建立雲原生API Gateway - API Gateway

通過雲原生API Gateway執行個體，可以實現服務暴露、流量管理、安全防護和API全生命週期管理等功能，本文介紹如何建立雲原生API Gateway執行個體。

基礎配置

首次開通，需授權

系統權限原則：

AliyunServiceRoleForNativeApiGw：允許訪問ACK、VPC、SLB、MSE等其他雲產品服務。

AliyunServiceRolePolicyForNativeApiGwInvokeFC：允許訪問Function Compute FC 服務。

登入雲原生API Gateway控制台，在左側導覽列單擊執行個體，在執行個體頁面單擊建立執行個體。並在雲原生API Gateway購買頁面配置以下參數：

商品類型：支援隨用隨付和訂用帳戶，請參見計費概述查看計費的詳細資料。
- 隨用隨付：計費以小時為單位，不足1小時按照1小時計算。每小時進行一次結算。
- 訂用帳戶：計費以月為單位，包年按照12個月計算。
地區：選擇網關所在地區。需要與後端服務所在地區相同，建立成功後不支援更改。
網關名稱：自訂網關名稱，推薦使用環境或環境加業務領域命名，例如test、order-prod等。最大長度為64個字元。

網關規格：請根據實際業務需求進行容量評估後選擇節點規格。

不同節點規格的容量閾值

以下為不同網關規格下的容量閾值。當網關容量指標處於警戒水位以下時，可以得到完整的SLA保障。對於核心業務，建議將網關容量指標控制在安全水位以下，從而獲得更好的穩定性。

安全水位：能夠在突發流量增長至雙倍的情況下，依然確保網關係統維持高輸送量和低延遲效能。
警戒水位：當水位達到警戒線以上時，網關的延遲可能會增加，並且在突發流量下可能存在穩定性風險。
單節點部署的網關無法提供SLA保障，僅限測試情境使用。請確保線上業務使用部署了多個節點的網關規格。

網關規格	用戶端串連數		HTTPS每秒建立串連		CPU使用率		記憶體使用量率
網關規格	安全水位	警戒水位	安全水位	警戒水位	安全水位	警戒水位	安全水位	警戒水位
apigw.dev.x1	12000	24000	400	800	30%	60%	75%	75%
apigw.small.x1	24000	48000	800	1600	30%	60%	75%	75%
apigw.small.x2	48000	96000	1600	3200	30%	60%	75%	75%
apigw.small.x4	96000	192000	3200	6400	30%	60%	75%	75%
apigw.medium.x1	192000	384000	6400	12800	30%	60%	75%	75%
apigw.medium.x2	384000	768000	12800	25600	30%	60%	75%	75%
apigw.medium.x3	576000	1152000	19200	38400	30%	60%	75%	75%
apigw.large.x1	768000	1536000	25600	51200	30%	60%	75%	75%
apigw.large.x2	1536000	3072000	51200	102400	30%	60%	75%	75%
apigw.large.x3	2304000	4608000	76800	153600	30%	60%	75%	75%
apigw.large.x4	3072000	6144000	102400	204800	30%	60%	75%	75%

資源群組：選擇已有資源群組或預設資源群組。使用資源群組對雲帳號下的資源做分類分組管理，以組為單元進行許可權管理、資源部署、資源監控等，而無需單獨處理各個資源。如需建立新的資源群組，請單擊建立資源群組。
網路訪問類型：支援公網、私網、公網+私網。
- 公網：公網訪問網關時，將會產生相應的公網流量費用，公網流量將雲端式資料轉送CDT進行統一計費和出賬，採用BGP（多線）模式，詳情可參考公網流量。
- 私網：私網無流量費用。
- 公網+私網：公網訪問網關時，將會產生相應的公網流量費用，公網流量將雲端式資料轉送CDT進行統一計費和出賬，採用BGP（多線）模式。訪問私網無流量費用。
專用網路：選擇網關執行個體運行所在的專用網路環境。網關所在的VPC與服務所在的VPC需保持一致。
可用性區域選擇：支援自動分配或手動選擇。
- 自動分配：選擇部署網關節點交換器，系統將自動分配兩個可用性區域部署網關節點。
- 手動選擇：手動選擇部署網關節點的可用性區域和交換器。

配置完成後，單擊立即購買。隨後在確認訂單頁面中，檢查雲原生API Gateway配置詳情，並單擊立即開通。
網關執行個體建立過程可能需要1～5分鐘時間，請您耐心等待。
在雲原生API Gateway執行個體頁面，查看已建立的網關執行個體狀態。顯示運行中，表示網關建立成功。

進階功能

在建立網關執行個體時，如需利用日誌資料進行監控和分析，或需要對請求響應進行壓縮，降低網關流量時，請參考如下操作進行配置。其中開啟Gzip硬體加速只能在建立網關執行個體時進行開啟，不支援建立後開啟，Log Service無限制。

開啟Gzip硬體加速

Gzip硬體加速是指通過專用硬體裝置來實現資料的快速壓縮和解壓縮技術。通過將Gzip格式的解壓縮任務從CPU卸載到專用硬體裝置上，顯著提升處理效率並降低CPU負載。

操作步驟

在雲原生API Gateway購買頁面，在完成基礎配置的同時，需要進行如下配置完成後單擊立即開通：
- 地區：Gzip硬體加速支援的地區為杭州、北京、上海、深圳、烏蘭察布、中國香港和新加坡。
  目前在支援的地區中，存在部分可用性區域不支援的情況，具體以產品購買頁為準。
- 網關規格：選擇apigw.medium.x1以上規格。
- Gzip硬體加速：勾選啟用Gzip硬體加速。
執行個體建立成功後，單擊目標執行個體名稱ID/名稱，單擊左側導覽列的參數配置，在網關引擎參數地區編輯EnableGzipHardwareAccelerate參數。
若在購買時未勾選啟用 Gzip 硬體加速，則無法開啟此配置。
開啟後，需要用戶端能夠處理Gzip壓縮的資料，對於支援的用戶端需要在要求標頭中添加Accept-Encoding: gzip。

效能參考

開啟Gzip壓縮後，與開啟前相比能節省多少流量？

在使用 Gzip 進行壓縮時，壓縮比（即壓縮後資料大小與壓縮前資料大小的比值）很大程度上受到資料本身的影響。壓縮比越低，代表壓縮的效果越好，壓縮比越高，代表壓縮的效果越差。

通常來說：如果資料中存在大量重複模式或結構（如文本中的字母、單詞和標點），Gzip 壓縮效果會更好，壓縮比更低。相反，對於隨機性高、熵值大的資料（如圖片、視頻、已壓縮檔等），由於其內部重複性較低，壓縮比通常較高，壓縮效果有限。

不同的客戶由於其業務屬性不同，在使用Gzip壓縮時的壓縮比也有較大差異。根據核心地區內已啟用 Gzip 的執行個體統計，大部分執行個體的壓縮比集中在 10% 到 50% 之間，意味著開啟 Gzip 後，這些使用者平均可節省 50% 以上的流量。

已經開啟Gzip的情況下，使用硬體加速可以節省多少執行個體資源？

開啟Gzip硬體加速後，網關將使用專用的硬體裝置進行壓縮，從而可以節省CPU資源。下面的壓測資料對比了在承接相同QPS的流量的情況下，開啟Gzip硬體加速的單節點執行個體，和使用軟體Gzip的4節點執行個體之間的CPU消耗。

例如，壓縮的資料是一份大小約為120k的JSON文本：

QPS	硬體加速gzip/apigw.medium.x1/單節點 CPU消耗	軟體gzip/apigw.medium.x1/4節點 CPU消耗
2000	9%	11%
5000	26%	28%
10000	56%	56%
13000	69%	72%

從表格式資料中可以看到，開啟Gzip硬體加速/單節點的CPU消耗與軟體Gzip/4節點的CPU消耗基本上持平。相當於原本需要4個節點才能承載，開啟Gzip硬體加速後僅需要1個節點，可以節省大約75%的執行個體資源。

開啟網關日誌投遞

如果您需要收集、儲存和分析網關作業記錄，可以在建立網關執行個體時開通Log Service（SLS）進行日誌分析和大盤監控。

在完成基礎配置的同時，勾選使用Log Service（SLS），系統將為您開通Log Service（SLS）並開啟網關日誌投遞功能。

開啟日誌投遞以後，您可在觀測分析 > 日誌中心查看網關日誌。

日誌欄位說明

欄位名	類型	含義
__time__	long	日誌產生的時間。
cluster_id	string	購買的網關執行個體。
ai_log	json	針對LLM API/Agent API/MCP API設計的日誌欄位，欄位格式為json。其他類型的API此欄位為空白。 api: ai api的名稱。 cache_status: LLM API中開啟內容緩衝時該欄位會反映請求是否命中緩衝。 consumer: 開啟消費者鑒權後，此欄位會記錄當前請求的消費者身份。 fallback_from: LLM API中開啟fallback策略時，此欄位記錄請求從哪一條路由fallback過來。 input_token: LLM請求輸入token數。 llm_first_token_duration: LLM請求首包RT。 llm_service_duration: LLM請求整體RT。 model: LLM請求的模型名稱。 output_token: LLM請求輸出token數。 response_type: LLM請求流式/非流式。 safechack_status: LLM請求Alibaba Content Security Service檢測狀態。 token_ratelimit_status: LLM請求是否被限流攔截。
authority	string	請求報文中的Host Header。
bytes_received	long	請求的Body大小（不包含Header）。
bytes_sent	long	響應的Body大小（不包含Header）。
downstream_local_address	string	網關Pod地址。
downstream_remote_address	string	串連到網關的Client端地址。
duration	long	請求的整體耗時。包含從網關收到來自下遊的第一個位元組開始，到發送出最後一個響應位元組為止的時間段。單位毫秒。
method	string	HTTP方法。
path	string	HTTP請求中的Path。
protocol	string	HTTP的協議版本。
request_duration	long	從網關收到來自下遊的第一個位元組開始，到收到來自下遊的最後一個位元組為止的時間段。單位毫秒。
request_id	string	網關會為每次請求產生一個ID，並放在Header的`x-request-id`中，後端可以根據這個欄位記錄並進行排查。
requested_server_name	string	SSL串連時使用的Server Name。
response_code_details	string	提供與響應碼相關的額外資訊。例如via_upstream表示響應碼是由後端服務返回的，route_not_found表示請求沒有匹配的路由。
response_tx_duration	long	從網關收到來自上遊的第一個位元組開始，到給下遊發送出最後一個位元組為止的時間段。單位毫秒。
route_name	string	路由名。
start_time	string	請求開始時間。格式：UTC。
trace_id	string	Trace ID。
upstream_cluster	string	上遊叢集。
upstream_host	string	上遊IP。
upstream_local_address	string	本地串連上遊的地址。
upstream_service_time	long	上遊服務處理請求的耗時（毫秒），包括網關訪問上遊服務的網路耗時和上遊服務自身處理耗時兩部分。
upstream_transport_failure_reason	string	上遊連結失敗的原因。
user_agent	string	HTTP Header中的UserAgent。
x_forwarded_for	string	HTTP Header中的`x-forwarded-for`，通常用來表示HTTP請求端真實IP。

後續步驟

雲原生API Gateway支援多種類型的API，包括REST API、HTTP API和WebSocket API，您可以為不同類型的 API 靈活配置相應的路由規則或策略。
通過建立服務，可以將後端服務添加到網關中，由網關統一擷取並管理後端服務的訪問地址。
如需通過配置網關路由，實現內部服務的外部存取情境，請參見如何通過HTTP API訪問Container Service中的應用。
當您在使用雲原生API Gateway時遇到問題，可以查看常見問題。