全部產品
Search

搜尋本產品

    API Gateway:VPC融合專享執行個體

    文件中心

    API Gateway:VPC融合專享執行個體

    更新時間:Feb 14, 2025

    本文介紹了API Gateway新推出的VPC融合專享執行個體、使用情境以及購買注意事項。

    適用情境

    VPC融合類型專享執行個體是阿里雲API Gateway推出的新版本專享執行個體,重點對API Gateway和您的VPC之間的網路架構進行了最佳化,適用情境:

    • API Gateway需要訪問同一VPC內的多個資源(如ECS、SLB),即託管在網關上的API,其後端服務是同一VPC下的多個資源,典型情境如微服務情境、服務發現情境(如Nacos)。

    • 混合雲網路互連,網關執行個體在向後端服務轉寄API請求時,後端服務希望網關執行個體的IP為VPC內的私網IP地址,詳見 情境三 API Gateway內網訪問部署在IDC機房的後端服務

      image.png

    與傳統方式的專享執行個體區別

    優勢和局限性總結如下表:

    VPC融合專享執行個體

    傳統方式專享執行個體

    網關執行個體的出口IP*

    IP為VPC內私網IP(即建立專享執行個體時選擇接入的VPC)

    IP為100.*.*.*

    一個網關執行個體需要向的同一VPC內多個資源上轉寄API請求

    適合。如服務註冊和發現

    支援。但需要為每個後端資源配置VPC授權,不支援動態配置。

    一個網關執行個體需要向多個VPC內的資源轉寄API請求

    不支援。需要您自行將VPC之間的網路打通。

    適合。可配置多個VPC授權。

    配置過程

    執行個體購買建立時,指定網關接入的VPC,配置API過程中無需額外配置。

    需要配置VPC授權。

    重要

    • 網關執行個體的出口IP,即API Gateway在向後端服務轉寄API請求時,後端服務擷取到的TCP源IP地址。

    • VPC授權,傳統方式下,需要先新增VPC授權後,才可使用該授權訪問VPC內資源,詳見 使用VPC內資源作為API的後端服務

    • 在與DataWorks資料服務整合時,由於網路架構限制,暫時僅可使用傳統專享執行個體,VPC融合執行個體暫不支援。

    購買說明

    如圖所示為API Gateway專享執行個體的購買頁面,在執行個體類型選擇VPC融合專享執行個體後,可以為將要建立的VPC融合類型專享執行個體進行配置。

    image..png

    建立VPC融合類型專享執行個體需要指定以下配置:

    1. 使用者VPC ID:指定和API Gateway進行串連的使用者VPC,建立以後不可變更。

    2. API Gateway執行個體所在網段:指定API Gateway執行個體所在的網段,我們會檢測網關的資源是否與您指定的交換器對應的網段有衝突,如存在衝突,執行個體將無法生產。

    3. 可用性區域和安全性群組:API Gateway將會在您指定的可用性區域的交換器和安全性群組下,建立彈性網卡資源,並將其綁定到將要建立的API Gateway執行個體上;請確保您VPC內的資源在指定的交換器對應的網段和同一安全性群組下,安全性群組的出方向需允許存取目標IP段,避免API Gateway執行個體無法請求到您的服務。

      重要

      API Gateway會存在一個內部資源網段,指定的交換器需保證與API Gateway內部資源網段無重合。API Gateway內部資源使用的網段可參考VPC融合執行個體各Region佔用網段

    4. 服務關聯角色:API Gateway在生產執行個體操作您VPC下的彈性網卡資源時,需要使用服務關聯角色,關於角色詳情可以參考文檔API Gateway-串連使用者VPC服務關聯角色

    說明

    關於API Gateway在使用者VPC下建立的彈性網卡(ENI)的說明:

    1. ENI執行個體在使用者VPC中,受使用者VPC自身的安全規則和網路設定(安全性群組等)控制。

      1. 當後端是和ENI在同一安全性群組下的ECS,並且安全性群組開啟了組內互連時,無需單獨配置出方向的安全性群組。

      2. 當後端是CLB時,無論是否相同交換器,都需確保安全性群組中的出方向允許存取了目標IP段。

    2. API Gateway在使用者VPC下建立的ENI本身不會產生額外費用。

    使用說明

    添加使用者VPC可被訪問網段

    新建立的VPC融合執行個體,預設情況下只能請求建立時指定的交換器對應網段中的服務,預設可訪問網段可以在API Gateway控制台執行個體詳情中查看VPC網路接入中對應的內容;如果您的其他服務在其他網段中,需要被API Gateway訪問,可以手動添加。步驟如下:

    1. 登入API Gateway控制台,左側導覽列選擇執行個體,進入執行個體列表。

    2. 找到要操作的VPC融合類型專享執行個體,單擊VPC可被訪問網段新增

    3. 添加網段支援兩種方式:按列表選擇手動填寫

      說明

      手動填寫時,請確保您填寫的網段在您建立執行個體時指定的VPC內,或者和您指定的VPC是相連通的。

    對VPC授權資料的相容

    使用VPC授權作為後端服務

    VPC融合類型專享執行個體支援使用VPC授權作為後端服務,執行個體將使用建立時在使用者VPC下建立的彈性網卡直接請求VPC授權中定義的服務。

    VPC融合類型專享執行個體下的API或者外掛程式,在配置VPC授權前請確保:

    1. VPC授權定義中的VPC ID和執行個體連通的使用者VPC ID相同。

    2. VPC授權中的服務對應的內網地址在VPC融合類型專享執行個體的可被訪問網段中。

      說明

      當發布API或者修改外掛程式內容時,API Gateway報錯形如“instance cannot connect to the backend xxx.xxx.xxx.xxx.”,請檢查該報錯內容中提到的內網地址是否在執行個體的可被訪問網段中。

    變更分組執行個體

    為了方便使用者將業務遷移到VPC融合類型專享執行個體,Serverless執行個體或傳統類型專享執行個體下的API分組支援直接變更為VPC融合類型專享執行個體。

    1. 登入API Gateway控制台,在左側導覽列選擇分組管理

    2. 找到要操作的分組,單擊分組名稱,進入分組詳情頁面。

    3. 單擊變更分組執行個體,選擇建立的VPC融合類型專享執行個體。

    4. API Gateway會對原分組下的API及其關聯的外掛程式所使用的VPC授權進行校正,校正通過則變更成功;校正失敗則本次變更失敗,同時會顯示變更失敗的原因。

      重要

      1. 遷移前對VPC類型的服務(API,外掛程式)會校正以下內容:

        1. VPC授權定義中的VPC ID和執行個體連通的使用者VPC ID相同。

        2. VPC授權中的服務對應的內網地址在VPC融合類型專享執行個體的可被訪問網段中。

      2. 遷移前,如果您的API分組下使用了VPC授權,請確保VPC授權中對應的ECS/SLB服務所在的安全性群組和建立VPC融合類型專享執行個體時指定的安全性群組保持一致。

      3. 遷移後,內網出口地址會變更為目標執行個體的出口地址,如果您的後端服務有白名單配置,請在遷移前添加,避免遷移後出現訪問不通的問題。

    VPC融合執行個體各Region佔用網段

    杭州

    可用性區域

    佔用網段

    cn-hangzhou-b

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    cn-hangzhou-d

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    cn-hangzhou-e

    192.168.32.0/20、172.19.32.0/20、172.20.0.0/16

    cn-hangzhou-f

    192.168.48.0/20、172.19.48.0/20、172.20.0.0/16

    cn-hangzhou-g

    192.168.64.0/20、172.19.64.0/20、172.20.0.0/16

    cn-hangzhou-h

    192.168.80.0/20、172.19.80.0/20、172.20.0.0/16

    cn-hangzhou-i

    192.168.96.0/20、172.19.96.0/20、172.20.0.0/16

    cn-hangzhou-j

    192.168.112.0/20、172.19.112.0/20、172.20.0.0/16

    cn-hangzhou-k

    192.168.128.0/20、172.19.128.0/20、172.20.0.0/16

    上海

    可用性區域

    佔用網段

    cn-shanghai-a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    cn-shanghai-b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    cn-shanghai-c

    192.168.32.0/20、172.19.32.0/20、172.20.0.0/16

    cn-shanghai-d

    192.168.48.0/20、172.19.48.0/20、172.20.0.0/16

    cn-shanghai-e

    192.168.64.0/20、172.19.64.0/20、172.20.0.0/16

    cn-shanghai-f

    192.168.80.0/20、172.19.80.0/20、172.20.0.0/16

    cn-shanghai-g

    192.168.96.0/20、172.19.96.0/20、172.20.0.0/16

    cn-shanghai-k

    192.168.112.0/20、172.19.112.0/20、172.20.0.0/16

    cn-shanghai-l

    192.168.128.0/20、172.19.128.0/20、172.20.0.0/16

    cn-shanghai-m

    192.168.144.0/20、172.19.144.0/20、172.20.0.0/16

    cn-shanghai-n

    192.168.160.0/20、172.19.160.0/20、172.20.0.0/16

    上海金融雲

    可用性區域

    佔用網段

    cn-shanghai-finance-1a

    192.168.0.0/20、172.19.0.0/20、172.21.0.0/16

    cn-shanghai-finance-1b

    192.168.16.0/20、172.19.16.0/20、172.21.0.0/16

    cn-shanghai-finance-1f

    192.168.32.0/20、172.19.32.0/20、172.21.0.0/16

    cn-shanghai-finance-1g

    192.168.48.0/20、172.19.48.0/20、172.21.0.0/16

    cn-shanghai-finance-1k

    192.168.64.0/20、172.19.64.0/20、172.21.0.0/16

    cn-shanghai-finance-1z

    192.168.80.0/20、172.19.80.0/20、172.21.0.0/16

    北京

    可用性區域

    佔用網段

    cn-beijing-a

    192.168.0.0/20、172.19.0.0/20、172.22.0.0/16

    cn-beijing-b

    192.168.16.0/20、172.19.16.0/20、172.22.0.0/16

    cn-beijing-c

    192.168.32.0/20、172.19.32.0/20、172.22.0.0/16

    cn-beijing-d

    192.168.48.0/20、172.19.48.0/20、172.22.0.0/16

    cn-beijing-e

    192.168.64.0/20、172.19.64.0/20、172.22.0.0/16

    cn-beijing-f

    192.168.80.0/20、172.19.80.0/20、172.22.0.0/16

    cn-beijing-g

    192.168.96.0/20、172.19.96.0/20、172.22.0.0/16

    cn-beijing-h

    192.168.112.0/20、172.19.112.0/20、172.22.0.0/16

    cn-beijing-i

    192.168.128.0/20、172.19.128.0/20、172.22.0.0/16

    cn-beijing-j

    192.168.144.0/20、172.19.144.0/20、172.22.0.0/16

    cn-beijing-k

    192.168.160.0/20、172.19.160.0/20、172.22.0.0/16

    cn-beijing-l

    192.168.176.0/20、172.19.176.0/20、172.22.0.0/16

    北京金融雲

    可用性區域

    佔用網段

    cn-beijing-finance-1k

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    cn-beijing-finance-1l

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    深圳

    可用性區域

    佔用網段

    cn-shenzhen-a

    192.168.0.0/20、172.19.0.0/20、172.23.0.0/16

    cn-shenzhen-b

    192.168.16.0/20、172.19.16.0/20、172.23.0.0/16

    cn-shenzhen-c

    192.168.32.0/20、172.19.32.0/20、172.23.0.0/16

    cn-shenzhen-d

    192.168.48.0/20、172.19.48.0/20、172.23.0.0/16

    cn-shenzhen-e

    192.168.64.0/20、172.19.64.0/20、172.23.0.0/16

    cn-shenzhen-f

    192.168.80.0/20、172.19.80.0/20、172.23.0.0/16

    深圳金融雲

    可用性區域

    佔用網段

    cn-shenzhen-finance-1a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    cn-shenzhen-finance-1b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    cn-shenzhen-finance-1d

    192.168.32.0/20、172.19.32.0/20、172.20.0.0/16

    cn-shenzhen-finance-1e

    192.168.48.0/20、172.19.48.0/20、172.20.0.0/16

    河源專屬雲汽車合規

    可用性區域

    佔用網段

    cn-heyuan-acdr-1a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    cn-heyuan-acdr-1b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    張家口

    可用性區域

    佔用網段

    cn-zhangjiakou-a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    cn-zhangjiakou-b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    cn-zhangjiakou-c

    192.168.32.0/20、172.19.32.0/20、172.20.0.0/16

    成都

    可用性區域

    佔用網段

    cn-chengdu-a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    cn-chengdu-b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    青島

    可用性區域

    佔用網段

    cn-qingdao-b

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    cn-qingdao-c

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    香港

    可用性區域

    佔用網段

    cn-hongkong-b

    192.168.0.0/20、172.19.0.0/20、172.21.0.0/16

    cn-hongkong-c

    192.168.16.0/20、172.19.16.0/20、172.21.0.0/16

    cn-hongkong-d

    192.168.32.0/20、172.19.32.0/20、172.21.0.0/16

    新加坡

    可用性區域

    佔用網段

    ap-southeast-1a

    192.168.0.0/20、172.19.0.0/20、172.21.0.0/16

    ap-southeast-1b

    192.168.16.0/20、172.19.16.0/20、172.21.0.0/16

    ap-southeast-1c

    192.168.32.0/20、172.19.32.0/20、172.21.0.0/16

    印尼(雅加達)

    可用性區域

    佔用網段

    ap-southeast-5a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    ap-southeast-5b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    ap-southeast-5c

    192.168.32.0/20、172.19.32.0/20、172.20.0.0/16

    馬來西亞(吉隆坡)

    可用性區域

    佔用網段

    ap-southeast-3a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    ap-southeast-3b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    日本(東京)

    可用性區域

    佔用網段

    ap-northeast-1a

    192.168.0.0/20、172.19.0.0/20、172.21.0.0/16

    ap-northeast-1b

    192.168.16.0/20、172.19.16.0/20、172.21.0.0/16

    ap-northeast-1c

    192.168.32.0/20、172.19.32.0/20、172.21.0.0/16

    韓國(首爾)

    可用性區域

    佔用網段

    ap-northeast-2a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    德國(法蘭克福)

    可用性區域

    佔用網段

    eu-central-1a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    eu-central-1b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    eu-central-1c

    192.168.32.0/20、172.19.32.0/20、172.20.0.0/16

    英國(倫敦)

    可用性區域

    佔用網段

    eu-west-1a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    eu-west-1b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    美國(矽谷)

    可用性區域

    佔用網段

    us-west-1a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    us-west-1b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    美國(維吉尼亞)

    可用性區域

    佔用網段

    us-east-1a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    us-east-1b

    192.168.16.0/20、172.19.16.0/20、172.20.0.0/16

    阿聯酋(杜拜)

    可用性區域

    佔用網段

    me-east-1a

    192.168.0.0/20、172.19.0.0/20、172.20.0.0/16

    沙特(利雅得)

    可用性區域

    佔用網段

    me-central-1a

    192.168.0.0/20、172.19.0.0/20、172.16.20.0/24

    me-central-1b

    192.168.16.0/20、172.19.16.0/20、172.16.20.0/24