绑定域名
在开放API前,您需要为API分组绑定独立域名,用户通过独立域名访问分组内的API。最多可以添加5个独立域名,不限访问次数。
独立域名可分为内网域名和公网域名两种:
- 内网域名:部署在云服务平台内的业务系统,可以使用内网域名访问API。
- 公网域名:部署在云服务平台外的业务系统,可以使用公网域名访问API。
您也可以使用系统分配的调试域名(子域名)访问API分组内的API,该调试域名唯一且不可修改,每天最多可以访问1000次,仅适用于内部测试使用。
- 同一实例下的不同分组不能绑定相同的独立域名。
- 调试域名默认只能在与实例相同VPC内的服务器上解析和访问,如果调试域名要支持公网解析与访问,请在实例上绑定公网入口弹性IP。
- 当独立域名为泛域名(例如*.aaa.com)时,用户可以通过泛域名的所有子域名(例如default.aaa.com,1.aaa.com)访问所绑定分组下的所有API。
约束与限制
- 独立域名绑定端口时,同一域名不支持绑定相同端口。
- 同一域名不同端口,无论哪个端口绑定/修改/解绑SSL证书、开启/关闭客户端认证,所有端口都会同步生效。
- 如果您通过负载通道访问后端服务,那么独立域名绑定的端口需与负载通道中后端服务器的访问端口保持一致。
- 独立域名绑定端口后,如果您通过IP地址访问API,那么需要在请求消息中添加Header参数“host”,host值必须带有对应的访问协议的端口(默认的80/443端口,host值可以不带)。
获取域名
- 云服务平台内业务系统访问API的场景,需获取内网域名作为独立域名。
- 云服务平台外业务系统访问API的场景,需获取公网域名作为独立域名。
- 申请公网域名,具体可通过域名注册商申请。
- 配置域名到API分组子域名的CNAME类型记录集配置,具体请参考增加CNAME类型记录集。
- 如果API分组中的API支持HTTPS请求协议,则需要为独立域名添加SSL证书。您需要提前获取SSL证书的内容和密钥,并创建SSL证书。
操作步骤
- 进入API网关控制台页面。
- 根据实际业务在左侧导航栏上方选择实例。
- 在左侧导航栏选择“API管理 > API分组”。
- 单击分组名称。
- 单击“分组信息”页签。
- 在“域名管理”区域,单击“绑定独立域名”,并在弹窗中配置域名信息。
表1 独立域名配置 参数
说明
域名
填写要绑定的域名。
支持最小TLS版本
选择域名访问所使用的最小TLS版本,TLS1.1或TLS1.2,推荐使用TLS1.2。
该配置仅对HTTPS生效,不影响HTTP或者其他访问方式。您可以在配置参数页面通过“ssl_ciphers”参数配置HTTPS的加密套件。
支持http to https自动重定向
是否支持HTTP到HTTPS的重定向。
仅当API的请求协议选择“HTTPS”或“HTTP&HTTPS”,且独立域名已绑定SSL证书时重定向生效。
说明:由于浏览器限制,非GET或非HEAD方法的重定向可能导致数据丢失,因此API请求方法限定为GET或HEAD。
HTTP端口
默认值“80”,HTTP协议的默认端口。您可以自定义入端口,相关操作请参考自定义入方向端口。不使用HTTP端口,选择“禁止”即可。
HTTPS端口
默认值“443”,HTTPS协议的默认端口。您可以自定义入端口,相关操作请参考自定义入方向端口。不使用HTTPS端口,选择“禁止”即可。
- 单击“确定”,将独立域名与API分组绑定。
如果不再需要此域名时,在域名所在行,单击“解绑域名”。
- (可选)如果API分组中的API支持HTTPS请求协议,则需要为独立域名绑定SSL证书。否则跳过此步骤。
- 在域名所在行单击“选择SSL证书”。
- 在选择SSL证书弹窗中勾选要绑定的SSL证书,然后单击“确定”,完成SSL证书的绑定。
- 如果选择的SSL证书上传过CA证书,可以勾选“开启客户端认证”即开启HTTPS双向认证。注意,开启/关闭客户端认证会对现有业务有影响,请谨慎操作。
- 如果证书列表中无可用的SSL证书,可单击“创建SSL证书”,新增SSL证书,具体操作配置请参考创建SSL证书。
常见问题
- 绑定域名失败常见原因:未将独立域名CNAME解析到分组的调试域名上或域名重复。
- 添加SSL证书失败常见原因:生成证书的域名和实际添加证书所用的域名不一致。
后续操作
绑定独立域名后,您可以开始创建API,将API接口配置在API网关中,开放后端能力。