API 已经成为成功数字产品的必备要素之一,因此正确管理API成为重要内容。本文带你了解管理API的两个常用组件:API 网关与反向代理。
架构
我们首先看典型的网络拓扑图。虽然API 网关与反向代理位于相同位置,但两者提供的功能有差异。
下面我们分别进行解释。
反向代理
反向代理主要作为客户端与一个或多个后端服务之间的协调者。在微服务架构中,随着应用规模增大微服务会随之变多。必要时需要隐藏异构AP服务带来的复杂性,这时反向代理可以重写URL,客户端仅和反向代理交互,反向代理负责将请求转发到后端服务实例。
典型反向代理使用场景包括:
负载均衡
它负责分发请求至多个后端服务器,防止单个服务负荷过重导致响应失败。如果因错误一个后端不能提供正常服务,负载均衡重新分发请求至其他服务器。
防范攻击
它提供了安装控制系统的可能性,如防病毒或包过滤功能,通过将自己定位在Internet和私有网络之间,进一步保护后端。
缓存
对于重复请求,可以自动部分或全部从反向代理缓存中给予响应。因此传入值后端数据更少,客户端获得响应更快。
SSL加密
可以配置反向代理实现对传入请求解密、对传出响应加密,从而避免占用后端资源。
我们看到反向代理提供的这些能力是不够的,还需要网关提供更多的功能。下面我们继续了解网关提供的功能。
API 网关
API网关可理解为反向代理的超集,下面讨论它提供的额外功能。
首先,API网关对客户端隐藏后端的体系结构划分情况。不仅通过转发请求,还可能执行编排/聚合。这简化了客户机代码,减少了API请求/往返的数量。此外,客户端不会调用多个后端,而是只与API网关通信。
另一个与处理请求/响应相关的特性是协议转换。换句话说,API Gateway可以执行协议到协议的转换(例如,XML到JSON, gRPC到JSON),以促进客户端和服务器之间的集成。
API Gateway提供常见功能有 全性、可靠性、可伸缩性、可观察性和可跟踪性。下面分别进行说明。
1)安全相关功能
认证与授权:在边缘集中提供认证服务。
IP白名单:可以授予特定IP访问API能力。
2)性能相关功能
速率限制、节流和配额:我们可以根据在某一单位时间内可以处理多少请求/数据服务来设置限制。此外,从商业的角度来看,它提供了根据API消费者情况来控制流量。
重试策略和断路器:管理瞬时异常。例如,客户端重新执行请求或保护服务端免受请求泛滥,用于提高后端的弹性和可靠性。
3)观察、跟踪相关功能
日志记录、跟踪、相关性:收集每个特定请求的所有日志,了解它所涉及的后端及相关指标。
两者差异
| 反向代理 | API 网关 | |
|---|---|---|
| URL重新 | Y | Y |
| 负载均衡 | Y | Y |
| 防范攻击 | Y | Y |
| 缓存 | Y | Y |
| SSL加密 | Y | Y |
| 服务编排 | N | Y |
| 协议转换 | N | Y |
| 认证授权 | N | Y |
| IP白名单 | N | Y |
| 速率限制、节流和配额 | N | Y |
| 重试策略和断路器 | N | Y |
| 日志记录、跟踪、相关性 | N | Y |
总结
本文详细解释了反向代理及API网关的责任及功能,我们可根据需求的简单程度及要解决的问题的要求来选择。