AWS API Gateway для внутренней веб-службы (API, который не является общедоступным)

Question

Я настроил экземпляр Amazon API Gateway с фиктивным бэкэндом, и он отлично работает.

Я также настроил RESTful API и развернул его на AMAZON EC2.Я могу получить к нему публичный доступ с помощью Почтальона.

То, что я хотел бы сейчас сделать, это прокси-вызов всех вызовов через шлюз API.Затем заблокируйте публичный доступ к экземпляру EC2.

Проблема в том, что я действительно изо всех сил пытаюсь найти четкую документацию о том, как это делается - что заставляет меня думать, что я могу делать что-то неправильноархитектурно говоря.

Мой экземпляр EC2 дает мне публичный DNS-адрес и частный.Я попытался настроить шлюз API, чтобы он указывал на частный адрес через HTTP, но URL-адрес не проверяется в шлюзе AWS - и не смогу сохранить.

Если кто-то может объяснить мне простым языком, как это должен работать на высоком уровне и, возможно, указывать на документацию, это было бы абсолютным золотом.

Answer 1

Это то, что API-шлюз называет частной интеграцией .

API-шлюз сам по себе не находится внутри вашего VPC, поэтому в решении используется балансировщик сетевой нагрузки и VPC PrivateLink., чтобы разрешить API-шлюзу доступ к вашим личным ресурсам.

С документацией и настройкой можно ознакомиться здесь:

https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html

Не путайте частные интеграции с частные конечные точки , которые допускают обратное - с частными конечными точками ресурсы в вашем VPC могут получить доступ к API, развернутому в API-шлюзе, не открывая саму конечную точку API-шлюза для Интернета.