Amazon web services 具有静态IP的AWS API网关

使用网关创建API并映射自定义域时， AWS API网关在cloudfront发行版中创建了一个条目

资料来源：

对于您创建的每个API，API网关都为该API设置一个Amazon CloudFront发行版。具有默认API URL的请求通过相应的CloudFront分发路由。类似地，对于每个自定义域名，API网关都会设置一个CloudFront发行版。具有自定义域名的API请求通过自定义域名的CloudFront分发路由

但是，当AWS更新时，cloudfront IPs可能会更改

---

作为API的用户，如何将静态IP绑定到映射到网关的自定义域，以便在AWS更新IP范围时不必更新防火墙出口设置

无法将静态IP连接到API网关。但是，AWS发布了可用于白名单防火墙出口设置的

---

由于这些IP范围也可以更改，因此建议使用URL自动检查更改并相应地更新规则。

我发现的唯一解决方案是在客户端和api网关之间使用静态IP，例如虚拟机，其唯一目标是将所有调用重新路由到api网关

从字面上看，这就像是50行用于跳转请求和响应的代码，但它增加了复杂性和预算要求。

欢迎使用multi-cloud；-）

我在研究这个话题时发现，其他云提供商也提供了解决方案

谷歌GCP：

所以谷歌CDN默认提供一个选播IP

Microsoft Azure API管理 请提供静态IP

在我看来，对于AWS来说，他们用global accelerator或NLB解决了静态IP问题，但问题是这两种产品都不是layers 7 API管理解决方案

因此，基本上在这一点上，您可以解决第4层，但对于第7层，您需要使用api网关或云前端，两者都没有与global accelerator或NLB直接集成

在谷歌解决方案中，至少他们的CDN只提供一个选播IP，这在AWS cloudfront中还没有（尽管时间问题）

---

我喜欢Microsoft API管理，因为它可以在一个解决方案中实现静态ip+API管理。

这是一种通过获取所有云前端ip范围（json中有42个条目，范围很大）来更改防火墙设置的烦人方法。但我明白，这是我现在看到的唯一选择。除了对防火墙进行更改之外，还有其他选择吗？将CloudFlare放在API-G的CNAME前面是一种选择吗？我不熟悉CloudFlare。如果它支持代理到HTTPS端点和头白名单两者，我猜它应该与APG一起工作。是的，它确实支持代理到HTTPS。我们正在使用它在APIG上实现静态ip，它工作得相当好（不明显的开销）。只是一个观察-一旦部署，谷歌云功能HTTP触发器似乎会获得一个静态ip（不会根据访问位置或后续重新部署而改变）。。。事实上，一个给定GCP项目中的所有函数都指向同一个静态IP。有人尝试过吗