Configuration d’une API API Gateway avec des intégrations privées à l’aide de la AWS CLI
Le didacticiel suivant explique comment utiliser l’AWS CLI pour créer un lien VPC et une intégration privée. Les conditions préalables suivantes sont requises :
-
Vous avez besoin d’un équilibreur Network Load Balancer créé et configuré avec votre VPC source comme cible. Pour en savoir plus, consultez Configuration d’un équilibreur Network Load Balancer pour les intégrations privées API Gateway. Il doit être situé dans le même Compte AWS que votre API. Vous avez besoin de l’ARN de votre équilibreur Network Load Balancer pour créer votre lien VPC.
-
Pour créer et gérer un
VpcLink
, vous devez disposer des autorisations pour créer unVpcLink
dans votre API. Vous n’avez pas besoin d’autorisations pour utiliser leVpcLink
. Pour en savoir plus, consultez Octroi d’autorisations pour créer un lien VPC dans API Gateway.
Pour configurer une API avec des intégrations privées à l’aide de l’AWS CLI
-
La commande create-vpc-link suivante crée un
VpcLink
ciblant l’équilibreur Network Load Balancer spécifié.aws apigateway create-vpc-link \ --name my-test-vpc-link \ --target-arns arn:aws:elasticloadbalancing:us-east-2:
123456789012
:loadbalancer/net/my-vpclink-test-nlb/1234567890abcdef
La sortie de cette commande accuse réception de la requête et indique l’état
PENDING
de la création deVpcLink
.{ "status": "PENDING", "targetArns": [ "arn:aws:elasticloadbalancing:us-east-2:123456789012:loadbalancer/net/my-vpclink-test-nlb/1234567890abcdef" ], "id": "gim7c3", "name": "my-test-vpc-link" }
La création du
VpcLink
par API Gateway prend entre 2 et 4 minutes. Lorsque l’opération se termine correctement, l’attributstatus
indiqueAVAILABLE
. Vous pouvez le vérifier en appelant la commande get-vpc-link suivante :aws apigateway get-vpc-link --vpc-link-id
gim7c3
Si l’opération échoue, vous obtenez le statut
FAILED
et un message d’erreur sousstatusMessage
. Par exemple, si vous tentez de créer unVpcLink
avec un équilibreur Network Load Balancer qui est déjà associé au point de terminaison du VPC, vous obtenez le message suivant au niveau de la propriétéstatusMessage
:"NLB is already associated with another VPC Endpoint Service"
Une fois la création du
VpcLink
réussie, vous pouvez créer une API et l’intégrer avec la ressource VPC par le biais duVpcLink
.Notez la valeur
id
duVpcLink
que vous venez de créer. Dans cet exemple de sortie, il s’agit degim7c3
. Vous en aurez besoin pour configurer l’intégration privée. -
La commande create-rest-api suivante crée une ressource API Gateway
RestApi
:aws apigateway create-rest-api --name 'My VPC Link Test'
Notez la valeur
id
deRestApi
et la valeurrootResourceId
deRestApi
dans le résultat renvoyé. Vous avez besoin de cette valeur pour effectuer d’autres opérations sur l’API.À des fins d’illustration, nous allons créer une API avec seulement une méthode
GET
sur la ressource racine (/
) et intégrer la méthode avec leVpcLink
. -
Configurez la méthode
GET /
. Utilisez la commande put-method suivante et saisissezId
commerest-api-id
etrootResourceId
commeresource-id
:aws apigateway put-method \ --rest-api-id
abcdef123
\ --resource-idskpp60rab7
\ --http-method GET \ --authorization-type "NONE"Si vous n’utilisez pas l’intégration proxy avec le
VpcLink
, vous devez également configurer au moins une réponse de méthode avec le code de statut200
. Dans le cas présent, nous allons utiliser l’intégration proxy. -
Après avoir créé la méthode
GET /
, vous devez configurer l’intégration. Pour une intégration privée, vous devez utiliser le paramètreconnection-id
pour fournir l’IDVpcLink
. Vous pouvez utiliser une variable d’étape ou saisir directement l’ID duVpcLink
. Le paramètreuri
n’est pas utilisé pour l’acheminement des demandes au point de terminaison, mais pour définir l’en-têteHost
et pour la validation de certificat.À tout moment, vous pouvez également mettre à jour l’intégration pour modifier
connection-id
. La commande update-integration suivante montre comment mettre à jour votre intégration :aws apigateway update-integration \ --rest-api-id
abcdef123
\ --resource-idskpp60rab7
\ --http-method GET \ --patch-operations '[{"op":"replace","path":"/connectionId","value":"${stageVariables.vpcLinkId}"}]'Assurez-vous d’utiliser une liste JSON obtenue à l’aide de stringify comme valeur du paramètre
patch-operations
.Comme nous avons utilisé l’intégration proxy privée, votre API peut maintenant être déployée et testée. Avec l’intégration autre que de proxy, vous devez également configurer la réponse de la méthode et la réponse de l’intégration, comme vous le feriez lorsque vous configurez une API avec des intégrations HTTP personnalisées.
-
Si vous avez utilisé la variable d’étape pour définir
connection-id
, vous devez déployer votre API pour la tester. La commande create-deployment suivante montre comment déployer votre API avec une variable d’étape :aws apigateway create-deployment \ --rest-api-id
abcdef123
\ --stage-name test \ --variables vpcLinkId=gim7c3
Pour mettre à jour la variable d’étape avec un autre ID de
VpcLink
(par exemple,
), appelez la commande update-stage :asf9d7
aws apigateway update-stage \ --rest-api-id
abcdef123
\ --stage-name test \ --patch-operations op=replace,path='/variables/vpcLinkId',value='asf9d7
'Lorsque vous codez en dur la propriété
connection-id
avec l’ID littéralVpcLink
, vous n’avez pas besoin de déployer votre API pour la tester. Utilisez la commande test-invoke-method pour tester votre API avant son déploiement. -
Utilisez la commande suivante pour appeler votre API :
curl -X GET https://
abcdef123
.execute-api.us-east-2.amazonaws.com/testVous pouvez également saisir l’URL d’invocation de votre API dans un navigateur web pour afficher le résultat.