如何将 API 网关与内部 ALB 集成
How to integrate API Gateway with internal ALB
根据 https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-develop-integrations-private.html,可以使用私有 VPC link.
将 API 网关与内部应用程序负载均衡器集成
但是我无法让它工作。
我有一个可通过 ALB 在内部访问的服务。 ALB 没有 public IP,它平衡 AWS Fargate 集群中的请求(全部在私有子网内)。
ubuntu@ip-10-0-40-89:~$ curl http://internal-sasw-alb-355535611.eu-west-1.elb.amazonaws.com/health
Assembly=Sasw.SampleService, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null, Environment=Production, CurrentTime=05/05/2021 08:36:00
所以内部一切都很好,我的服务可用于 GET http://alb_url/health
我想访问相同的服务,只不过这次是通过 API 网关。所以我做了以下事情:
- 我创建了一个 HTTP API 类型的 VPC link
foo 关联到 VPC,特别是关联到 EC2 实例(Fargate 集群)的 3 个私有子网 10.0.40.0/24、10.0.50.0/24、10.0.60.0/24
- 我创建了一个 API HTTP 类型的网关 API
foo。
- 我为方法 ANY 和 URL 端点
http://internal-rubiko-alb-355535611.eu-west-1.elb.amazonaws.com 添加了一个集成 HTTP(我也尝试过 http://internal-rubiko-alb-355535611.eu-west-1.elb.amazonaws.com/{proxy} 和 http://internal-rubiko-alb-355535611.eu-west-1.elb.amazonaws.com/{proxy+} 但没有成功)
- 我按照建议的方法保留路由,资源路径
/%7Bproxy%7D 和集成目标 ANY http://internal-rubiko-alb-355535611.eu-west-1.elb.amazonaws.com/{proxy}
- 我留下舞台名称
$default和自动部署
- 创建。它给了我调用 url
https://7ki6gvrngl.execute-api.eu-west-1.amazonaws.com
https://7ki6gvrngl.execute-api.eu-west-1.amazonaws.com 上的 GET 得到 404。
https://7ki6gvrngl.execute-api.eu-west-1.amazonaws.com/health 上的 GET 得到 404
https://7ki6gvrngl.execute-api.eu-west-1.amazonaws.com/$default/health 上的 GET 得到 404
我做错了什么?
这是路由问题吗? 我的安全组接受来自任何地方的任何协议。我的 NACL 也是如此。 public 个子网的路由 table 是
Destination Target Status Propagated
10.0.0.0/16 local active No
0.0.0.0/0 igw-08d3973e93dd580cc active No
对于私人
Destination Target Status Propagated
10.0.0.0/16 local active No
0.0.0.0/0 nat-040aa996d0fb1a623 active No
感谢您的帮助。
更新 1 (2021-05-05)
我一直在 VPC 上设置流日志,涉及所有网络接口的大量跟踪,但我在那里找不到任何有意义的东西。
它们看起来像这样:
2 754027052283 eni-06b3871889a039d54 10.0.50.60 10.0.30.69 47472 80 6 5 399 1620233998 1620233999 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 10.0.30.69 10.0.50.60 80 47472 6 5 582 1620233998 1620233999 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 172.245.79.11 10.0.30.69 25610 23 6 1 40 1620233998 1620233999 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 10.0.30.69 172.245.79.11 23 25610 6 1 40 1620233998 1620233999 ACCEPT OK
2 754027052283 eni-0ec2ff9b148264fc1 - - - - - - - 1620233999 1620234010 - NODATA
2 754027052283 eni-0c2d904cc281e7772 185.153.199.146 10.0.10.108 58226 10089 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 92.63.197.95 10.0.10.108 55424 8820 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 147.203.255.20 10.0.10.108 59414 161 17 1 71 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 107.174.25.146 10.0.10.108 1406 23 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 45.146.164.93 10.0.10.108 52329 3835 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 192.241.159.103 10.0.10.108 38868 8088 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 162.142.125.145 10.0.10.108 43260 49501 6 1 44 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 104.206.128.38 10.0.10.108 57766 5985 6 1 44 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 198.98.54.148 10.0.10.108 54300 8443 6 1 44 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 162.142.125.146 10.0.10.108 33318 15006 6 1 44 1620234001 1620234061 REJECT OK
2 754027052283 eni-02884e94ae95359e6 10.0.60.101 10.0.30.69 37440 80 6 5 399 1620234003 1620234005 ACCEPT OK
2 754027052283 eni-02884e94ae95359e6 10.0.30.69 10.0.60.101 80 37440 6 5 582 1620234003 1620234005 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.50.218 10.0.40.89 57566 1113 6 66 4862 1620234008 1620234127 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.60.197 1113 38912 6 122 7664 1620234008 1620234127 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.50.218 1113 57566 6 131 8230 1620234008 1620234127 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.60.197 10.0.40.89 38912 1113 6 62 4544 1620234008 1620234127 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.50.218 52812 2113 6 271 70540 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.60.197 2113 34170 6 161 41607 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.60.197 10.0.40.89 2113 42962 6 158 44927 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.50.218 2113 49902 6 165 43038 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.50.218 10.0.40.89 2113 52812 6 163 43127 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.60.197 10.0.40.89 34170 2113 6 263 68432 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.60.197 42962 2113 6 281 73877 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.50.218 10.0.40.89 49902 2113 6 270 70422 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 10.0.30.69 10.0.50.60 80 47482 6 5 582 1620234010 1620234011 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 10.0.50.60 10.0.30.69 47482 80 6 5 399 1620234010 1620234011 ACCEPT OK
2 754027052283 eni-0ae20fdd844224248 - - - - - - - 1620234012 1620234033 - NODATA
2 754027052283 eni-0ae20fdd844224248 - - - - - - - 1620234013 1620234026 - NODATA
2 754027052283 eni-030c3f3c47db36cb1 216.218.206.88 10.0.10.175 39712 30005 6 1 40 1620234014 1620234015 ACCEPT OK
2 754027052283 eni-030c3f3c47db36cb1 193.107.216.163 10.0.10.175 5065 5060 17 1 451 1620234015 1620234016 ACCEPT OK
2 754027052283 eni-0795bf1958db33aa7 - - - - - - - 1620234015 1620234032 - NODATA
2 754027052283 eni-0ae20fdd844224248 - - - - - - - 1620234016 1620234033 - NODATA
2 754027052283 eni-0ec2ff9b148264fc1 - - - - - - - 1620234017 1620234031 - NODATA
我什至不知道如何解释这些。
我尝试使用 cloudformation 生成私有 link、API 网关和私有 ALB。也没有运气。通过 Api 网关
访问服务 urls 时,我总是找不到
AWSTemplateFormatVersion: 2010-09-09
Description: API Gateway
Parameters:
prefix:
Type: String
Description: The prefix namespace or company name
Default: sasw
Resources:
apiGateway:
Type: AWS::ApiGatewayV2::Api
Properties:
Name: !Sub ${prefix}-api-gateway
Description: Api Gateway for http
ProtocolType: HTTP
apiRoute:
Type: AWS::ApiGatewayV2::Route
Properties:
ApiId: !Ref apiGateway
RouteKey: ANY /
Target: !Join
- /
- - integrations
- !Ref apiAlbIntegration
privateLink:
Type: AWS::ApiGatewayV2::VpcLink
Properties:
Name: !Sub ${prefix}-private-link
SecurityGroupIds:
- Fn::ImportValue: !Sub ${prefix}-web-sg-id
SubnetIds:
- Fn::ImportValue: !Sub ${prefix}-private-a-id
- Fn::ImportValue: !Sub ${prefix}-private-b-id
- Fn::ImportValue: !Sub ${prefix}-private-c-id
apiAlbIntegration:
Type: AWS::ApiGatewayV2::Integration
Properties:
ApiId: !Ref apiGateway
Description: Private ALB integration
IntegrationType: HTTP_PROXY
IntegrationMethod: ANY
ConnectionType: VPC_LINK
ConnectionId: !Ref privateLink
IntegrationUri:
Fn::ImportValue: !Sub ${prefix}-alb-http-listener-id
PayloadFormatVersion: 1.0
apiStage:
Type: AWS::ApiGatewayV2::Stage
Properties:
StageName: $default
AutoDeploy: true
ApiId: !Ref apiGateway
Outputs:
apiUrl:
Description: Invoke URL
Value: !Sub https://${apiGateway}.execute-api.${AWS::Region}.amazonaws.com/
运行 没有想法。
更新 2 (2021-05-06)
我在这篇文章中发现了金子https://medium.com/swlh/aws-api-gateway-private-integration-with-http-api-and-a-vpc-link-602360a1cd84
如果我创建一个路由 /health 并与我的私有 ALB 进行私有集成,我就可以做一个示例工作。一旦我找到一种方法来拥有将任何 url/verb 转发到 ALB 的通配符路由,我将回答我自己的问题。
我成功了。 绝对可以使用 API 网关 http 与私有(即:面向内部)ALB 集成,平衡私有子网中的流量。
我遇到的问题是,当我通过控制台在 API 网关中创建 API 时,有一个添加集成的选项,但此时的集成只允许 HTTP 或 Lambda ,我不想这样,我想要使用我预先创建的 VPC link 进行私有集成。
步骤如下:
- 创建(如果不存在)允许 80 上的 HTTP 流量的安全组。该组稍后将关联到 VPC link
- 创建与 VPC 相关联的 VPC link,并且明确地与 EC2services 或 fargate 集群所在的私有子网相关联。确保您 select 允许 HTTP 流量的安全组
- 在 Apu 网关中创建 HTTP API。第一步给它起个名字,但暂时不要创建集成。跳过那个。也跳过路线创建。选择阶段名称或保留
$default(我使用 $default 并自动部署)。
- 创建路线。如果您想接受任何内容,请选择
ANY 和路径 /{proxy+}.
- 最后,在该路线上,附加一个集成。这次您会看到有一个选择 私有资源 的选项,您可以在其中显式 select 私有 ALB 及其 http 侦听器和 VPC link之前创建。
就是这样。对 Api 网关的 Http 请求将被定向到面向内部的私有 ALB。
根据 https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-develop-integrations-private.html,可以使用私有 VPC link.
将 API 网关与内部应用程序负载均衡器集成但是我无法让它工作。
我有一个可通过 ALB 在内部访问的服务。 ALB 没有 public IP,它平衡 AWS Fargate 集群中的请求(全部在私有子网内)。
ubuntu@ip-10-0-40-89:~$ curl http://internal-sasw-alb-355535611.eu-west-1.elb.amazonaws.com/health
Assembly=Sasw.SampleService, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null, Environment=Production, CurrentTime=05/05/2021 08:36:00
所以内部一切都很好,我的服务可用于 GET http://alb_url/health
我想访问相同的服务,只不过这次是通过 API 网关。所以我做了以下事情:
- 我创建了一个 HTTP API 类型的 VPC link
foo关联到 VPC,特别是关联到 EC2 实例(Fargate 集群)的 3 个私有子网10.0.40.0/24、10.0.50.0/24、10.0.60.0/24 - 我创建了一个 API HTTP 类型的网关 API
foo。 - 我为方法 ANY 和 URL 端点
http://internal-rubiko-alb-355535611.eu-west-1.elb.amazonaws.com添加了一个集成 HTTP(我也尝试过http://internal-rubiko-alb-355535611.eu-west-1.elb.amazonaws.com/{proxy}和http://internal-rubiko-alb-355535611.eu-west-1.elb.amazonaws.com/{proxy+}但没有成功) - 我按照建议的方法保留路由,资源路径
/%7Bproxy%7D和集成目标ANY http://internal-rubiko-alb-355535611.eu-west-1.elb.amazonaws.com/{proxy} - 我留下舞台名称
$default和自动部署 - 创建。它给了我调用 url
https://7ki6gvrngl.execute-api.eu-west-1.amazonaws.com
https://7ki6gvrngl.execute-api.eu-west-1.amazonaws.com 上的 GET 得到 404。
https://7ki6gvrngl.execute-api.eu-west-1.amazonaws.com/health 上的 GET 得到 404
https://7ki6gvrngl.execute-api.eu-west-1.amazonaws.com/$default/health 上的 GET 得到 404
我做错了什么? 这是路由问题吗? 我的安全组接受来自任何地方的任何协议。我的 NACL 也是如此。 public 个子网的路由 table 是
Destination Target Status Propagated
10.0.0.0/16 local active No
0.0.0.0/0 igw-08d3973e93dd580cc active No
对于私人
Destination Target Status Propagated
10.0.0.0/16 local active No
0.0.0.0/0 nat-040aa996d0fb1a623 active No
感谢您的帮助。
更新 1 (2021-05-05) 我一直在 VPC 上设置流日志,涉及所有网络接口的大量跟踪,但我在那里找不到任何有意义的东西。 它们看起来像这样:
2 754027052283 eni-06b3871889a039d54 10.0.50.60 10.0.30.69 47472 80 6 5 399 1620233998 1620233999 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 10.0.30.69 10.0.50.60 80 47472 6 5 582 1620233998 1620233999 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 172.245.79.11 10.0.30.69 25610 23 6 1 40 1620233998 1620233999 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 10.0.30.69 172.245.79.11 23 25610 6 1 40 1620233998 1620233999 ACCEPT OK
2 754027052283 eni-0ec2ff9b148264fc1 - - - - - - - 1620233999 1620234010 - NODATA
2 754027052283 eni-0c2d904cc281e7772 185.153.199.146 10.0.10.108 58226 10089 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 92.63.197.95 10.0.10.108 55424 8820 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 147.203.255.20 10.0.10.108 59414 161 17 1 71 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 107.174.25.146 10.0.10.108 1406 23 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 45.146.164.93 10.0.10.108 52329 3835 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 192.241.159.103 10.0.10.108 38868 8088 6 1 40 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 162.142.125.145 10.0.10.108 43260 49501 6 1 44 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 104.206.128.38 10.0.10.108 57766 5985 6 1 44 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 198.98.54.148 10.0.10.108 54300 8443 6 1 44 1620234001 1620234061 REJECT OK
2 754027052283 eni-0c2d904cc281e7772 162.142.125.146 10.0.10.108 33318 15006 6 1 44 1620234001 1620234061 REJECT OK
2 754027052283 eni-02884e94ae95359e6 10.0.60.101 10.0.30.69 37440 80 6 5 399 1620234003 1620234005 ACCEPT OK
2 754027052283 eni-02884e94ae95359e6 10.0.30.69 10.0.60.101 80 37440 6 5 582 1620234003 1620234005 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.50.218 10.0.40.89 57566 1113 6 66 4862 1620234008 1620234127 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.60.197 1113 38912 6 122 7664 1620234008 1620234127 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.50.218 1113 57566 6 131 8230 1620234008 1620234127 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.60.197 10.0.40.89 38912 1113 6 62 4544 1620234008 1620234127 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.50.218 52812 2113 6 271 70540 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.60.197 2113 34170 6 161 41607 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.60.197 10.0.40.89 2113 42962 6 158 44927 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.50.218 2113 49902 6 165 43038 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.50.218 10.0.40.89 2113 52812 6 163 43127 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.60.197 10.0.40.89 34170 2113 6 263 68432 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.40.89 10.0.60.197 42962 2113 6 281 73877 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-05b8087c636058aad 10.0.50.218 10.0.40.89 49902 2113 6 270 70422 1620234008 1620234307 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 10.0.30.69 10.0.50.60 80 47482 6 5 582 1620234010 1620234011 ACCEPT OK
2 754027052283 eni-06b3871889a039d54 10.0.50.60 10.0.30.69 47482 80 6 5 399 1620234010 1620234011 ACCEPT OK
2 754027052283 eni-0ae20fdd844224248 - - - - - - - 1620234012 1620234033 - NODATA
2 754027052283 eni-0ae20fdd844224248 - - - - - - - 1620234013 1620234026 - NODATA
2 754027052283 eni-030c3f3c47db36cb1 216.218.206.88 10.0.10.175 39712 30005 6 1 40 1620234014 1620234015 ACCEPT OK
2 754027052283 eni-030c3f3c47db36cb1 193.107.216.163 10.0.10.175 5065 5060 17 1 451 1620234015 1620234016 ACCEPT OK
2 754027052283 eni-0795bf1958db33aa7 - - - - - - - 1620234015 1620234032 - NODATA
2 754027052283 eni-0ae20fdd844224248 - - - - - - - 1620234016 1620234033 - NODATA
2 754027052283 eni-0ec2ff9b148264fc1 - - - - - - - 1620234017 1620234031 - NODATA
我什至不知道如何解释这些。
我尝试使用 cloudformation 生成私有 link、API 网关和私有 ALB。也没有运气。通过 Api 网关
访问服务 urls 时,我总是找不到AWSTemplateFormatVersion: 2010-09-09
Description: API Gateway
Parameters:
prefix:
Type: String
Description: The prefix namespace or company name
Default: sasw
Resources:
apiGateway:
Type: AWS::ApiGatewayV2::Api
Properties:
Name: !Sub ${prefix}-api-gateway
Description: Api Gateway for http
ProtocolType: HTTP
apiRoute:
Type: AWS::ApiGatewayV2::Route
Properties:
ApiId: !Ref apiGateway
RouteKey: ANY /
Target: !Join
- /
- - integrations
- !Ref apiAlbIntegration
privateLink:
Type: AWS::ApiGatewayV2::VpcLink
Properties:
Name: !Sub ${prefix}-private-link
SecurityGroupIds:
- Fn::ImportValue: !Sub ${prefix}-web-sg-id
SubnetIds:
- Fn::ImportValue: !Sub ${prefix}-private-a-id
- Fn::ImportValue: !Sub ${prefix}-private-b-id
- Fn::ImportValue: !Sub ${prefix}-private-c-id
apiAlbIntegration:
Type: AWS::ApiGatewayV2::Integration
Properties:
ApiId: !Ref apiGateway
Description: Private ALB integration
IntegrationType: HTTP_PROXY
IntegrationMethod: ANY
ConnectionType: VPC_LINK
ConnectionId: !Ref privateLink
IntegrationUri:
Fn::ImportValue: !Sub ${prefix}-alb-http-listener-id
PayloadFormatVersion: 1.0
apiStage:
Type: AWS::ApiGatewayV2::Stage
Properties:
StageName: $default
AutoDeploy: true
ApiId: !Ref apiGateway
Outputs:
apiUrl:
Description: Invoke URL
Value: !Sub https://${apiGateway}.execute-api.${AWS::Region}.amazonaws.com/
运行 没有想法。
更新 2 (2021-05-06) 我在这篇文章中发现了金子https://medium.com/swlh/aws-api-gateway-private-integration-with-http-api-and-a-vpc-link-602360a1cd84
如果我创建一个路由 /health 并与我的私有 ALB 进行私有集成,我就可以做一个示例工作。一旦我找到一种方法来拥有将任何 url/verb 转发到 ALB 的通配符路由,我将回答我自己的问题。
我成功了。 绝对可以使用 API 网关 http 与私有(即:面向内部)ALB 集成,平衡私有子网中的流量。
我遇到的问题是,当我通过控制台在 API 网关中创建 API 时,有一个添加集成的选项,但此时的集成只允许 HTTP 或 Lambda ,我不想这样,我想要使用我预先创建的 VPC link 进行私有集成。
步骤如下:
- 创建(如果不存在)允许 80 上的 HTTP 流量的安全组。该组稍后将关联到 VPC link
- 创建与 VPC 相关联的 VPC link,并且明确地与 EC2services 或 fargate 集群所在的私有子网相关联。确保您 select 允许 HTTP 流量的安全组
- 在 Apu 网关中创建 HTTP API。第一步给它起个名字,但暂时不要创建集成。跳过那个。也跳过路线创建。选择阶段名称或保留
$default(我使用$default并自动部署)。 - 创建路线。如果您想接受任何内容,请选择
ANY和路径/{proxy+}. - 最后,在该路线上,附加一个集成。这次您会看到有一个选择 私有资源 的选项,您可以在其中显式 select 私有 ALB 及其 http 侦听器和 VPC link之前创建。
就是这样。对 Api 网关的 Http 请求将被定向到面向内部的私有 ALB。