マイクロサービスアーキテクチャにおける API ゲートウェイの概要

API Gateway は、複数の Kubernetes クラスターとクラウドに分散されたマイクロサービスの管理を簡素化します。アーキテクチャ、機能、利点について詳しくは、以下をお読みください。

アーキテクト、クラウドエンジニア、DevOps 担当者の中には、「マイクロサービスは小さなモノリスである」とよく言う人がいます。これは、多数のサービス、特にそれらの管理と構成におけるネットワークルールとセキュリティの側面を扱う複雑さに起因します。

分散システム内の複数のクラスターとクラウドにまたがるマイクロサービスにクライアントがリクエストを送信する場合、セキュリティと正しいルーティングルールを確保するために各リクエストを追跡するのは面倒な作業になります。理想的には、バックエンドサービスはビジネスロジックのみを提供する必要があるため、これを実行するべきではありません。ここで、API ゲートウェイ (すべてのリクエストに対する単一のエントリポイント) が登場します。API ゲートウェイとは何か、またそれが提供する機能と利点について見てみましょう。

API ゲートウェイとは何ですか?

API ゲートウェイは、クライアントとマイクロサービス間のサーバー (または L7 プロキシ) であり、すべてのクライアントのシステムへの集中エントリポイントとして機能します。これは、クライアント API 呼び出しを受け入れ、適切なマイクロサービスに転送するリバースプロキシです (下の図 A を参照)。

API ゲートウェイは各クライアントに API を提供することで、基盤となるシステムの複雑さをカプセル化し、クライアントが特定のサービスを呼び出す代わりにシステムと通信できるようにします。また、トラフィックがサービスに到達する前にセキュリティチェック (認証と承認) を実行するため、サービスはコア機能に集中できます。

図 A – マイクロサービスアーキテクチャにおける API ゲートウェイ実装の概念図

マイクロサービスにおける API ゲートウェイの必要性

クライアントとマイクロサービス間の直接通信パターンによって生じる課題により、API ゲートウェイが普及しました。いくつか見てみましょう。

サービス検出とトラフィックルーティングの問題

クライアントからマイクロサービスに直接接続するには、クライアントがサービスインスタンスの特定のエンドポイントを認識している必要があります。しかし、サービスの動的なスケーリング (デスケーリング) により、エンドポイントを追跡するとクライアント側の複雑さが増します。さらに、クライアントがサービスに結合されている場合は、クライアント側で構成の変更が必要になるため、スケーリングが問題になります。さらに、クライアントがサービスを直接呼び出す場合、地理ルーティングなどの特定の属性に基づいてルーティングトラフィックを構成することは困難です。

秘密の質問

クライアントとサービス間の直接通信のためにサービスエンドポイントを公開すると、セキュリティ上の懸念が生じます。これにより、侵入者の攻撃対象領域が拡大し、バックエンドサービスがパケットスニッフィングや中間者攻撃などの脅威に対して脆弱になります。さらに、マイクロサービスへの直接クライアントは、ビジネスロジックの提供に集中するのではなく、API 呼び出しの認証と承認の負担をサービスに負わせます。

相互運用性に影響を与える複数のプロトコル

マイクロサービスアーキテクチャが提供する柔軟性により、開発者は任意の言語 (Python、Java、Go) を使用してサービスを構築できます。同様に、さまざまな API タイプ (REST、gRPC など) を使用してこれらのサービスを実装することもできます。クライアントからマイクロサービスへの直接通信パターンでは、クライアントは通信するためにさまざまなプロトコルを理解して使用する必要があります。これにより、クライアントアプリケーションにさらに多くのコードとロジックが必要になるため、複雑さが増します。

往復による遅延

Amazon.com の製品ページを考えてみましょう。製品の価格、数量、レビューなどの一部の属性は、バックエンドで異なるサービスとして展開されます。クライアントがサービスを直接呼び出した場合、上流のサービスからの応答をキャッシュするメカニズムがないため、必要な情報を取得するには各サービス (製品価格、レビュー、数量など) に個別のリクエストを行う必要があります。これらの呼び出しにより、複数の接続を確立するためのオーバーヘッドが追加され、これらのネットワーク要求によって発生するラウンドトリップによって待ち時間が増加し、ユーザーエクスペリエンスが最適ではなくなります。
API ゲートウェイのアーキテクチャは、クライアントとマイクロサービスを直接接続する際の課題をある程度軽減し、さまざまな機能を提供します。

API ゲートウェイトラフィック

API ゲートウェイは、通常クライアントによって要求されるフロントエンドマイクロサービスからトラフィック管理を抽象化する L7 プロキシです。 API ゲートウェイは HTTP メッセージを読み取って理解できるため (次の図を参照)、トラフィックに対してフィルターを適用したりアクションを実行したりできます。

HTTP メッセージ構造

リクエストは API ゲートウェイで複数のステップを通過します。次の図 (図 B) は、Kubernetes クラスターのエッジにある API ゲートウェイと、リクエストが流れるステージを示しています。

図 B – API ゲートウェイを経由した受信 gRPC リクエストのトラフィックフロー

リクエストの検証:まず、API ゲートウェイは、リクエストメソッド、ヘッダー、本文をチェックして受信リクエストを検証し、事前定義されたルールに準拠していることを確認します。さらに、ゲートウェイの許可リストと拒否リストに基づいてリクエストをホワイトリストまたはブラックリストに登録し、厳格なアクセス制御を実施します。
認証と承認 (AuthN/Z):ゲートウェイは、API キー (認証) などの資格情報を検証して認証されたリクエストを認証および承認し、RBAC (ロールベースのアクセス制御) などの承認ポリシーを適用します。 API Gateway は、IdP (アイデンティティプロバイダー) の助けを借りて、多要素認証 (MFA) などの徹底的な認証 N/Z チェックを実行することもできます。
サービス検出: API ゲートウェイは、サービス検出コンポーネントを使用して、承認リクエストに適切なバックエンドサービスを検索します。これは、サービスレジストリを照会するか、動的 DNS を使用することによって行われます。
プロトコル変換: API ゲートウェイは、必要に応じてクライアントとマイクロサービス間のプロトコルを変換できます。上の図では、クライアントが gRPC リクエストを送信し、それが「ショッピングカート」サービスが理解できるように REST に変換されます。さらに、ゲートウェイは、応答をクライアントに返す前に、応答を公開プロトコル (ここでは、REST から gRPC 形式) に変換します。
動的ルーティング: API ゲートウェイは、バックエンドサービスを見つけると、適切なサービスインスタンスまたはロードバランサにリクエストをルーティングし、必要に応じてリクエストプロトコルを変換します。通常、ゲートウェイの構成にはルーティングルールが定義されています。

API ゲートウェイは上記の手順を完了すると、サービスの応答をクライアントに返します。ただし、ゲートウェイの構成方法やその他の機能の実装方法に応じて、ここで説明する手順が異なる場合があることに注意してください。

APIゲートウェイの機能

上記の主要機能に加えて、API Gateway は多くの機能を提供します。

高度なトラフィックルーティング: API Gateway は、サービス間で API トラフィックがどのように分散されるかを管理および制御できます。負荷分散とトラフィック分割を実行し、リバースプロキシおよびフォワードプロキシとして機能します。 API Gateway では、ブルーグリーンデプロイメントなどのプログレッシブ配信も可能になります。
レート制限: API Gateway は、IP アドレスまたは HTTP ヘッダーに基づいてリクエストを制限できます。これにより、サービスが要求の過負荷を回避し、サービス拒否 (DoS) などの悪意のある攻撃を防ぐことができます。レート制限は、API プロバイダーがさまざまな収益化戦略 (階層型価格設定モデルなど) を実装するのにも役立ちます。
エラー処理: API Gateway は、内部サーバーエラー、認証の失敗、無効な入力などによる API リクエストの失敗に対するエラー応答を処理および標準化できます。ゲートウェイを使用するクライアントの HTTP ステータスコードとエラーメッセージをカスタマイズして、クライアントが適切に理解して処理/デバッグできるようにすることができます。
サーキットブレーカー: API Gateway はサーキットブレーカーパターンを実装して、リクエストの失敗によるバックエンドサービスの過負荷を回避できます。サーキットブレーカーモードでは、障害が発生したサービスへのリクエストの転送が停止され、適切なエラーコードが返されます。これにより、エラーが正常な上流サービスに連鎖するのを防ぎ、API インフラストラクチャの耐障害性が向上します。
可観測性: API Gateway は、運用上の可観測性のためにログ記録、監視、分析を提供します。 API インフラストラクチャのパフォーマンス (API の使用状況) と動作を理解するのに役立ち、可視性とセキュリティが向上し、ダウンタイムが短縮されます。
キャッシュ: API Gateway は、クライアント要求に対する以前の応答をキャッシュして提供できます。 API キャッシュが有効になっている場合、ゲートウェイはリクエストをキャッシュされた応答と照合し、存在する場合はリクエストを転送します。これにより、毎回バックエンドサービスに新しい同一のリクエストを送信する必要がなくなります。これにより、サービス負荷と応答遅延が大幅に削減され、API パフォーマンスとユーザーエクスペリエンスが向上します。
SSL 終了: API Gateway は SSL 終了を実行できます。これには、バックエンドサービスに代わってクライアントからの受信 SSL 接続の暗号化解除が含まれます。 SSL 終了や authN/Z などのその他のセキュリティ機能をオフロードすることで、サービスは主な責任に集中できるようになります。

API Gateway が提供するこれらすべての機能は、分散サービスシステムの管理に大きなメリットをもたらします。

APIゲートウェイの利点

API ゲートウェイの実装により、組織は次のようなメリットなどを得ることができます。

アプリケーションセキュリティの向上

ゲートウェイは API 管理の集中ポイントとして、サービスと基盤となるインフラストラクチャを一般公開から隠します。これにより、攻撃者が、特にサービスを大量のリクエストで圧倒することによって (DoS 攻撃)、アプリケーションをシャットダウンしようとすることが困難になります。ゲートウェイはバックエンドに到達する前にすべてのリクエストを処理するため、このような攻撃に対してレート制限を適用できます。リクエスト検証、authN/Z、サーキットブレーキング、ポリシー適用などのその他のセキュリティ機能は、ログ記録と監視と組み合わせることで、API ゲートウェイがアプリケーションの全体的なセキュリティに貢献します。

マイクロサービスの処理とスケーリングの柔軟性の向上

API ゲートウェイは、外部クライアントを内部マイクロサービスから分離します。これにより、DevOps およびインフラストラクチャエンジニアは、クライアントアプリケーションの構成を更新することなく、バックエンドサービスに変更を加えることができる高い柔軟性が得られます。クライアントは、バックエンドの変更を意識することなく、ゲートウェイを介してリクエストを送信し、応答を受け取ることができます。 authN/Z や負荷分散などの多くの重要な機能は、ゲートウェイによって処理されます。これらの責任をゲートウェイにオフロードすると、開発者がアプリケーション用に記述するコードが減り、イノベーションが促進され、迅速なリリースが可能になります。

APIプロバイダーの収益化の向上

API 収益化とは、サードパーティの消費者向けに API を製品化することです。 API ゲートウェイは、企業に API を収益化して収益を生み出したり、API を維持するための運用コストをカバーしたりするためのより優れた方法を提供します。ゲートウェイはクライアント要求を課金システムに接続し、API プロバイダーに集中型の課金および計測メカニズムを提供します。これにより、企業は API の使用状況を追跡し、従量課金制、階層型、ユニットベースなど、API コンシューマー向けにさまざまな価格モデルを実装してサービスに課金できるようになります。

ユーザーエクスペリエンス（UX）の向上

API ゲートウェイは、基盤となるサービスにリクエストを送信して集約することで、クライアントが過剰なリクエストを送信するのを軽減します。つまり、ゲートウェイへの単一のリクエストでクライアントアプリケーションのニーズを満たすことができ、レイテンシが大幅に削減されます。また、リクエストが頻繁に繰り返される場合、ゲートウェイはリクエストをバックエンドに転送せずに、キャッシュされた応答をタイムリーに提供できます。さらに、監視機能とログ機能を備えた API Gateway を使用すると、パフォーマンスの問題の追跡とトラブルシューティングが容易になり、アプリケーションのダウンタイムを最小限に抑えることができます。これらすべてが、アプリケーションのパフォーマンス、信頼性、およびユーザーエクスペリエンスの向上に役立ちます。

3つのオープンソースAPIゲートウェイツール

API ゲートウェイツールを評価する場合、組織はオープンソースツール、クラウドサービスプロバイダー、またはエンタープライズバージョンを探すことができます。オープンソースが最優先事項である場合は、使いやすさ、柔軟性、拡張性などの要素に基づいて、上位 3 つのオープンソース API ゲートウェイツールのリストをまとめました。

1. Tyk APIゲートウェイ

Tyk は、REST、GraphQL、gRPC などの複数のプロトコルをサポートする完全にオープンソースのゲートウェイを提供します。 Redis 以外のサードパーティ依存関係はなく、現在利用可能なゲートウェイの中で最も高速なものの 1 つです。

Tyk API Gateway の機能の一部を以下に示します。

任意のプロトコル（REST、SOAP、GraphQL、gRPC、TCP）を使用できます。
OIDC、JWT、クライアント証明書などを使用した AuthN/Z。
任意の言語 (Python、JS、Go) で拡張可能なプラグインを作成します。
Kubernetes ネイティブ宣言型 API 用の Tyk 演算子。
CORS を有効にしてブラウザベースのリクエストを許可します。
API のバージョン管理とライフサイクル管理。
分析ログによる詳細な API 使用状況データ。

2. Kong API ゲートウェイ

Kong API Gateway は、マルチクラウドおよびハイブリッドクラウドの展開のためのクラウドネイティブゲートウェイです。ゲートウェイは、独自の Kubernetes イングレスコントローラーの助けを借りて、Kubernetes ネイティブでもあります。 Kong は、モジュールとプラグインによる柔軟性と拡張性で知られています。

Kong API Gateway のオープンソース機能には次のようなものがあります。

API の設計と実行のための GitOps プロセスを推進するエンドツーエンドの自動化。
K8s に API をデプロイするための Kubernetes Ingress コントローラー。
基本的なレート制限や軽量キャッシュなどの基本的なトラフィック制御プラグイン。
シンプルなデータ変換
gRPC からバックエンド gRPC サービスへの変換。
AuthN/Z (HMAC、JWT キー認証、制限付き 0Auth 2.0 および LDAP、ボット検出、ACL)
シンプルなログ記録 (ファイルログ記録、HTTP ログ記録、基本的な StatsD、TCP/UDP ログ記録)

3. KrakenD API ゲートウェイ

KrakenD は、真の線形スケーラビリティを提供するサーバーレスアーキテクチャで構築された高性能 API ゲートウェイです。単一障害点なしでスケーリングするのに役立ちます。 KrakenD はオンプレミス、ハイブリッド、またはクラウド上で実行され、プラグインと埋め込みスクリプトを使用して拡張可能です。

KrakenD のオープンソースバージョンは、次の機能を提供します。