一文带你了解API网关!
Posted 权说安全
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了一文带你了解API网关!相关的知识,希望对你有一定的参考价值。
什么是API,什么又是API网关?
API与API网关在网络中的作用
我们从用户业务访问流程图,来简单了解下API与API网关的关系:
△用户业务访问流程图
业务访问场景概述:
用户可以使用PC、手机等设备,从外网或内网发起对生产、办公、娱乐等系统(可以是C/S或B/S架构)的访问;
这些生产、办公、娱乐等系统之间可能存在数据调用或功能调用的情况,各厂家的系统通过API对外提供业务服务,故调用方发起对被调用方API的调用请求;
但是,面对几十、上百的业务系统,各厂商提供的API接口格式、协议又各不相同,各系统直接对接的话,链路复杂、管理困难,为解决这一难题,引入了API网关来做统一管理。有了API网关,所有业务系统间的数据调用请求,都需API网关做接口鉴权,鉴权通过后,API网关会代理接口访问请求至各业务系统的API;
系统实现对目标API的调用,实现用户访问。
零信任与API网关的关系
不仅用户、设备存在身份校验,业务系统、程序、微服务也存在身份校验的说法。
如易安联EnAPI,秉承零信任“Never trust,always verify”的原则,EnAPI负责对业务系统诸多微服务之间的API调用进行鉴权。这些应用、程序、微服务是否具有相互间调用的权限,都需要进过API网关进行权限鉴定,当且仅当鉴权通过后,才会在一定时间内开放API调用的接口,而当经过一定的老化时间之后,API网关会关闭此次调用接口,有效防止API调用的重放攻击行为。
如上图所示,API网关承担了应用前置和应用后置之间连接桥梁的角色,前端的所有由应用前置发起的对后端应用后置的API调用请求,均由API网关进行代理,进行接口的认证授权、转发API调用请求。同时所有应用前置对应用后置的调用请求,均通过日志的形式上送至策略控制引擎,由策略控制引擎进行实时、全方位的权限调整,对不具备API调用权限的行为进行阻断,对违规或不正常API调用行为进行告警或直接阻断调用。
EnAPI
易安联为完善基于零信任的数据全生命周期安全防护体系,推出了自己的API网关——EnAPI,其能力全景图如下图所示:
△易安联API网关能力全景图
EnAPI核心功能
系统解耦
熔断机制
如下图所示,一旦下游服务C因某些原因变得不可用,积压了大量请求,服务B的请求线程也随之阻塞。线程资源逐渐耗尽,使得服务B也变得不可用。紧接着,服务A也变为不可用,整个调用链路被拖垮,造成调用链路的连锁故障(雪崩)
△调用正常与调用雪崩示意图
△熔断流程
灰度发布
是指在黑与白之间,能够平滑过渡的一种发布方式。在其上可以进行A/B testing,即让一部分用户继续用产品特性A,一部分用户开始用产品特性B,如果用户对B没有什么反对意见,那么逐步扩大范围,把所有用户都迁移到B上面来。
EnAPI帮助客户实现服务维护、升级时,服务整体不停摆、缩小影响面。其灰度发布的示意图如下图所示:
协议转换
各应用系统涉及协议众多,诸如MQTT、gRPC、websocket、Netconf等,若各应用厂家之间直接对接,既拉长项目周期,又增加开发成本。
EnAPI兼容98%以上协议,帮助组织完成数据传输的国际密码标准/国家密码标准的转换,减少重复开发成本,提高开发效率。通过 API 网关将企业内部服务能力以标准 API 的 形式开放给合作伙伴,与合作伙伴共享服务和数据,达成深度合作,构建企业共赢生态。
全生命周期管理
具备对API创建、维护、发布、运行、下线的全生命周期管理,运维更便捷。
日志审计
各微服务之间、各应用之间的调用请求有详细日志,支持以WORD、txt、PDF等文本形式输出,同时提供日志可视化审计,以饼图、柱状图等图表的形式展示用户关心的API调用细节。帮助管理员优化服务器资源配置……
EnAPI的价值
1)系统解耦,降本增效
企业内部系统存在相互依赖关系,为保持系统的通用性与稳定性,很难应对业务的变化。而EnAPI网关使用RESTfulAPI,帮企业简化服务架构,通过规范化、标准化的API接口,快速完成企业内部系统的解耦及前后端分离。同时,复用已有能力,避免重复开发造成的资源浪费。
2)多端整合,统一后台
随着移动物联网的普及,API需要支持更多的终端设备,以扩充业务规模,但同时也带来系统复杂性的提升。通过API网关可以使API适配多端,企业只需要在API网关调整API定义,无需做额外工作。
3)能力开放,生态共建
当今企业面临巨大的挑战,企业的发展需要依赖外部合作伙伴的能力,典型的例子如使用第三方平台支付、合作方帐户登录等。通过API网关将企业内部服务能力以标准API的形式开放给合作伙伴,与合作伙伴共享服务和数据,达成深度合作,构建企业共赢生态
4)安全中控,数据堤坝
a.防护企业商业机密信息,数据资产是企业保持竞争力和发展的必要条件
b.保护企业经营的客户敏感数据,客户数据不仅是企业经营的基础,而且外泄风险直接导致企业面对巨大法律风险
5)合规合法,持续经营
往期推荐
以上是关于一文带你了解API网关!的主要内容,如果未能解决你的问题,请参考以下文章
你真的了解 API 网关吗?一文说清微服务网关和企业级应用网关之差异与融合 | 趋势解读