Облачная платформаAdvanced

Creating a Gateway

Эта статья полезна?

Язык статьи: Русский

Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

This section describes how to create a gateway. You can create APIs and use them to provide services only after a gateway is created.

Constraints

Gateway quota
By default, your account can be used to create five gateways in a project. To create more dedicated gateways, contact technical support to increase the quota.
Permissions
- You must be assigned both the APIG Administrator and VPC Administrator roles so that you can create gateways.
- Alternatively, you must be attached the APIG FullAccess policy.
- You can also be granted permissions using custom policies. For details, see Custom APIG Policies.
Сеть
Если вы используете 192.x.x.x или 10.x.x.x, APIG использует 172.31.32.0/19 как внутреннюю подсеть. Если вы используете 172.x.x.x, APIG использует 192.168.32.0/19 как внутреннюю подсеть.
Количество доступных частных IP-адресов в подсети
Базовые, профессиональные, enterprise и platinum издания APIG требуют 3, 5, 6 и 7 частных IP-адресов. Проверьте, что выбранная подсеть имеет достаточное количество частных IP-адресов в консоли VPC.
Нагрузка
VPC (нагрузки), в которых развернуты шлюзы, нельзя изменить.
Группа безопасности
Группы безопасности не действуют после покупки шлюзов в регионах. Чтобы отключить доступ с определённых IP‑адресов, см. Настройка контроля доступа API.

Подготовка сетевой среды

Рабочая нагрузка
Шлюзы развертываются в VPC (нагрузках). Облачные ресурсы, такие как Elastic Cloud Servers (ECSs), в той же нагрузке могут вызывать API, используя частный IP‑адрес шлюза, развернутого в нагрузке.

Рекомендуется развернуть шлюзы в той же нагрузке, что и остальные сервисы, чтобы упростить настройку сети и обеспечить безопасный сетевой доступ.
Группа безопасности
Как и межсетевой экран, группа безопасности контролирует доступ к шлюзу через определённый порт и передачу коммуникационных данных от шлюза к конкретному адресу назначения. В целях безопасности создайте входящие правила для группы безопасности, позволяющие доступ только на определённые порты.

Группа безопасности, привязанная к шлюзу, должна соответствовать следующим требованиям:
- Входящий доступ: Чтобы обеспечить доступ к API в шлюзе через публичные сети или из других групп безопасности, настройте входящие правила для группы безопасности, позволяющие доступ на порты 80 (HTTP) и 443 (HTTPS).
- Исходящий доступ: Если бэкэнд‑служба API развернута в публичной сети или в другой группе безопасности, добавьте исходящие правила для группы безопасности, позволяющие доступ к адресу бэкэнд‑службы через порт вызова API.
- Если фронтенд‑ и бэкэнд‑службы API привязаны к той же группе безопасности и VPC, что и шлюз, правила входящего или исходящего доступа не требуются для доступа через указанные порты.

Создание шлюза

Перейдите в консоль APIG.
В навигационной панели выберите Шлюзы.

Нажмите Купить шлюз. Установите параметры шлюза, ссылаясь на следующую таблицу.

Таблица 1 Параметры API gateway
Параметр	Описание
Регион	Географический регион, в котором будет развернут шлюз. Разверните шлюз в том же регионе, что и другие ваши сервисы, чтобы все сервисы могли взаимодействовать друг с другом через подсети в рамках нагрузки. Это снижает расходы на публичную пропускную способность и сетевую задержку.
AZ	Выберите зону доступности (AZ), в которой находится шлюз. Разные AZ физически изолированы, но могут взаимодействовать друг с другом через частную сеть. Чтобы повысить доступность шлюза, разверните шлюз в нескольких AZ. APIG не поддерживает миграцию шлюза между AZ. Чтобы создать шлюз в одной AZ, создайте два шлюза как минимум в двух AZ, чтобы повысить надежность сервиса. В противном случае сервисы будут недоступны, если одна AZ выйдет из строя.
Имя шлюза	Имя шлюза, которое может быть настроено. Значение должно начинаться с буквы и состоять из 3–64 символов, включая буквы, цифры, дефисы (-) и подчеркивания (_).
Издание	Базовая, профессиональная, Enterprise и платиновая редакции доступны. Количество разрешённых одновременных запросов варьируется в зависимости от редакции шлюза. Для получения дополнительной информации см Технические характеристики.
Запланированное обслуживание	Период времени, когда инженеры технической поддержки могут обслуживать шлюз. Сотрудники технической поддержки свяжутся с вами до обслуживания. Выберите период времени с низким спросом на сервис.
Enterprise Проект	Выберите enterprise проект, к которому относится шлюз. Этот параметр доступен только если ваш аккаунт является enterprise аккаунтом. Для получения деталей об использовании ресурсов, миграции и разрешениях пользователей enterprise‑проектах см. Руководство пользователя Enterprise Management.
Публичный входящий доступ	Определите, разрешать ли вызов API, созданных в шлюзе, внешними сервисами с использованием EIP. Если функция включена, EIP привязывается по умолчанию. Вы также можете задать полосу пропускания, соответствующую требованиям вашего сервиса. APIs в шлюзе можно вызывать, используя независимые или отладочные доменные имена. Существует ограничение на количество вызовов APIs в группе API в день с использованием отладочного доменного имени. Чтобы обойти ограничение, привяжите независимые доменные имена к группе API и убедитесь, что доменные имена уже CNAMEd к EIP шлюза, к которому принадлежит группа API. Например, у вас есть HTTPS API (путь: /apidemo) с включенным публичным доступом. API можно вызвать, используя "https://{domain}/apidemo", где {domain} указывает на независимое доменное имя, привязанное к группе API. Порт по умолчанию — 443.
Public Outbound Access	Определите, разрешать ли сервисам back‑end APIs, созданных в шлюзе, развёртываться в публичных сетях. Установите пропускную способность, соответствующую требованиям вашего сервиса для публичного исходящего доступа.
Сеть	Выберите VPC и подсеть для выделенного шлюза. Выберите созданный VPC и подсеть из выпадающего списка. Создайте VPC и подсеть, нажав Создать VPC. Для получения подробной информации смотрите раздел "Creating a VPC" в Virtual Private Cloud Руководство пользователя.
Группа безопасности	Выберите группу безопасности для контроля входящего и исходящего доступа. Если бэкенд‑сервис API развернут во внешней сети, настройте правила группы безопасности, чтобы разрешить доступ к адресу бэкенд‑сервиса через порт вызова API. Если включён публичный входящий доступ, добавьте входящие правила для группы безопасности, позволяющие доступ на порты 80 (HTTP) и 443 (HTTPS). ПРИМЕЧАНИЕ: Балансировка нагрузки ELB включена по умолчанию после покупки шлюза. Чтобы отключить доступ с определённых IP‑адресов, используйте политики контроля доступа. ELB функционирует как балансировщик нагрузки для шлюзов, поддерживающих cross-VPC доступ. Шлюзам с включённым публичным входящим доступом случайным образом назначается EIP, и они не могут использовать существующий EIP.
Сервис VPC Endpoint	Имя службы VPC endpoint, создаваемой при покупке шлюза. Затем к шлюзу можно получить доступ через службу endpoint. Если имя указано, имя службы VPC endpoint, отображаемое на VPC Endpoints Вкладка будет в формате "{region}.{Specified VPC endpoint service name}.{VPC endpoint service ID}". Если имя не указано, отображаемое имя будет в формате "{region}.apig.{VPC endpoint service ID}".
Теги	Теги классифицируют ваши шлюзы, чтобы облегчить поиск, анализ и управление. Если тег недоступен, нажмите Просмотреть предопределённые теги или введите ключ и значение тега, чтобы создать его. В качестве альтернативы установите теги в консоли Службы управления тегами (TMS), ссылаясь на Настройка тегов шлюза.
Описание	Описание шлюза. Введите от 1 до 255 символов.

Нажмите Далее.
Подтвердите конфигурацию шлюза. Шлюз создаётся со статусом, отображаемым на экране.
- Для получения подробностей о том, как просмотреть или изменить шлюз, см Просмотр или изменение информации о шлюзе.
- Перед удалением шлюза убедитесь, что удаление не повлияет на ваши сервисы.

Связанные документы

После создания шлюза вы можете создавать и управлять API в этом шлюзе. For details, see Поток процесса.

Поддержка Юридические документы