Endpoints è un sistema di gestione delle API distribuito che comprende servizi, runtime e strumenti. Endpoints fornisce la gestione, il monitoraggio e l'autenticazione.
I componenti che compongono Endpoints sono:
Extensible Service Proxy (ESP) o Extensible Service Proxy V2 (ESPv2) - per l'inserimento di endpoint funzionalità.
Service Control: per applicare le regole di gestione delle API.
Service Management per configurare le regole di gestione delle API.
Google Cloud CLI per il deployment e la gestione.
Console Google Cloud per il logging, il monitoraggio e la condivisione.
Architettura di Endpoints
Componenti endpoint
ESP
ESP è un proxy basato su NGINX che viene eseguito davanti il backend e inserisce funzionalità di endpoint come l'autenticazione, il monitoraggio e il logging. ESP recupera un servizio configurazione da Service Management e la utilizza per convalidare le risorse in entrata richieste.
ESP è progettato per consentirti di eseguirne il deployment in un ambiente e convalidare i token JWT e gli ID Google. Utilizza una serie come la memorizzazione nella cache intensiva e le chiamate asincrone per e dalle prestazioni elevate.
L'assistenza di ESP è disponibile per le seguenti piattaforme:
ESPv2
ESPv2 è un servizio basato su Envoy proxy scalabile ad alte prestazioni, eseguito davanti a un backend OpenAPI o gRPC API. Endpoints su ESPv2 supporta la versione 2 dell' Specifica OpenAPI e specifiche gRPC.
ESPv2 si integra con Google Service Infrastructure per abilitare le funzionalità di gestione delle API su larga scala, tra cui autenticazione, rapporti di telemetria, metriche e sicurezza.
Il supporto di ESPv2 è disponibile per le seguenti piattaforme:Service Control
Service Control applica le regole di gestione delle API a come l'autenticazione della chiave, il monitoraggio e il logging. Service Control offre i seguenti metodi:
"Check": verifica l'autenticazione e le chiavi API e indica se è stata effettuata una chiamata dovrebbe essere consentito
Report: notifica ai sistemi di registrazione per la registrazione e il monitoraggio
Gestione del servizio
Descrivi il comportamento del tuo servizio gRPC in un file YAML denominato la configurazione di Endpoints. Esegui il deployment Configurazione degli endpoint e.proto file compilati in
Service Management mediante gcloud CLI, che
configura le regole di gestione delle API.
Qui si verificano anche altre attività relative alla configurazione, ad esempio la condivisione dell'API
con altri sviluppatori, abilitando o disabilitando l'API in diversi progetti e
generando chiavi API.
gcloud CLI
gcloud CLI fornisce Google Cloud CLI che per effettuare chiamate a vari servizi Google Cloud. Puoi utilizzare Google Cloud CLI per il deployment degli endpoint configurazione in Service Management.
Console Google Cloud
La console Google Cloud è la Graphic User Interface per in Google Cloud. Endpoints utilizza Console Google Cloud per esporre i dati di monitoraggio e logging inviati ESP o ESPv2 e registrati da Service Control; inoltre, condividi le API con altri sviluppatori e per loro generare chiavi API per chiamare l'API.
Scenari di deployment
Le opzioni per il deployment variano in base all'utilizzo di ESP o ESPv2 come proxy Endpoints. È possibile eseguire il deployment di ESPv2 come proxy remoto e di eseguire il deployment di ESPv2 ed ESP in modalità sidecar, come spiegato nelle sezioni seguenti.
Modalità proxy remoto
Se utilizzi ESPv2, puoi eseguire il deployment degli endpoint come proxy remoto. Questa modalità viene utilizzata per supportare le applicazioni in esecuzione su piattaforme serverless come Cloud Run, Cloud Functions e App Engine per gli ambienti standard.
In questa modalità, viene eseguito il deployment di ESPv2 come applicazione Cloud Run. L'applicazione è configurata per utilizzare ESPv2 come backend remoto utilizzando il campo x-google-backend nella configurazione del servizio OpenAPI. Quando funziona come proxy remoto in questa modalità di deployment, un singolo ESPv2 può supportare più backend remoti.
Modalità Sidecar
Sia ESP sia ESPv2 supportano il deployment in un container insieme a ciascuna istanza del backend. Questa topologia server-locale è ideale sia per API per il web e microservizi. Evita tipicamente l'hop di rete associate a proxy centralizzati e consente una gestione delle API più performante e scalabile.
In genere, il bilanciamento del carico viene applicato prima che il traffico raggiunga ESP o ESPv2. Su Compute Engine, questa operazione viene eseguita da Cloud Load Balancing. Per nei deployment Kubernetes, puoi utilizzare un proxy in entrata per il bilanciamento del carico. Nel Google Kubernetes Engine, puoi utilizzare Cloud Load Balancing o un traffico in entrata proxy per il bilanciamento del carico.
All'avvio, ESP o ESPv2 ottiene la configurazione del servizio da Gestione del servizio. La configurazione del servizio viene generata specifica OpenAPI o da gRPC, il file YAML della configurazione del servizio. Dice a ESP o ESPv2 sia la superficie dell'API da gestire insieme ai criteri, ad esempio quali metodi richiedono l'autenticazione e quali richiedono chiavi API.
Routing delle richieste
Quando viene ricevuta una richiesta, ESP o ESPv2 crea un token di traccia per in Cloud Trace.
Successivamente, ESP o ESPv2 associa il percorso delle richieste in entrata con la superficie dell'API. Dopo aver trovato un percorso corrispondente, ESP o ESPv2 esegue eventuali passaggi di autenticazione per il metodo specificato.
Se è necessaria la convalida JWT, ESP o ESPv2 convalida l'autenticazione. utilizzando la chiave pubblica appropriata per il firmatario e convalida il pubblico nel JWT. Se è necessaria una chiave API, ESP o ESPv2 chiama l'API Service Control per convalidare la chiave.
Service Control cerca la chiave per convalidarla e garantisce che il progetto associato alla chiave ha abilitato l'API. Se la chiave non è valida o il progetto non ha abilitato l'API, la chiamata viene rifiutata e viene registrata l'API Service Control.
Se il Controllo del servizio convalida la chiave, la richiesta e vengono inoltrati tutte le intestazioni originali più un'intestazione di convalida JWT, se appropriata al backend.
Quando viene ricevuta una risposta dal backend, ESP o ESPv2 restituisce il parametro in risposta al chiamante e invia le informazioni Trace. I punti di chiamata vengono registrati dal Service Control API, che scrive metriche e log nelle destinazioni appropriate.
ESP o ESPv2 su Kubernetes
Il seguente diagramma mostra l'architettura complessiva in cui ESP
viene eseguito come container side-car davanti all'applicazione del servizio API
container, con l'API my-api ospitata in my-api.com e supportata da un
Servizio Kubernetes. L'architettura sarebbe la stessa per un deployment collaterale con ESPv2.
