AWS API网关专用API自定义域名

Question

AWS文件上说，

私有API不支持自定义域名。

来源：https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html

这到底是什么意思？我能够附加一个自定义的域名到私有API。

但是，我面临SSL证书的问题。

Answer 1

API网关有4个选项：

• HTTP API
• WebSockets API
• REST API
• REST专用

REST私有与REST相同，只是它只能从VPC中访问。要从VPC中访问REST，需要一个接口VPC端点。如果不使用接口VPC端点，则可以通过NAT访问API网关上的REST，NAT通过internet网关或仅通过internet网关。无论是哪种情况，这都是互联网上的公共REST API。

当使用VPC接口端点时，AWS生成自定义域名。此域名在VPC中用于定位端点并重定向到REST。因此，此时不能指定您自己的自定义域名。您可以为面向公共的REST指定自定义域名。

因为不能指定自己的自定义域名，所以不能使用自己的自定义证书。

因为VPC接口端点在内部称为API，所以使用了TLS 1.2是。这种情况也不能改变。。

如果您想使用您自己的证书，那么您需要定义您自己的域名，并使用API网关中定义的面向公共的REST。

或者，您可以使用VPC内部的自定义域名，为此域名生成证书。将证书放在像NGINX这样的代理服务器上，使用代理在接口端点前面。接口端点使用弹性网络接口 (ENI)，因此有一个安全小组，可以使用Security限制来自代理的通信量。在这种情况下，证书将驻留在代理上，而TLS将终止在代理服务器上。然后，代理服务器将通过一个新连接访问REST。