APIG最佳实践汇总
本文汇总了基于API网关服务(APIG,APIGateway)常见应用场景的操作实践,为每个实践提供详细的方案描述和操作指导,帮助用户轻松构建基于APIG的业务。
|
最佳实践 |
说明 |
|---|---|
|
云容器引擎(Cloud Container Engine,即CCE)中的工作负载,以及微服务,可通过API网关将服务能力以API形式对外开放。 |
|
|
使用专享版API网关为本地数据中心搭建一条与API网关(所绑定的华为云VPC)之间的专线。 |
|
|
API网关支持的自定义认证需要借助函数工作流服务实现,用户在函数工作流中创建自定义认证函数,API网关调用该函数,实现自定义认证。 |
|
|
当用户后端服务器所在的VPC与创建实例所选择的VPC处于不同的场景时,通过跨VPC对接开放后端服务。 |
|
|
企业为了保护APIG及后端服务器免受恶意攻击,可在APIG和外部网络之间部署WAF。 |
|
|
随着用户多样性以及需求多样性的增加,传统流控策略无法满足更加精细的流量控制场景。比如针对某一请求参数的流控或者某一租户的流控,APIG在传统流量控制策略的基础上提供了插件策略(流量控制2.0),通过制定更加精细的方案来进行流控。 |
|
|
在API网关提供的安全认证模式下,用户可根据业务需求,配置自定义认证实现API的双重认证方式。 |
|
|
当用户在公网中调用APIG上公开的业务API时,会存在DDoS攻击风险,为防范DDoS攻击,华为云提供了DDoS防护服务。 |
|
|
当用户的API采用http协议访问时,由于http没有传输安全与认证安全保障,可以使用API网关的重定向功能将API升级为安全的https协议访问,同时兼容已有的http协议。 |
|
|
当用户使用gRPC服务时,可以通过API网关创建API,实现gRPC服务的路由转发。 |
|
|
API前端定义中的请求协议支持HTTPS时,API所属分组在绑定独立域名后,还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书,当SSL证书带有CA证书时,默认开启客户端认证即双向认证;反之,开启单向认证。 |
|
|
API网关支持定义多个策略后端,通过不同的策略条件,将API请求转发到不同的后端服务中,用以满足不同的调用场景。例如为了区分普通调用与特殊调用,可以定义一个“策略后端”,通过调用前端自定义认证参数,为特殊调用方分配专用的后端服务。 |
|
|
API网关支持WebSocket API,其创建过程和创建HTTP API一致。WebSocket是一种全双工通信协议,建立在单个TCP连接上,允许在客户端和服务器之间进行双向通信。 |
