说明
前提背景
已下单购买PCC产品,完成服务端开发部署至PCC机密容器内,此时需要进行端云互信联调和投产,按照如下步骤进行链路打通。
1.下单购买API网关产品
步骤1:创建私有网络
步骤2:创建/购买API网关实例;
若已经创建,则此步骤可以跳过;
若为创建,登陆火山控制台,访问API网关,完成实例创建与购买;
基本信息-网关类型选择标准网关
规格配置
- 私有网络选择前置条件中建立的私有网络,并选择相应的两个可用区下的子网
- 网络类型同时选择公网和私网
可观测性可以按需选择对接火山托管Prometheus(VMP)和日志服务(TLS)
配置完毕,点击确认订单,完成API网关产品购买;
2.联系火山PCC团队配置私网服务
- 提供已部署机密容器ID 信息给到PCC团队,获取位置如下:
- 请等待火山团队完成配置后,再执行下一步操作
3.私网连接配置
参考火山官网文档https://www.volcengine.com/docs/6980/?lang=zh
步骤1:创建终端节点
进入私有网络-私网连接-终端节点页面,点选创建终端节点
在弹出的页面中,基本信息-类型选择接口
终端节点服务-添加方式选择“选择可用服务”,并在页面右侧根据前置条件中已知的终端节点服务名称或ID筛选和选择终端节点服务
网络配置-私有网络选择前置条件中建立的私有网络,并选择相应的可用区下的子网
网络配置-安全组需要配置新的访问规则,放通最终访问机密容器服务所需的端口范围
需要配置的访问规则示例:
- 对源地址为私有网络所在IP段172.16.0.0/24,允许入方向TCP协议访问端口范围8080, 8086-8080,优先级设为1(最高优先级)
访问规则具体说明参考安全组概述--私有网络-火山引擎
如果需要新建安全组,参考创建安全组--私有网络-火山引擎
如果需要修改已有安全组的访问规则,参考管理安全组规则--私有网络-火山引擎
将配置好的安全组绑定到终端节点
配置完毕,点击立即购买
步骤2:记录终端节点IP
回到终端节点控制台,点击上一步创建的终端节点
点击可用区与网卡页签,记录终端节点的IP地址
4.API网关配置
参考API网关产品文档新手指引--API 网关-火山引擎中的使用流程
步骤1:创建服务
在实例管理页面,点击已经创建的实例
在实例详情页面,选择资源信息页签,点击创建服务,在右侧弹出页面中填写服务名称,点击确定
步骤2:创建路由
回到实例管理-资源信息,点击上一步创建的服务
在跳转后的服务概览页面,点击创建路由
在弹出的页面中填写创建路由所需的基本信息,详情参见创建路由--API 网关-火山引擎,默认可以只填路由名称
Upstream流量分发
- 后端类型选择固定IP,权重填写>0的任何数字,使得流量100%分布到此Upstream
- 在选择Upstream点开下拉框,点击创建Upstream跳转,参考下一节创建Upstream
高级配置:参考路由策略--API 网关-火山引擎,若无需要可忽略
配置完毕,点击确定
步骤3:创建Upstream
- 在创建Upstream页面,后端配置-后端服务下拉选择固定IP,IP填写Privatelink终端节点的IP地址,端口填写机密容器服务开放的端口
步骤4:域名配置(可选)
在服务详情页,选择域名管理页签
- 在访问方式一栏,默认展示火山提供的默认公网、私网域名
- 点击自定义域名-绑定域名,可在服务中绑定自定义域名
步骤5:配置验证
通过以下方式查看上述步骤创建服务的域名:
- 上一节域名配置中的访问方式
- 路由管理-服务列表(域名)页面中,服务列表表格的域名一栏
- 服务详情页面中,服务概览-基本信息-访问域名
假设机密容器服务开放8080端口,接口Path为/ping,在可访问公网的环境下,通过尝试请求{API网关公网域名}/ping访问机密容器服务是否可达,判断终端节点配置是否正确
- HTTP协议默认公网域名端口为80,HTTPS协议默认公网域名端口为443,无需在访问时显式指定端口