Topik ini memperkenalkan jenis instans eksklusif baru, yaitu instans integrasi virtual private cloud (VPC). Topik ini juga menjelaskan skenario aplikasi dari jenis instans eksklusif baru ini dan cara membeli serta menggunakannya.
Skema
API Gateway menyediakan instans integrasi VPC untuk memfasilitasi komunikasi dengan VPC Anda. Instans ini cocok untuk skenario berikut:
API Gateway perlu mengakses beberapa sumber daya, seperti Instance ECS dan Server Load Balancer (SLB), di dalam VPC yang sama. Sumber daya-sumber daya ini adalah layanan backend dari API yang di-hosting pada API Gateway. Skenario tipikal termasuk layanan mikro dan penemuan layanan, seperti Nacos.
Komunikasi jaringan hybrid cloud digunakan. Dalam hal ini, layanan backend hanya menerima alamat IP privat dari VPC Alibaba Cloud dalam permintaan yang diteruskan oleh instans API Gateway. Untuk informasi lebih lanjut, lihat bagian Skenario 3: Akses layanan backend yang ditempatkan di pusat data lokal dari Instance ECS yang ditempatkan di Alibaba Cloud dari topik "Manajemen API terpusat pada hybrid cloud".
Perbedaan antara instans integrasi VPC dan instans eksklusif konvensional
Tabel berikut mencantumkan keuntungan dan kekurangan mereka.
Instans integrasi VPC | Instans eksklusif konvensional | |
Alamat IP keluar instans* | Sebuah alamat IP privat dari VPC Alibaba Cloud. VPC ini dipilih saat Anda membuat instans. | 100.*.*.*. |
Meneruskan permintaan API ke beberapa sumber daya di dalam VPC yang sama | Didukung. Contoh: pendaftaran layanan dan penemuan. | Didukung. Namun, Anda harus mengonfigurasi otorisasi akses VPC untuk setiap sumber daya tersebut. Konfigurasi dinamis tidak didukung. |
Meneruskan permintaan API ke sumber daya di VPC yang berbeda | Anda tidak dapat mengubah metode penagihan Classic Load Balancer (CLB) menjadi langganan. Anda harus menghubungkan VPC-VPC ini sendiri. | Didukung. Anda dapat mengonfigurasi otorisasi akses secara terpisah untuk VPC-VPC ini. |
Proses konfigurasi | Tentukan VPC yang akan dihubungkan API Gateway saat Anda membeli instans. Anda tidak perlu mengonfigurasi VPC saat membuat API. | Anda perlu mengonfigurasi otorisasi akses VPC. |
Alamat IP keluar dari instans API Gateway adalah alamat IP sumber yang diperoleh layanan backend dari permintaan API yang diteruskan oleh instans dalam koneksi TCP.
Secara konvensional, instans API Gateway hanya dapat mengakses sumber daya di dalam VPC setelah instans tersebut diberi otorisasi untuk mengakses VPC. Untuk informasi lebih lanjut, lihat Gunakan sumber daya di VPC sebagai layanan backend API.
Karena keterbatasan arsitektur jaringan, hanya instans eksklusif konvensional yang dapat diintegrasikan dengan DataWorks.
Cara membeli
Gambar berikut menunjukkan halaman pembelian instans eksklusif API Gateway. Setelah Anda memilih instans integrasi VPC sebagai tipe instans, Anda dapat mengonfigurasi instans yang akan dibuat.
Item berikut diperlukan:
ID VPC pengguna. Anda harus menentukan ID VPC yang ingin dihubungkan API Gateway. Anda tidak dapat mengubah ID setelah instans dibuat.
Blok CIDR tempat instans masuk. API Gateway memeriksa apakah blok CIDR bertentangan dengan blok CIDR vSwitch yang Anda tentukan, dalam hal ini instans tidak bekerja sebagaimana mestinya.
Zona dan grup keamanan. API Gateway membuat sumber daya elastic network interface (ENI) di vSwitch dan grup keamanan di zona yang Anda tentukan. Kemudian, API Gateway mengikat sumber daya ENI ke instans yang akan dibuat. Oleh karena itu, Anda harus memastikan bahwa sumber daya di VPC Anda termasuk dalam grup keamanan yang sama dan termasuk dalam blok CIDR yang sesuai dengan vSwitch yang ditentukan. Selain itu, lalu lintas keluar harus diizinkan dari alamat IP keluar oleh grup keamanan. Jika tidak, instans tidak dapat mengakses layanan backend.
PentingBlok CIDR internal tertentu ditempati oleh instans integrasi VPC di setiap zona di setiap wilayah. Pastikan bahwa vSwitch yang ditentukan tidak tumpang tindih dengan blok CIDR yang ditempati seperti itu. Untuk informasi lebih lanjut, lihat Blok CIDR yang ditempati oleh instans integrasi VPC di setiap wilayah.
Peran terkait layanan. API Gateway menggunakan peran terkait layanan untuk melakukan operasi pada sumber daya ENI di VPC Anda. Untuk informasi lebih lanjut tentang peran terkait layanan, lihat AliyunServiceRoleForApiGatewayConnectUserVpc.
Sumber daya ENI tunduk pada aturan keamanan dan konfigurasi jaringan, seperti pengaturan grup keamanan, dari VPC tempat mereka milik.
Jika layanan backend Anda dan sumber daya ENI termasuk dalam Instance ECS dari grup keamanan yang sama dan komunikasi intra-grup diaktifkan di grup keamanan, Anda tidak perlu mengonfigurasi grup keamanan secara terpisah untuk komunikasi keluar.
Jika layanan backend Anda ditempatkan di instans Classic Load Balancer (CLB), Anda harus memastikan bahwa lalu lintas keluar melalui blok CIDR yang dikonfigurasi diizinkan oleh grup keamanan, terlepas dari apakah vSwitch yang sama digunakan.
Sumber daya ENI yang dibuat oleh API Gateway di VPC Anda tidak dikenakan biaya tambahan.
Cara menggunakan
Tambahkan blok CIDR yang dapat diakses oleh instans integrasi VPC
Secara default, instans integrasi VPC hanya dapat mengakses sumber daya yang berada di blok CIDR yang sesuai dengan vSwitch yang ditentukan saat Anda membuat instans. Anda dapat melihat blok CIDR dan sumber daya di dalamnya di halaman detail instans di konsol API Gateway. Jika Anda ingin instans mengakses sumber daya yang berada di blok CIDR lain, Anda dapat menambahkan blok CIDR tersebut sendiri. Prosedur:
Masuk ke konsol API Gateway. Di panel navigasi di sebelah kiri, klik Instans.
Temukan instans integrasi VPC yang ingin Anda kelola dan klik Tambah di bagian Akses Diizinkan Dari.
Tambahkan blok CIDR berdasarkan kebutuhan bisnis Anda. Anda dapat memilih blok CIDR dari daftar drop-down atau menentukan blok CIDR secara manual.
CatatanJika Anda memilih untuk menentukan blok CIDR secara manual, pastikan bahwa blok CIDR berada di dalam atau terhubung ke VPC Anda.
Kompatibilitas dengan otorisasi akses VPC
Gunakan otorisasi akses VPC sebagai layanan backend
Instans integrasi VPC memungkinkan Anda menggunakan otorisasi akses VPC sebagai layanan backend untuk API. Instans ini menggunakan sumber daya ENI yang dibuat di VPC Anda saat Anda membuat instans untuk langsung mengakses layanan backend dalam otorisasi akses VPC.
Saat Anda membuat API atau plug-in pada instans integrasi VPC, pastikan bahwa:
ID VPC dalam otorisasi akses VPC sama dengan ID VPC yang terhubung ke instans.
Alamat IP privat dari layanan backend dalam otorisasi akses VPC masuk ke dalam Blok CIDR yang dapat diakses oleh instans integrasi VPC.
CatatanJika kesalahan seperti "instans tidak dapat menghubungkan backend xxx.xxx.xxx.xxx." dilaporkan saat Anda mempublikasikan API atau memodifikasi plug-in, periksa apakah alamat IP yang disebutkan dalam kesalahan masuk ke dalam Blok CIDR yang dapat diakses oleh instans integrasi VPC.
Migrasikan grup API ke instans integrasi VPC
API Gateway memungkinkan Anda mengubah instans tempat grup API dimiliki. Dengan cara ini, Anda dapat dengan mudah memigrasikan grup dari instans serverless atau instans eksklusif konvensional ke instans integrasi VPC.
Masuk ke konsol API Gateway. Di panel navigasi di sebelah kiri, pilih Open API > Grup API.
Temukan grup yang ingin Anda migrasikan dan klik namanya untuk masuk ke halaman detail grup.
Klik Ubah Instans untuk Penyebaran Grup API dan pilih instans integrasi VPC yang Anda buat.
Tunggu API Gateway memverifikasi otorisasi akses VPC yang digunakan oleh API dan plug-in terkait dalam grup. Jika verifikasi berhasil, migrasi berhasil. Jika verifikasi gagal, migrasi gagal, dan penyebabnya ditampilkan.
PentingSebelum migrasi, API Gateway memverifikasi item berikut untuk layanan backend, API, dan plug-in yang terkait dengan VPC:
Apakah ID VPC dalam otorisasi akses VPC sama dengan ID VPC yang terhubung ke instans integrasi VPC
Apakah alamat IP privat dari layanan backend dalam otorisasi akses VPC masuk ke dalam Blok CIDR yang dapat diakses oleh instans integrasi VPC
Sebelum migrasi, jika grup API Anda terkait dengan otorisasi akses VPC, pastikan bahwa grup keamanan yang berisi sumber daya ECS atau SLB yang sesuai dalam otorisasi sama dengan grup keamanan yang ditentukan saat Anda membuat instans integrasi VPC.
Setelah migrasi, alamat IP keluar berubah menjadi alamat IP keluar instans integrasi VPC. Jika layanan backend Anda memiliki daftar putih, Anda harus menambahkan alamat IP keluar instans integrasi VPC ke daftar putih sebelum migrasi. Jika tidak, masalah konektivitas terjadi setelah migrasi.
Blok CIDR yang ditempati oleh instans integrasi VPC di setiap wilayah
Cina (Hangzhou)
Zona | Blok CIDR yang ditempati |
cn-hangzhou-b | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
cn-hangzhou-d | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
cn-hangzhou-e | 192.168.32.0/20, 172.19.32.0/20, dan 172.20.0.0/16 |
cn-hangzhou-f | 192.168.48.0/20, 172.19.48.0/20, dan 172.20.0.0/16 |
cn-hangzhou-g | 192.168.64.0/20, 172.19.64.0/20, dan 172.20.0.0/16 |
cn-hangzhou-h | 192.168.80.0/20, 172.19.80.0/20, dan 172.20.0.0/16 |
cn-hangzhou-i | 192.168.96.0/20, 172.19.96.0/20, dan 172.20.0.0/16 |
cn-hangzhou-j | 192.168.112.0/20, 172.19.112.0/20, dan 172.20.0.0/16 |
cn-hangzhou-k | 192.168.128.0/20, 172.19.128.0/20, dan 172.20.0.0/16 |
Cina (Shanghai)
Zona | Blok CIDR yang ditempati |
cn-shanghai-a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
cn-shanghai-b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
cn-shanghai-c | 192.168.32.0/20, 172.19.32.0/20, dan 172.20.0.0/16 |
cn-shanghai-d | 192.168.48.0/20, 172.19.48.0/20, dan 172.20.0.0/16 |
cn-shanghai-e | 192.168.64.0/20, 172.19.64.0/20, dan 172.20.0.0/16 |
cn-shanghai-f | 192.168.80.0/20, 172.19.80.0/20, dan 172.20.0.0/16 |
cn-shanghai-g | 192.168.96.0/20, 172.19.96.0/20, dan 172.20.0.0/16 |
cn-shanghai-k | 192.168.112.0/20, 172.19.112.0/20, dan 172.20.0.0/16 |
cn-shanghai-l | 192.168.128.0/20, 172.19.128.0/20, dan 172.20.0.0/16 |
cn-shanghai-m | 192.168.144.0/20, 172.19.144.0/20, dan 172.20.0.0/16 |
cn-shanghai-n | 192.168.160.0/20, 172.19.160.0/20, dan 172.20.0.0/16 |
Cina Timur 2 Keuangan
Zona | Blok CIDR yang ditempati |
cn-shanghai-finance-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.21.0.0/16 |
cn-shanghai-finance-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.21.0.0/16 |
cn-shanghai-finance-1f | 192.168.32.0/20, 172.19.32.0/20, dan 172.21.0.0/16 |
cn-shanghai-finance-1g | 192.168.48.0/20, 172.19.48.0/20, dan 172.21.0.0/16 |
cn-shanghai-finance-1k | 192.168.64.0/20, 172.19.64.0/20, dan 172.21.0.0/16 |
cn-shanghai-finance-1z | 192.168.80.0/20, 172.19.80.0/20, dan 172.21.0.0/16 |
Cina (Beijing)
Zona | Blok CIDR yang ditempati |
cn-beijing-a | 192.168.0.0/20, 172.19.0.0/20, dan 172.22.0.0/16 |
cn-beijing-b | 192.168.16.0/20, 172.19.16.0/20, dan 172.22.0.0/16 |
cn-beijing-c | 192.168.32.0/20, 172.19.32.0/20, dan 172.22.0.0/16 |
cn-beijing-d | 192.168.48.0/20, 172.19.48.0/20, dan 172.22.0.0/16 |
cn-beijing-e | 192.168.64.0/20, 172.19.64.0/20, dan 172.22.0.0/16 |
cn-beijing-f | 192.168.80.0/20, 172.19.80.0/20, dan 172.22.0.0/16 |
cn-beijing-g | 192.168.96.0/20, 172.19.96.0/20, dan 172.22.0.0/16 |
cn-beijing-h | 192.168.112.0/20, 172.19.112.0/20, dan 172.22.0.0/16 |
cn-beijing-i | 192.168.128.0/20, 172.19.128.0/20, dan 172.22.0.0/16 |
cn-beijing-j | 192.168.144.0/20, 172.19.144.0/20, dan 172.22.0.0/16 |
cn-beijing-k | 192.168.160.0/20, 172.19.160.0/20, dan 172.22.0.0/16 |
cn-beijing-l | 192.168.176.0/20, 172.19.176.0/20, dan 172.22.0.0/16 |
Cina Utara 2 Keuangan
Zona | Blok CIDR yang ditempati |
cn-beijing-finance-1k | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
cn-beijing-finance-1l | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
Cina (Shenzhen)
Zona | Blok CIDR yang ditempati |
cn-shenzhen-a | 192.168.0.0/20, 172.19.0.0/20, dan 172.23.0.0/16 |
cn-shenzhen-b | 192.168.16.0/20, 172.19.16.0/20, dan 172.23.0.0/16 |
cn-shenzhen-c | 192.168.32.0/20, 172.19.32.0/20, dan 172.23.0.0/16 |
cn-shenzhen-d | 192.168.48.0/20, 172.19.48.0/20, dan 172.23.0.0/16 |
cn-shenzhen-e | 192.168.64.0/20, 172.19.64.0/20, dan 172.23.0.0/16 |
cn-shenzhen-f | 192.168.80.0/20, 172.19.80.0/20, dan 172.23.0.0/16 |
Cina Selatan 1 Keuangan
Zona | Blok CIDR yang ditempati |
cn-shenzhen-finance-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
cn-shenzhen-finance-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
cn-shenzhen-finance-1d | 192.168.32.0/20, 172.19.32.0/20, dan 172.20.0.0/16 |
cn-shenzhen-finance-1e | 192.168.48.0/20, 172.19.48.0/20, dan 172.20.0.0/16 |
Heyuan ACDR Auto
Zona | Blok CIDR yang ditempati |
cn-heyuan-acdr-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
cn-heyuan-acdr-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
Cina (Zhangjiakou)
Zona | Blok CIDR yang ditempati |
cn-zhangjiakou-a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
cn-zhangjiakou-b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
cn-zhangjiakou-c | 192.168.32.0/20, 172.19.32.0/20, dan 172.20.0.0/16 |
Cina (Chengdu)
Zona | Blok CIDR yang ditempati |
cn-chengdu-a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
cn-chengdu-b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
Cina (Qingdao)
Zona | Blok CIDR yang ditempati |
cn-qingdao-b | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
cn-qingdao-c | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
Cina (Hong Kong)
Zona | Blok CIDR yang ditempati |
cn-hongkong-b | 192.168.0.0/20, 172.19.0.0/20, dan 172.21.0.0/16 |
cn-hongkong-c | 192.168.16.0/20, 172.19.16.0/20, dan 172.21.0.0/16 |
cn-hongkong-d | 192.168.32.0/20, 172.19.32.0/20, dan 172.21.0.0/16 |
Singapura
Zona | Blok CIDR yang ditempati |
ap-southeast-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.21.0.0/16 |
ap-southeast-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.21.0.0/16 |
ap-southeast-1c | 192.168.32.0/20, 172.19.32.0/20, dan 172.21.0.0/16 |
Indonesia (Jakarta)
Zona | Blok CIDR yang ditempati |
ap-southeast-5a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
ap-southeast-5b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
ap-southeast-5c | 192.168.32.0/20, 172.19.32.0/20, dan 172.20.0.0/16 |
Malaysia (Kuala Lumpur)
Zona | Blok CIDR yang ditempati |
ap-southeast-3a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
ap-southeast-3b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
Jepang (Tokyo)
Zona | Blok CIDR yang ditempati |
ap-northeast-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.21.0.0/16 |
ap-northeast-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.21.0.0/16 |
ap-northeast-1c | 192.168.32.0/20, 172.19.32.0/20, dan 172.21.0.0/16 |
Korea Selatan (Seoul)
Zona | Blok CIDR yang ditempati |
ap-northeast-2a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
Jerman (Frankfurt)
Zona | Blok CIDR yang ditempati |
eu-central-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
eu-central-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
eu-central-1c | 192.168.32.0/20, 172.19.32.0/20, dan 172.20.0.0/16 |
Inggris (London)
Zona | Blok CIDR yang ditempati |
eu-west-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
eu-west-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
AS (Silicon Valley)
Zona | Blok CIDR yang ditempati |
us-west-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
us-west-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
AS (Virginia)
Zona | Blok CIDR yang ditempati |
us-east-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
us-east-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.20.0.0/16 |
UEA (Dubai)
Zona | Blok CIDR yang ditempati |
me-east-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.20.0.0/16 |
SAU (Riyadh - Wilayah Mitra)
Zona | Blok CIDR yang ditempati |
me-central-1a | 192.168.0.0/20, 172.19.0.0/20, dan 172.16.20.0/24 |
me-central-1b | 192.168.16.0/20, 172.19.16.0/20, dan 172.16.20.0/24 |