API 게이트웨이 아키텍처
API 게이트웨이는 API를 위해 관리, 모니터링, 인증을 제공하는 API 관리 시스템입니다. API 게이트웨이에 포함된 구성요소는 다음과 같습니다.
- API 게이트웨이: 배포된 API의 모든 특성을 관리합니다.
- Service Control: API 관리 규칙을 적용합니다.
- Service Management: API 구성을 관리합니다.
- gcloud CLI: API를 배포 및 관리합니다.
- Google Cloud 콘솔: 로깅, 모니터링, 공유를 지원합니다.
아키텍처
다음은 API 게이트웨이에 관련된 주요 구성요소를 보여주는 개괄적인 다이어그램입니다.
이 다이어그램에 대한 설명은 다음과 같습니다.
API 제공업체는 API 게이트웨이에서 API 만들기 및 배포를 수행합니다. 각 API는 OpenAPI 2.0 사양에 따라 기록된 파일로 정의됩니다.
OpenAPI 사양에 따라 API에 대한 REST 엔드포인트의 공개 연결 URL, API로 액세스되는 백엔드 서비스, 인증, 데이터 형식, 응답 옵션과 같은 API의 기타 특성이 정의됩니다.
API 클라이언트는 API 게이트웨이에 호스팅된 API에 대해 REST 요청을 수행하여 백엔드 서비스에 액세스합니다. API 클라이언트는 브라우저, 모바일 앱, 웹 앱 등 REST 호출을 수행할 수 있는 모든 앱일 수 있습니다.
API 클라이언트는 API의 URL, 요청 동사(예:
GET
,PUT
,POST
,DELETE
), 모든 인증 요구사항, API에 송수신되는 데이터의 형식만 알면 됩니다.API 클라이언트는 백엔드 구현에 대해 어떤 것도 알 필요가 없습니다. 실제로 요청에 전달된 정보에 따라 서로 다른 백엔드에 액세스하도록 API 게이트웨이에서 호스팅되는 단일 API를 구성할 수 있습니다.
API 게이트웨이 구성요소
API 게이트웨이
API 게이트웨이는 API 호스팅을 위해 완전 관리형의 종량제 요금 솔루션을 제공합니다. API 게이트웨이는 서비스 구현에 관계없이 모든 서비스에서 명확하게 정의되고 일관된 REST API를 통해 백엔드 서비스에 안전하게 액세스할 수 있게 해줍니다.
API 게이트웨이는 Google Cloud와 통합됩니다. 따라서 다른 Google Cloud 프로젝트에 사용하는 것과 동일한 개발, 모니터링, 로깅, trace 도구를 사용할 수 있습니다.
Google Cloud 외부에서 호스팅되는 백엔드 서비스에 연결하는 경우 API에 대한 액세스 제어에 사용되는 인증 및 승인 서비스를 포함하여 모든 Google Cloud 서비스를 활용할 수 있습니다.
Service Control API
Service Control API는 API 키 인증, 모니터링, 로깅과 같은 API 관리 규칙을 런타임에 적용합니다. Service Control은 다음과 같은 방법을 제공합니다.
- 확인 - 인증과 API 키를 확인하고 호출이 허용되는지 여부를 나타냅니다.
- 보고 - 로깅와 모니터링을 위한 레코드 시스템을 알립니다.
Service Management API
OpenAPI 사양을 사용해서 API를 정의합니다. 그런 후 gcloud CLI를 사용해서 OpenAPI 사양을 Service Management에 업로드하여 API 구성을 만듭니다. 다른 개발자와의 API 공유, 여러 프로젝트에서 API 사용 설정 또는 사용 중지, API 키 생성과 같은 다른 구성 관련 작업도 여기에서 수행됩니다.
gcloud CLI
gcloud CLI는 여러 Google Cloud 서비스를 호출하기 위해 사용할 수 있는 gcloud 명령줄 도구를 제공합니다. Google Cloud CLI를 사용해서 OpenAPI 사양을 업로드하여 API 구성을 만든 후 API 게이트웨이에 API 구성을 배포합니다.
Cloud 콘솔
Google Cloud Console은 Google Cloud의 그래픽 사용자 인터페이스입니다. Google Cloud 콘솔을 사용하여 Service Control에서 기록된 모니터링 및 로깅 데이터를 노출하고, 인증 및 승인을 구성하고, 개발자가 API 호출을 위해 API 키를 생성하도록 합니다.
API 요청 처리
API 구성에는 두 가지 유형의 엔드포인트가 있습니다.
- API 엔드포인트: 클라이언트에서 API 소비를 위해 사용되는 공개적으로 제공되는 엔드포인트를 정의합니다.
- 백엔드 엔드포인트: API에서 백엔드 서비스에 연결하기 위해 사용되는 엔드포인트를 정의합니다. HTTP 또는 HTTPS 액세스와 같은 보안 설정은 백엔드 서비스의 구현에 따라 정의됩니다.
API 엔드포인트 요청은 요청의 일부로 전달되는 모든 데이터를 포함하여 백엔드 엔드포인트로 전달됩니다. 서비스에서 반환되는 데이터를 포함하여 백엔드 서비스의 응답이 클라이언트에 다시 전달됩니다.
요청 라우팅
요청이 수신되면 다음이 수행됩니다.
API 게이트웨이가 Cloud Trace에 대해 trace 토큰을 만듭니다.
API 게이트웨이는 수신 요청의 경로를 대상 API와 일치하는지 확인합니다. 일치하는 경로를 찾았으면 API 게이트웨이가 지정된 API에 대해 인증 단계를 수행합니다.
JWT 검증이 필요한 경우, API 게이트웨이가 서명자에 대해 적절한 공개 키를 사용하여 인증을 검증하고, JWT에서 대상 필드를 검증합니다. API 키가 필요한 경우, API 게이트웨이가 Service Control API를 호출하여 키를 검증합니다.
Service Control은 검증할 키를 조회하고, 키와 연관된 프로젝트가 API를 사용 설정했는지 확인합니다. 키가 유효하지 않거나 프로젝트가 API를 사용 설정하지 않았으면 호출이 거부되고 Service Control API를 통해 로깅됩니다.
Service Control이 키를 성공적으로 검증하면 모든 원본 헤더가 포함된 요청과 JWT 검증 헤더(해당하는 경우)가 백엔드에 전달됩니다.
응답이 백엔드에서 수신되면 API 게이트웨이가 응답을 호출자에게 반환하고 최종 타이밍 정보를 Trace로 전송합니다. Service Control API가 호출 포인트를 로깅하여 측정항목과 로그를 적절한 대상에 기록합니다.