当您使用网关创建API并映射自定义域时,AWS API Gateway在CloudFront Distribution
中提供了一个条目来源:http://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html
对于您创建的每个API,API网关都为API设置了Amazon CloudFront分发。带有默认API URL的请求通过相应的CloudFront Distribution路由。同样,对于每个自定义域名,API网关都设置了一个云偏转分布。带有自定义域名的API请求通过自定义域名的CloudFront Distribution进行路由。
但是,当AWS更新IP范围时,CloudFront IP可以更改。
作为API的用户,如何将静态IP绑定到映射到网关的自定义域,以便每当AWS更新IP范围时,我不需要更新防火墙出口设置?
无法将静态IP附加到API网关。但是,AWS发布了CloudFront使用的IP范围,该IP范围可用于白色防火墙出口设置。
由于这些IP范围也可以更改,因此建议使用此URL自动检查更改并相应地更新规则。
欢迎来到多云; - )
我正在研究这个主题,发现其他云提供商的解决方案。
-
Google GCP:https://cloud.google.com/cdn/
因此,Google CDN确实提供了一个随机IP。
-
Microsoft Azure API管理https://azure.microsoft.com/en-us/services/api-management/提供静态IP。
我认为AWS他们解决了全球加速器或NLB的静态IP问题,但问题是这两种产品都不是层7 API管理解决方案。
基本上,在这一点上,您可以解决第4层,但是对于第7层,您需要使用API网关或云前线,并且两者都不与全局加速器或NLB进行任何直接集成。
在Google解决方案中,他们的CDN仅给出了一个Anycast IP,该IP尚未在AWS CloudFront中(尽管时间问题)
我喜欢这种特殊情况下的Microsoft API管理
我发现的唯一解决方案是在客户端和API网关之间具有静态IP的东西,例如虚拟机,其唯一目标是重新路由对API Gateway的所有调用。
从字面上看,它就像弹跳请求和响应的50行,但增加了复杂性和预算要求。