API Gateway通過網域名稱來定位到一個唯一的API分組,再通過Path+HTTP Method確定唯一的API。您可以將自己的HTTPS的網域名稱綁定到API Gateway的API分組上並為該網域名稱匯入SSL認證,即可實現HTTPS的網域名稱訪問API。
注意事項
獨立網域名稱需要滿足以下幾點:
中國內地Region的獨立網域名稱需要在阿里雲備案或者將備案接入阿里雲。
獨立網域名稱要CNAME解析到該分組的次層網域上,然後操作綁定。
獨立網域名稱在API Gateway上沒有被別的使用者綁定過,否則綁定操作需要走驗證流程,才能成功綁定。若該分組下的API需要支援HTTPS協議,您還需要為該獨立網域名稱匯入或者上傳SSL認證。
API Gateway為每個分組預設提供了公網次層網域,如果用戶端直接調用API分組提供的公網次層網域,將會受到每天1000次調用的限制(海外Region及中國香港限制100次/天)。您在正式生產環境開放API時,需要為API分組綁定獨立網域名稱才可正常使用,不受此項限制。
方案概覽
本文將HTTPS的網域名稱綁定到API Gateway的分組上並為此網域名稱上傳SSL認證,分為以下步驟:
網域名稱解析:將公網/內網網域名稱通過CNAME方式或者TXT解析方式解析到API Gateway分組上提供的次層網域。
網域名稱綁定:在API Gateway控制台的分組詳情頁面將網域名稱綁定到對應的分組上。
上傳網域名稱SSL認證:為網域名稱配置SSL認證,支援HTTPS協議API。
網域名稱解析
公網網域名稱解析
登入API Gateway控制台,在左側導覽列選擇API管理 > 分組管理並在頁面選擇地區。
在分組列表頁面,單擊目標分組,進入分組詳情頁面,在基本資料處找到這個分組對應的API Gateway提供的公網次層網域。
登入Alibaba Cloud DNS控制台,在左側導覽列選擇公網DNS解析 > 權威網域名稱解析,在權威網域名稱解析頁面選擇權威網域名稱欄。單擊要解析的網域名稱,進入解析設定欄。
在解析設定欄,單擊添加記錄,在添加記錄彈框中選擇記錄類型為CNAME,主機記錄填寫網域名稱的首碼,記錄值填寫擷取到的公網次層網域,單擊確定即可完成。
內網網域名稱解析
登入API Gateway控制台,在左側導覽列選擇API管理 > 分組管理並在頁面選擇地區。
在分組列表頁面,單擊目標分組,進入分組詳情頁面,在基本資料處找到這個分組對應的API Gateway提供的內網VPC網域名稱。
登入雲解析 DNS控制台,在左側導覽列選擇內網DNS解析 (PrivateZone) ,在內網DNS解析 (PrivateZone)頁面,選擇頁面右上方管理配置模式,在使用者網域名稱欄單擊添加網域名稱(Zone)。
在添加內建權威網域名稱 (Zone)彈框中,輸入內建權威網域名稱 (Zone)名稱和選擇阿里雲VPC內網,單擊確定。
說明此處的內建權威網域名稱 (Zone)填寫API Gateway分組所要綁定的自訂的網域名稱(私人網域名稱),即您想要在VPC環境內專門為其設定內網DNS解析 (PrivateZone)的網域名稱名稱。
單擊添加的內建權威網域名稱 (Zone)名稱,進入解析記錄頁面,單擊添加記錄,為該私人網域名稱添加CNAME解析記錄,在添加記錄彈框中記錄類型選擇CNAME,主機記錄填寫網域名稱首碼,記錄值填寫擷取到的內網VPC網域名稱,單擊確定。
Zone關聯VPC後,在被關聯VPC內的ECS上,您的Zone(私人網域名稱)將按照PrivateZone解析記錄被解析,其公網解析記錄則會被覆蓋。
VPC環境外,該Zone的公網解析記錄不受影響。通過為Zone添加PrivateZone解析記錄,可以防止記錄為空白的Zone將需要使用的公網解析覆蓋掉,造成異常。更多詳情可參考開通PrivateZone文檔。
網域名稱綁定
登入API Gateway控制台,在左側導覽列選擇API管理 > 分組管理並在頁面選擇地區。
在分組列表頁面,單擊需要綁定網域名稱的分組,進入分組詳情頁面,在頁面獨立網域名稱處單擊綁定網域名稱按鈕。
在網域名稱綁定彈框中,配置參數如下並單擊確定。
設定項目
描述
網域名稱
填寫要綁定的網域名稱。
環境
指的是網域名稱綁定的環境,分別如下:
指定為測試環境(TEST) :僅支援調用測試環境API。
指定為預發環境(PRE ):僅支援調用預發環境API。
指定為線上環境(RELEASE):僅支援調用線上環境API。
預設(使用X-Ca-Stage確定環境):以上三種環境均可調用,調用時在請求的Header添加X-Ca-Stage參數指定調用的環境。
網路類型
公網類型僅支援通過公網調用API。內網類型僅支援通過內網調用API。
內網類型網域名稱不進行網域名稱所有權校正,若與執行個體內其他分組綁定網域名稱衝突,將綁定失敗。
網域名稱綁定成功後,不支援修改網路類型,若配置有誤,可以刪除網域名稱重新綁定。
網域名稱綁定常見問題
網域名稱綁定失敗,需要怎樣處理?
要綁定的網域名稱已經在API Gateway被目前使用者綁定到了當前執行個體的其他分組上,或者和目前使用者已經綁定的其他網域名稱有範圍衝突(指泛網域名稱和單網域名稱之間存在的覆蓋關係),此時使用者需要從原來的分組上解除綁定該自訂網域名,才能重新在當前分組上綁定該網域名稱。
要綁定的網域名稱已經在API Gateway被其他使用者綁定到了該使用者名稱下的分組上,或者和目前使用者已經綁定的其他網域名稱有範圍衝突(指泛網域名稱和單網域名稱之間存在的覆蓋關係),此時使用者必須通過網域名稱所有權確認中提到的方法證明此自訂網域名的所有權才能成功綁定。
上傳網域名稱SSL認證
綁定好網域名稱後,就可以使用綁定的網域名稱以HTTP方式訪問分組下的所有API了,但是如果想以HTTPS的方式訪問分組下的API,需要將您的網域名稱認證上傳到剛才綁定的網域名稱下才行。API Gateway提供兩種網域名稱綁定方式,自動從阿里雲認證服務匯入認證和手動上傳您在其他認證服務提供者擷取到的認證。
產生網域名稱SSL認證
下面簡單介紹下在阿里雲的認證服務產生一個個人測試認證(免費版)的流程:
進入阿里雲認證服務控制台。
在認證購買頁面完成認證的購買與網域名稱的綁定,請參考認證的SSL認證快速上手。認證申請完成後,回到API Gateway控制台對應分組的分組詳情頁面。
匯入或上傳網域名稱SSL認證
購買好認證或者準備好認證檔案後,就可以在API Gateway控制台將認證匯入或者上傳到API Gateway的分組的綁定的網域名稱下了,下面是認證匯入和上傳流程。
匯入認證
如果您是在阿里雲的Apsara Stack Security認證服務中購買了認證,可以直接將認證匯入到API Gateway的分組網域名稱下:
登入API Gateway控制台,在左側導覽列選擇API管理 > 分組管理並選擇地區。
在分組列表頁面單擊目標分組進入分組詳情頁面,在頁面的獨立網域名稱處看到所有綁定好網域名稱列表,選擇需要匯入的認證對應的網域名稱SSL認證一列,單擊選擇認證連結。
在選擇認證彈框中,單擊尋找認證,等所有屬於您的認證查詢出來後,選擇一個對應的網域名稱認證,單擊同步認證按鈕,完成認證的同步。
上傳認證
如果您的認證不是在阿里雲購買的,也可以將您的網域名稱認證上傳到API Gateway。具體流程如下:
登入API Gateway控制台,在左側導覽列選擇API管理 > 分組管理並選擇地區。
在分組列表頁面單擊目標分組進入分組詳情頁面,在頁面的獨立網域名稱處看到所有綁定好網域名稱列表,選擇需要匯入的認證對應的網域名稱SSL認證一列,單擊選擇認證連結。
在選擇認證彈框中,單擊手動添加認證連結。
在建立認證頁面後,按照頁面提示填寫認證內容並上傳,單擊確定。
上傳認證成功後,可以在獨立網域名稱欄看到網域名稱後選擇憑證鏈結接變成了更新認證,認證上傳成功後,就可以使用HTTPS協議的網域名稱了。