Function Computeに環境変数を設定するためにはtemplate.ymlにEnvironmentVariablesセクションを追加します。

例えば、NODE_ENV=productionを追加したいときはtemplate.ymlに以下を追加します。

EnvironmentVariables:
  NODE_ENV: production

以下はtemplate.ymlの全文です。

# template.yml
ROSTemplateFormatVersion: '2015-09-01'
Transform: 'Aliyun::Serverless-2018-04-03'
Resources:
  MyServicei: # service name
    Type: 'Aliyun::Serverless::Service'
    Properties:
      Description: 'fc for auto testing'
    graphql: # function name
      Type: 'Aliyun::Serverless::Function'
      Properties:
        Handler: index.handler
        Runtime: nodejs8
        CodeUri: './'
        Timeout: 60
        EnvironmentVariables:
          NODE_ENV: production

  MyFunctionGroup: # group name
    Type: 'Aliyun::Serverless::Api'
    Properties:
      StageName: RELEASE
      DefinitionBody:
        '/':
          post:
            x-aliyun-apigateway-api-name: myapi
            x-aliyun-apigateway-request-config:
              requestProtocol: 'https'
            x-aliyun-apigateway-fc:
              arn: acs:fc:::services/${MyService.Arn}/functions/${graphql.Arn}/

公式のサンプル(github.com/aliyun/fun)が参考になります。

独自ドメインを設定したAPI GatewayのエンドポイントをHTTPS対応させます。なお、Function Computeをバックグラウンドで動かしています。

基本は以下の公式ドキュメントを参考にしました。

jp.alibabacloud.com

SSL証明書の取得

私はさくらのRapidSSLで取得しました。SSL証明書買ったの久々です。

CSR作成なんかは完全に忘れていましたので以下を参考にしました。

qiita.com

サーバー認証

API Gatewayでちょっと苦労するのがサーバー認証キーのアップロードです。

普通のサーバーのようにファイルをアップロードすることはできないので、API Gatewayのエンドポイントを/.well-known/pki-validation/fileauth.txtと設定してGETで認証キーを返すようにします。

webコンソール画面からだとAPI Gatewayのエンドポイントに/.well-known/pki-validation/fileauth.txtを設定することができなかった(多分ドットがバリデーションエラーになる)ので、template.ymlを使ってデプロイします。

ROSTemplateFormatVersion: '2015-09-01'
Transform: 'Aliyun::Serverless-2018-04-03'
Resources:
  MyService: # service name
    Type: 'Aliyun::Serverless::Service'
    Properties:
      Description: 'my fc'
    myfunction: # function name
      Type: 'Aliyun::Serverless::Function'
      Properties:
        Handler: index.handler
        Runtime: nodejs8
        CodeUri: './'
        Timeout: 60

  MyFunctionGroup: # group name
    Type: 'Aliyun::Serverless::Api'
    Properties:
      StageName: RELEASE
      DefinitionBody:
        '/.well-known/pki-validation/fileauth.txt':
          get:
            x-aliyun-apigateway-api-name: myfunction
            x-aliyun-apigateway-fc:
              arn: acs:fc:::services/${MyService.Arn}/functions/${myfunction.Arn}/

index.jsはこちらです。

module.exports.handler = (event, context, callback) => {
  callback(null, { statusCode: 200, body: 'YOUR KEY IN fileauth.txt' });
};

API GatewayのFunction GroupにSSL証明書を追加する

画面をポチポチしてSSL証明書を追加します。

Function GroupからSSL証明書を追加します。

秘密鍵はパスワードを削除する必要があります。

HTTPSで通信できるようにする

次にAPI GatewayがHTTPSを受け取るように変更します。template.ymlで設定を定義している人は画面からでは変更できません。template.ymlを変更しましょう。

template.ymlに以下を追加します。

            x-aliyun-apigateway-request-config:
              requestProtocol: 'https'

以下はtemplate.ymlの全体です。

ROSTemplateFormatVersion: '2015-09-01'
Transform: 'Aliyun::Serverless-2018-04-03'
Resources:
  MyService: # service name
    Type: 'Aliyun::Serverless::Service'
    Properties:
      Description: 'my fc'
    myfunction: # function name
      Type: 'Aliyun::Serverless::Function'
      Properties:
        Handler: index.handler
        Runtime: nodejs8
        CodeUri: './'
        Timeout: 60

  MyFunctionGroup: # group name
    Type: 'Aliyun::Serverless::Api'
    Properties:
      StageName: RELEASE
      DefinitionBody:
        '/':
          get:
            x-aliyun-apigateway-api-name: myfunction
            x-aliyun-apigateway-request-config:
              requestProtocol: 'https'
            x-aliyun-apigateway-fc:
              arn: acs:fc:::services/${MyService.Arn}/functions/${myfunction.Arn}/

これをfun deployしたらHTTPS対応が完了します。

Tips

curlを送った時のレスポンスのserverがTengineならFunction Computeまでリクエストが渡っていて、nginxならAPI Gatewayがレスポンスを返しています。

最終的にはドキュメントちゃんと読めって話ですが、Alibaba CloudのAPI Gatewayを使っているときに403で悩まされました。

以下のリクエストを送った時、API Gateway + Function ComputeのAPIから突然403が返ってくるようになりました。

$ curl -i -H "Content-Type: application/json" -H 'Authorization: Bearer MY_JWT' -X POST -d '
{ "query": "query getPosts { posts(limit: 100) { id url body user_id created_at updated_at } }"}
' http://xxxxxxxxxxxxxxxxxxxxxxxxxx-ap-northeast-1.alicloudapi.com/
HTTP/1.1 403 Forbidden
Server: Tengine
Date: Sat, 08 Sep 2018 11:36:14 GMT
Content-Type: text/plain;charset=UTF-8
Content-Length: 0
Connection: keep-alive
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET,POST,PUT,DELETE,HEAD,OPTIONS,PATCH
Access-Control-Allow-Headers: X-Requested-With,X-Sequence,X-Ca-Key,X-Ca-Secret,X-Ca-Version,X-Ca-Timestamp,X-Ca-Nonce,X-Ca-API-Key,X-Ca-Stage,X-Ca-Client-DeviceId,X-Ca-Client-AppId,X-Ca-Signature,X-Ca-Signature-Headers,X-Ca-Signature-Method,X-Forwarded-For,X-Ca-Date,X-Ca-Request-Mode,Authorization,Content-Type,Accept,Accept-Ranges,Cache-Control,Range,Content-MD5
Access-Control-Max-Age: 172800
X-Ca-Request-Id: EE2517BA-5775-46AB-8339-B96AF926367F
X-Ca-Error-Message: Throttled by DOMAIN Flow Control

こう言う時はX-Ca-Error-Messageを見てみましょう。Throttled by DOMAIN Flow Controlと書いてあります。

以下のリンクによると、

The second-level domain name used for API calls can be accessed up to 1,000 times each day.Each group has limited 500 QPSs.

だそうで、API GatewayはデフォルトのURLだと1日に1000回しかアクセスできないみたいです。

www.alibabacloud.com

これを解決するには独自ドメインを紐づけるのが手っ取り早いです。

独自ドメインの使用方法は近日書きます。

例えば3000x1500の画像を400x200にして返すようにします。

イメージ処理から新しいスタイルを作成します。

固定幅とオートフィット高さを選択したら可変高さとなります。

これだけです。あとは画像のURLにパラメーターとしてドメイン名/sample.jpg?x-oss-process=style/asshukuを追加すれば取得できます。