API-Gateway-Architektur

API Gateway ist ein API-Verwaltungssystem, das die Verwaltung, Überwachung und Authentifizierung Ihrer APIs ermöglicht. API Gateway besteht aus folgenden Komponenten:

  • API-Gateway: zur Verwaltung aller Aspekte einer bereitgestellten API
  • Service Control: zur Anwendung von API-Verwaltungsregeln
  • Service Management: zum Verwalten von API-Konfigurationen
  • gcloud CLI: zum Bereitstellen und Verwalten Ihrer APIs
  • Google Cloud console: zum Protokollieren, Überwachen und Freigeben

Architektur

Das folgende Diagramm zeigt die wichtigsten Komponenten von API Gateway:

Die wichtigsten Komponenten von API Gateway.

In diesem Diagramm gilt:

  • Der API-Anbieter ist für das Erstellen und Bereitstellen einer API in API Gateway verantwortlich. Jede API wird durch eine Datei definiert, die als OpenAPI 2.0-Spezifikation geschrieben ist.

    Die OpenAPI-Spezifikation definiert die öffentlich zugängliche URL des REST-Endpunkts für die API, den von der API aufgerufenen Back-End-Dienst und alle anderen Merkmale der API, z. B. Authentifizierung, Datenformat und Antwortoptionen.

  • Der API-Client sendet eine REST-Anfrage an eine in API Gateway gehostete API, um auf Backend-Dienste zuzugreifen. Ein API-Client kann jede App sein, die einen REST-Aufruf ausführen kann, z. B. ein Browser, eine mobile App oder eine Web-App.

    Der API-Client benötigt nur die URL der API, das Anfrageverb (z. B. GET, PUT, POST, DELETE), Authentifizierungsanforderungen und das Format aller Daten, die an die API gesendet oder von dieser empfangen werden.

    Der API-Client muss nichts über die Backend-Implementierung wissen. Tatsächlich kann eine einzelne API, die in API Gateway gehostet wird, so konfiguriert werden, dass basierend auf den in der Anfrage übergebenen Informationen auf verschiedene Backends zugegriffen wird.

API Gateway-Komponenten

API Gateway

API Gateway bietet eine vollständig verwaltete Pay-per-Use-Lösung für das Hosting Ihrer APIs. API Gateway bietet sicheren Zugriff auf Ihre Backend-Dienste über eine klar definierte REST API, die über alle Dienste hinweg unabhängig von der Dienstimplementierung konsistent ist.

API Gateway ist in Google Cloud integriert, sodass Sie dieselben Entwicklungs-, Monitoring-, Logging- und Tracetools verwenden können wie bei jedem anderen Google Cloud -Produkt.

Wenn Sie eine Verbindung zu einem Backend-Dienst herstellen, der außerhalb von Google Cloudgehostet wird, können Sie weiterhin alle Google Cloud -Dienste nutzen, einschließlich der Authentifizierungs- und Autorisierungsdienste, die zum Steuern des Zugriffs auf Ihre APIs verwendet werden.

Service Control API

Die Service Control API wendet API-Verwaltungsregeln wie API-Schlüsselauthentifizierung, Monitoring und Logging zur Laufzeit an. Service Control bietet die folgenden Methoden:

  • Überprüfung: verifiziert Authentifizierungs- und API-Schlüssel und gibt an, ob ein Aufruf zugelassen werden soll
  • Bericht: benachrichtigt die Systeme über die Aufzeichnungen für Logging und Monitoring

Service Management API

Sie verwenden die OpenAPI-Spezifikation, um Ihre API zu definieren. Anschließend laden Sie die OpenAPI-Spezifikation mit der gcloud CLI in Service Management hoch. Dadurch wird die API-Konfiguration erstellt. Hier werden auch andere Konfigurationsaufgaben durchgeführt, z. B. das Freigeben der API für andere Entwickler, das Aktivieren oder Deaktivieren der API in verschiedenen Projekten und das Generieren von API-Schlüsseln.

gcloud-CLI

Die gcloud CLI enthält das gcloud-Befehlszeilentool, mit dem Sie Aufrufe an verschiedene Google Cloud -Dienste senden können. Sie verwenden die Google Cloud CLI, um Ihre OpenAPI-Spezifikation hochzuladen, mit der die API-Konfiguration erstellt wird, und um dann die API-Konfiguration für das API-Gateway bereitzustellen.

Cloud Console

Die Google Cloud Console ist die grafische Benutzeroberfläche für die Google Cloud Console. Verwenden Sie die Google Cloud Console, um Monitoring- und Loggingdaten anzuzeigen, die von Service Control aufgezeichnet wurden, um die Authentifizierung und Autorisierung zu konfigurieren und damit Entwickler API-Schlüsseln zum Aufrufen der API generieren können.

API-Anfrage bearbeiten

In einer API-Konfiguration gibt es zwei Arten von Endpunkten:

  • API-Endpunkt: Definiert den öffentlich verfügbaren Endpunkt, den Clients zum Verwenden Ihrer APIs verwenden.
  • Backend-Endpunkt: Definiert den Endpunkt, über den die API eine Verbindung zu Ihrem Backend-Dienst herstellt. Sicherheitseinstellungen wie HTTP- oder HTTPS-Zugriff werden durch die Implementierung des Back-End-Dienstes definiert.

Anfragen an Ihren API-Endpunkt werden an den Backend-Endpunkt weitergeleitet, einschließlich aller Daten, die als Teil der Anfrage übergeben werden. Antworten vom Backend-Dienst, einschließlich aller vom Dienst zurückgegebenen Daten, werden an den Client zurückgegeben.

Routing anfordern

Wenn eine Anfrage eingeht:

  1. API Gateway erstellt ein Trace-Token für Cloud Trace.

  2. API Gateway gleicht den Pfad der eingehenden Anfragen mit der Ziel-API ab. Nachdem eine passende Route gefunden wurde, führt API Gateway alle Authentifizierungsschritte für die angegebene API aus.

  3. Wenn eine JWT-Validierung notwendig ist, validiert API Gateway die Authentifizierung mithilfe des passenden öffentlichen Schlüssels für den Signer und validiert das Zielgruppenfeld in JWT. Falls ein API-Schlüssel benötigt wird, ruft API Gateway die Service Control API auf, um den Schlüssel zu validieren.

  4. Service Control sucht den Schlüssel, um ihn zu validieren, und überprüft, ob in dem Projekt, zu dem der Schlüssel gehört, die API aktiviert ist. Falls der Schlüssel nicht gültig ist oder die API im Projekt nicht aktiviert ist, wird der Aufruf zurückgewiesen. Dies wird durch die Service Control API protokolliert.

  5. Falls Service Control den Schlüssel erfolgreich validiert, wird die Anfrage, zusammen mit den ursprünglichen Headern sowie, falls geeignet, einem JWT-Validierungs-Header an das Backend weitergeleitet.

  6. Geht vom Backend eine Antwort ein, gibt API Gateway die Antwort an den Aufrufer zurück und schickt die endgültigen Zeitinformationen an Trace. Die Aufrufpunkte werden über die Service Control API erfasst, die Messdaten und Logs dann an die entsprechenden Ziele schreibt.

Nächste Schritte