Creating a Gateway

Constraints

• Gateway quota

  By default, your account can be used to create five gateways in a project. To create more dedicated gateways, contact technical support to increase the quota.

• Permissions
  • You must be assigned both the APIG Administrator and VPC Administrator roles so that you can create gateways.
  • Alternatively, you must be attached the APIG FullAccess policy.
  • You can also be granted permissions using custom policies. For details, see Custom APIG Policies.
• Сеть

  Если вы используете 192.x.x.x или 10.x.x.x, APIG использует 172.31.32.0/19 как внутреннюю подсеть. Если вы используете 172.x.x.x, APIG использует 192.168.32.0/19 как внутреннюю подсеть.

• Количество доступных частных IP-адресов в подсети

  Базовые, профессиональные, enterprise и platinum издания APIG требуют 3, 5, 6 и 7 частных IP-адресов. Проверьте, что выбранная подсеть имеет достаточное количество частных IP-адресов в консоли VPC.

• Нагрузка

  VPC (нагрузки), в которых развернуты шлюзы, нельзя изменить.

• Группа безопасности

  Группы безопасности не действуют после покупки шлюзов в регионах. Чтобы отключить доступ с определённых IP‑адресов, см. Настройка контроля доступа API.

Подготовка сетевой среды

• Рабочая нагрузка

  Шлюзы развертываются в VPC (нагрузках). Облачные ресурсы, такие как Elastic Cloud Servers (ECSs), в той же нагрузке могут вызывать API, используя частный IP‑адрес шлюза, развернутого в нагрузке.

  Рекомендуется развернуть шлюзы в той же нагрузке, что и остальные сервисы, чтобы упростить настройку сети и обеспечить безопасный сетевой доступ.

• Группа безопасности

  Как и межсетевой экран, группа безопасности контролирует доступ к шлюзу через определённый порт и передачу коммуникационных данных от шлюза к конкретному адресу назначения. В целях безопасности создайте входящие правила для группы безопасности, позволяющие доступ только на определённые порты.

  Группа безопасности, привязанная к шлюзу, должна соответствовать следующим требованиям:

  • Входящий доступ: Чтобы обеспечить доступ к API в шлюзе через публичные сети или из других групп безопасности, настройте входящие правила для группы безопасности, позволяющие доступ на порты 80 (HTTP) и 443 (HTTPS).
  • Исходящий доступ: Если бэкэнд‑служба API развернута в публичной сети или в другой группе безопасности, добавьте исходящие правила для группы безопасности, позволяющие доступ к адресу бэкэнд‑службы через порт вызова API.
  • Если фронтенд‑ и бэкэнд‑службы API привязаны к той же группе безопасности и VPC, что и шлюз, правила входящего или исходящего доступа не требуются для доступа через указанные порты.

Создание шлюза

1. Перейдите в консоль APIG.
2. В навигационной панели выберите Шлюзы.

3. Нажмите Купить шлюз. Установите параметры шлюза, ссылаясь на следующую таблицу.

   Таблица 1 Параметры API gateway

   Параметр	Описание
   Регион	Географический регион, в котором будет развернут шлюз. Разверните шлюз в том же регионе, что и другие ваши сервисы, чтобы все сервисы могли взаимодействовать друг с другом через подсети в рамках нагрузки. Это снижает расходы на публичную пропускную способность и сетевую задержку.
   AZ	Выберите зону доступности (AZ), в которой находится шлюз. Разные AZ физически изолированы, но могут взаимодействовать друг с другом через частную сеть. Чтобы повысить доступность шлюза, разверните шлюз в нескольких AZ. APIG не поддерживает миграцию шлюза между AZ. Чтобы создать шлюз в одной AZ, создайте два шлюза как минимум в двух AZ, чтобы повысить надежность сервиса. В противном случае сервисы будут недоступны, если одна AZ выйдет из строя.
   Имя шлюза	Имя шлюза, которое может быть настроено. Значение должно начинаться с буквы и состоять из 3–64 символов, включая буквы, цифры, дефисы (-) и подчеркивания (_).
   Издание	Базовая, профессиональная, Enterprise и платиновая редакции доступны. Количество разрешённых одновременных запросов варьируется в зависимости от редакции шлюза. Для получения дополнительной информации см Технические характеристики.
   Запланированное обслуживание	Период времени, когда инженеры технической поддержки могут обслуживать шлюз. Сотрудники технической поддержки свяжутся с вами до обслуживания. Выберите период времени с низким спросом на сервис.
   Enterprise Проект	Выберите enterprise проект, к которому относится шлюз. Этот параметр доступен только если ваш аккаунт является enterprise аккаунтом. Для получения деталей об использовании ресурсов, миграции и разрешениях пользователей enterprise‑проектах см. Руководство пользователя Enterprise Management.
   Публичный входящий доступ	Определите, разрешать ли вызов API, созданных в шлюзе, внешними сервисами с использованием EIP. Если функция включена, EIP привязывается по умолчанию. Вы также можете задать полосу пропускания, соответствующую требованиям вашего сервиса. APIs в шлюзе можно вызывать, используя независимые или отладочные доменные имена. Существует ограничение на количество вызовов APIs в группе API в день с использованием отладочного доменного имени. Чтобы обойти ограничение, привяжите независимые доменные имена к группе API и убедитесь, что доменные имена уже CNAMEd к EIP шлюза, к которому принадлежит группа API. Например, у вас есть HTTPS API (путь: /apidemo) с включенным публичным доступом. API можно вызвать, используя "https://{domain}/apidemo", где {domain} указывает на независимое доменное имя, привязанное к группе API. Порт по умолчанию — 443.
   Public Outbound Access	Определите, разрешать ли сервисам back‑end APIs, созданных в шлюзе, развёртываться в публичных сетях. Установите пропускную способность, соответствующую требованиям вашего сервиса для публичного исходящего доступа.
   Сеть	Выберите VPC и подсеть для выделенного шлюза. Выберите созданный VPC и подсеть из выпадающего списка. Создайте VPC и подсеть, нажав Создать VPC. Для получения подробной информации смотрите раздел "Creating a VPC" в Virtual Private Cloud Руководство пользователя.
   Группа безопасности	Выберите группу безопасности для контроля входящего и исходящего доступа. Если бэкенд‑сервис API развернут во внешней сети, настройте правила группы безопасности, чтобы разрешить доступ к адресу бэкенд‑сервиса через порт вызова API. Если включён публичный входящий доступ, добавьте входящие правила для группы безопасности, позволяющие доступ на порты 80 (HTTP) и 443 (HTTPS). ПРИМЕЧАНИЕ: Балансировка нагрузки ELB включена по умолчанию после покупки шлюза. Чтобы отключить доступ с определённых IP‑адресов, используйте политики контроля доступа. ELB функционирует как балансировщик нагрузки для шлюзов, поддерживающих cross-VPC доступ. Шлюзам с включённым публичным входящим доступом случайным образом назначается EIP, и они не могут использовать существующий EIP.
   Сервис VPC Endpoint	Имя службы VPC endpoint, создаваемой при покупке шлюза. Затем к шлюзу можно получить доступ через службу endpoint. Если имя указано, имя службы VPC endpoint, отображаемое на VPC Endpoints Вкладка будет в формате "{region}.{Specified VPC endpoint service name}.{VPC endpoint service ID}". Если имя не указано, отображаемое имя будет в формате "{region}.apig.{VPC endpoint service ID}".
   Теги	Теги классифицируют ваши шлюзы, чтобы облегчить поиск, анализ и управление. Если тег недоступен, нажмите Просмотреть предопределённые теги или введите ключ и значение тега, чтобы создать его. В качестве альтернативы установите теги в консоли Службы управления тегами (TMS), ссылаясь на Настройка тегов шлюза.
   Описание	Описание шлюза. Введите от 1 до 255 символов.

4. Нажмите Далее.
5. Подтвердите конфигурацию шлюза. Шлюз создаётся со статусом, отображаемым на экране.
   • Для получения подробностей о том, как просмотреть или изменить шлюз, см Просмотр или изменение информации о шлюзе.
   • Перед удалением шлюза убедитесь, что удаление не повлияет на ваши сервисы.

Связанные документы