Amazon web services 具有静态IP的AWS API网关
使用网关创建API并映射自定义域时, AWS API网关在cloudfront发行版中创建了一个条目 资料来源: 对于您创建的每个API,API网关都为该API设置一个Amazon CloudFront发行版。具有默认API URL的请求通过相应的CloudFront分发路由。类似地,对于每个自定义域名,API网关都会设置一个CloudFront发行版。具有自定义域名的API请求通过自定义域名的CloudFront分发路由 但是,当AWS更新时,cloudfront IPs可能会更改Amazon web services 具有静态IP的AWS API网关,amazon-web-services,amazon-cloudfront,aws-api-gateway,Amazon Web Services,Amazon Cloudfront,Aws Api Gateway,使用网关创建API并映射自定义域时, AWS API网关在cloudfront发行版中创建了一个条目 资料来源: 对于您创建的每个API,API网关都为该API设置一个Amazon CloudFront发行版。具有默认API URL的请求通过相应的CloudFront分发路由。类似地,对于每个自定义域名,API网关都会设置一个CloudFront发行版。具有自定义域名的API请求通过自定义域名的CloudFront分发路由 但是,当AWS更新时,cloudfront IPs可能会更改 作为API
作为API的用户,如何将静态IP绑定到映射到网关的自定义域,以便在AWS更新IP范围时不必更新防火墙出口设置 无法将静态IP连接到API网关。但是,AWS发布了可用于白名单防火墙出口设置的
由于这些IP范围也可以更改,因此建议使用URL自动检查更改并相应地更新规则。我发现的唯一解决方案是在客户端和api网关之间使用静态IP,例如虚拟机,其唯一目标是将所有调用重新路由到api网关 从字面上看,这就像是50行用于跳转请求和响应的代码,但它增加了复杂性和预算要求。欢迎使用multi-cloud;-) 我在研究这个话题时发现,其他云提供商也提供了解决方案
我喜欢Microsoft API管理,因为它可以在一个解决方案中实现静态ip+API管理。这是一种通过获取所有云前端ip范围(json中有42个条目,范围很大)来更改防火墙设置的烦人方法。但我明白,这是我现在看到的唯一选择。除了对防火墙进行更改之外,还有其他选择吗?将CloudFlare放在API-G的CNAME前面是一种选择吗?我不熟悉CloudFlare。如果它支持代理到HTTPS端点和头白名单两者,我猜它应该与APG一起工作。是的,它确实支持代理到HTTPS。我们正在使用它在APIG上实现静态ip,它工作得相当好(不明显的开销)。只是一个观察-一旦部署,谷歌云功能HTTP触发器似乎会获得一个静态ip(不会根据访问位置或后续重新部署而改变)。。。事实上,一个给定GCP项目中的所有函数都指向同一个静态IP。有人尝试过吗