一文了解用户访问与接口访问的隔离策略

苍穹默认的用户访问入口和接口访问入口是同一个地址，或者是由同一个nginx转发到后端web服务。有些客户可能考虑到安全性问题，或者接口访问太频繁影响用户访问等原因，想要将接口访问与用户访问进行隔离。

那么如何实现用户访问与接口访问的隔离呢？本文将给出答案。

功能简介

实现用户访问和接口访问的隔离，需要进行多个代理配置，后端也需要有不同的web（gateway）服务。

整体方案：配置两套nginx服务和web服务，然后结合不同的访问域名，代理用户访问和接口访问。

部署配置

第一步：复制一套web容器服务，如 web-api 服务。

主要修改参数：

（1）环境变量：appName=web-api，在monitor注册中心用以区分服务名。

（2）外部访问（service）：web-api需要暴露给nginx(api)访问。

第二步：独立再部署一套nginx(api) 服务，拷贝原nginx配置。

主要修改参数：

（1）修改upstream.conf中转发的服务端口为web-api的暴露端口，如上图的30005端口。

upstream next-ierp {  server xxx.xxx.xxx.xxx:3002;}

nginx(api) upstream.conf 配置：

location ~ (\.(do|jsp)$)|(/ierp/(kapi|nocode|kdctlres|attachment|excelpreview|monitor)/)|(/ierp/?$)|(/(index\.html|mobile\.html|login\.html|login-mobile\.html)$)|(/kws$)|(/portal$)|(/cbs){proxy_pass next-ierp;...}

location