入门指南
只需点击几次,企业即可在 Meta 事件管理工具中通过自助流程部署转化 API 网关。该设置流程可代表企业使用该企业的第三方云服务提供方(如 Amazon Web Service (AWS) 或 Google Cloud Platform (GCP))部署一个服务器实例。
如要部署转化 API 网关,企业可以在 Meta 事件管理工具中使用自助流程。只需点击几次,即可代表企业在其第三方云服务提供方账户中配置和部署服务器实例。
转化 API 网关由报告网站事件的网站的一个子网域提供,这类子网域又称为第一方网域(必须与提供报告的 Meta Pixel 像素代码位于同一 eTLD+1 中)。配置第一方网域之后,转化 API 网关可帮助引导数据流仅从企业的可信基础架构中通过。
前提条件
部署转化 API 网关之前,您需要拥有以下资产和访问权限:
- Meta Pixel 像素代码编号
- 与该 Meta Pixel 像素代码关联的事件管理工具的管理员权限(部分访问权限将无效)
- 更新与该 Meta Pixel 像素代码关联的所有网域的权限
- 使用 DNS 提供方更新这些网域的权限(您需要能够配置自己的子网域)
- 某项云服务提供方服务(例如 AWS 或 GCP)的管理员权限
建议操作:启用 Meta Pixel 像素代码的高级匹配功能,以帮助最大限度地提高转化 API 网关集成的性能。通过高级匹配功能,您可一同发送经过哈希处理的客户联系信息和 Pixel 像素代码事件,这有助于归因更多转化,并覆盖更多用户。请在此处查看更多详细信息。
网络与安全
云账户隔离
企业可以选择在其现有第三方云账户上或在已与其主要资产分开的新云账户上部署转化 API 网关。使用这两种方案都可以进行基础设施隔离,因为转化 API 网关旨在不与企业的服务器端资产发生交互。转化 API 网关在默认的虚拟私有云网络 (VPC) 中预配。
允许通过的网络流量
如要转化 API 网关正常运行,必须对以下入站和出站网络流量放行。默认配置只允许所需流量通过。
| 来源 | 目标 | 协议/端口 | 描述 |
|---|---|---|---|
转化 API 网关实例 | 0.0.0.0/0 | 全部 | 允许通过转化 API 网关与互联网进行出站连接,将事件传递给 Meta 并从外部存储库下载数据包,例如:
|
0.0.0.0/0 | 转化 API 网关实例 | TCP/80 | 允许与转化 API 网关进行入站 HTTP 连接 会将此端口的流量自动重定向到 TCP/443 |
0.0.0.0/0 | 转化 API 网关实例 | TCP/443 | 允许与转化 API 网关进行入站 HTTPS 连接 由浏览器用于通过 WebSocket Secure (WSS) 或 HTTPS 发送事件 |
端点和正在传输的数据
端点由 TLS 和 SSL 施加保护,正在传输的数据都经过加密。转化 API 网关会开放 2 个面向互联网的端点:
- 用于从浏览器接收事件的 HTTPS 和 WebSocket Secure (WSS) 端点
- 用于管理服务器的 HTTPS 管理员前端
系统通过 TLS(支持 TLS 1.2 和 1.3)及使用服务器预配期间自动生成的 SSL (default cipher list) 证书保护这些端点。默认证书的有效期为一年,并且只要安装期间设置的两个 DNS 记录不变,该证书就会定期自行更新。
默认网域使用 AWS Cloudfront 端点。如果用户设置了自定义网域,该网域就会使用 AWS 托管的证书。在转发到专用 VPC 之前,TLS 会在负载均衡器层被终止。
其他安全保护措施
为了进一步加强对转化 API 网关端点的保护,企业可以使用 AWS 或其他第三方提供商提供的基于云的首选安全解决方案(网页应用程序防火墙、抗 DDOS 攻击解决方案)。此类保护措施的配置方式是,通过相应的服务提供商代理转化 API 网关流量,并且仅允许来自此服务提供商的入站流量通过。
数据存储和保留政策
转化 API 网关可存储配置数据和操作日志(例如事件统计信息),还可以用实例磁盘存储空间来存储日志。
如果实例使用 AWS 作为第三方云服务提供方,则日志会存储在 CloudWatch 中,这些日志的访问权限取决于 AWS 数据访问政策以及在您组织内实施的任何其他政策。您可以选择与自己的支持联系人分享操作日志。详细了解提取日志。
可扩展
转化 API 网关服务器容量取决于配置的实例数量上限。该容量可以在安装期间设置,也可以在安装后,前往转化 API 网关管理员用户界面设置。
注意:
- 每个实例每秒可支持 100 个查询。
- 必须至少运行 2 个实例。
