接口请求路径。此处填写“/hello”。 网关响应 API网关未能成功处
API网关服务开放API基本流程 创建实例 共享版无需购买实例,可直接进入共享版。 创建API分组 每个API都归属到某一个API分组下,在创建API前应提前创建API分组。 绑定域名 在开放API前,您需要为API分组绑定一个独立域名,供API调用者访问API使用。 在绑定独立域名前,您可以使用系统
例。 调用API示例 在工程中引入sdk(signer.go)。 import "apig-sdk/go/core" 生成一个新的Signer,输入AppKey和AppSecret。 本示例以AK和SK保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量HUAWEICL
应的后端地址是否被成功访问。 在“API运行”页面单击“调试”,调试已创建的API。 响应结果中显示“200 OK”,表示API调用成功,并且返回值中有“策略后端”字样,表示设置的策略后端的匹配条件成功匹配到前端自定义认证函数返回体中的context字段中的键值对,API调用策略后端成功。否则,请参考错误码章节处理。
授权 功能介绍 APP创建成功后,还不能访问API,如果想要访问某个环境上的API,需要将该API在该环境上授权给APP。授权成功后,APP即可访问该环境上的这个API。 URI HTTP/HTTPS请求方法以及URI如下表所示。 表1 HTTP/HTTPS请求方法以及URI 请求方法
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
