私有 API 在企业场景中的应用之跨环境访问
原文约12900字,阅读约需31分钟。发表于:。在企业实际使用中会延伸出更多复杂场景,不仅有多账号,并且隶属于不同应用团队。从当前 VPC 中的 API Gateway Endpoint 可以访问私有的 API (如果 API 端的资源策略已允许),但是配置分散且无法统一管理,增加了额外的管理负担。因此从安全角度出发,为了方便统一控制、集中审计和一致的合规性保证,建议使用 Ingress VPC 中的 API Gateway Endpoint 作为统一入口。并且在该账号下统一配置 Route53 服务作为内网域名解析。
企业用户常采用多账号设计,使用VPC分割环境,使用共享服务账号和AWS网络组件实现环境互通。在云原生改造中,客户使用Amazon API Gateway替换第三方API网关服务。建议在非生产账号下使用Ingress VPC中的API Gateway Endpoint作为统一入口,并配置Route53服务作为内网域名解析。私有API绑定内部域名访问时,需添加负载均衡器进行证书卸载。实验中,合并共享服务账号和非生产账号为单一账号,并通过域名访问私有API。通配符域名访问私有API,示例基于路径转发到不同API。
