解决方案概述

API 管理最佳实践和解决方案

利用 F5 提供的快速、安全且可扩展的 API 网关和管理解决方案,让开发人员掌控全局

api-management-solutions 插图

API 是云原生和容器化应用开发的基本构建块。 通过使运营团队能够共同协作,API 可以加快应用开发的上市时间,并帮助您提供比竞争对手更好的用户体验。 另一方面,API 的使用使得应用的结构去中心化。 这使得 API 设计、发布和管理变得更加困难,进而带来了复杂且易发生风险的管理挑战。 如果没有自动化和高性能的流量和策略控制,API 的增长和复杂性将会降低开发人员的敏捷性。

F5 提供全面的解决方案,使用简单、快速且可扩展的架构安全地管理任何数据中心或云中的 API。 这有助于通过实现 API 部署和管理的自动化来缩短产品上市时间,同时还能防范特定于 API 的威胁。 F5 在一个解决方案中提供云原生 API 管理、高性能 API 网关和安全控制,从而减少了工具蔓延和架构复杂性。

主要优势

以 API 为中心的安全性

防范 API 网关无法提供的常见和高级 API 特定漏洞

云原生微服务 API 架构

无缝集成到几乎任何部署设计或架构中 - 边缘代理、Kubernetes、Ingress 网关、无服务器等等

集成 API 交付解决方案

通过集成安全和网关提高运营效率

DevOps/AppDev 友好

安全性、自动化和配置管理与您的 DevOps 团队一样敏捷,以更低的成本加快产品上市时间

了解企业 API 管理的挑战

application开发日新月异,创新不断改变着我们互动的面貌。 由于分布式容器的复杂性,这种对速度的强调有时会导致对 API 管理以及安全和基础设施控制执行的抵制。 不幸的是,由于 API 越来越多地被微服务到微服务的数据交换所消耗,它们正在成为可能暴露敏感数据的潜在漏洞。 这意味着所有 API 端点都应该至少具有最低程度的标准化风险、配置和策略实施;然而,由于 API 发布自动化消除了传统的用户交互和监督元素,因此使 API 更有价值的趋势也使它们更容易受到攻击。

大多数 API 网关缺乏足够的控制来管理规模

API 网关通常用于管理将 API 发布到平台或微服务集群;易用性和自动化是采用的主要驱动力,因为随着应用组合的增长,很难扩展 API 互连以满足客户流量需求,同时保持与平台无关。 这解释了为什么 API 错误配置和安全漏洞是一些最引人注目的 API 数据泄露事件的原因。

DevOps 负责增加自动化管道的数量,每个管道都需要不同的工具来满足开发人员和应用的要求。 这些场景会造成 API 流量模式和管理实例断开连接,而断开连接的可观察性解决方案则使情况变得更加复杂。  不幸的是,对于开发和 DevOps 团队来说,衡量其发布频率仍然很普遍,但不是其发布安全性。

其结果是,企业 API 增长管理大规模失败,未经授权的 API 使用带来了新的、意想不到的风险和暴露——根据OWASP 的 API 安全 Top 10,这是最常见的威胁。

在大规模管理流量时,API 也会遇到性能问题。 对于应用程序的初始推出,50-100 毫秒的交易延迟是可以接受的,但是当扩展到数百或数千个微服务以满足客户需求时,这些延迟会累积起来并减慢整个应用链的速度。 结果如何? 表现不佳,未能满足客户期望。

从初始开发到生产部署,自动化整个企业应用组合的 API 端点访问、配置和安全,将允许 DevOps 大规模解决性能和潜在漏洞,以便他们能够专注于其他自动化管道问题。 

微服务 API 环境中的控制不一致

云原生应用在设计上越来越分布式和去中心化,依赖于数百个甚至数千个基于 API 的端点,以数百万笔交易作为主要流量来源。 F5 实验室最近的研究表明,API 安全事件的数量每年都在增长,并且过去两年中 API 事件的最常见原因与安全成熟度较低有关,而这通常是由于工具泛滥造成的。

当不同的开发团队跨多个平台处理分布式应用的不同部分时,就会产生 API 管理复杂性,从而导致应用不安全且性能不佳。 问题可能由部署失败、性能下降或恶意访问敏感流量引起,而且很难补救,更不用说查明原因了。 大规模降低这种复杂性可降低风险并提供一套围绕您的业务目标优化的一致的配置、性能和安全策略。 为 DevOps 提供一套标准工具,将正确的控制自动化到 API 开发和管理流程中,使您的应用能够与您的业务一起成长。

解决方案

企业需要维护和发展其传统 API,同时使用云原生微服务架构开发新的 API。 这些可以通过裸机私有系统、云端或多云传输解决方案交付。 API 很难分类,因为它们用于提供各种用户体验,每种体验都可能需要不同的开发、发布和安全控制。 F5 NGINX 解决方案的灵活性可以解决多种不同的用例或架构模式,以满足任何开发团队的需求。


Futuriom 在其云市场趋势报告中指出“API 一直是数据中心和 SD-WAN 虚拟化的关键元素,并且它们对于连接多云网络将变得越来越重要。”

常见 API 管理和发布用例

在下面概述的所有解决方案中, F5 NGINX 管理套件用于 API 管理功能,例如发布 API 、设置身份验证和授权以及使用 F5 NGINX Plus 中提供的 API 网关形成数据路径。 安全控制是根据数据和 API 交付平台的安全要求来解决的。

  1. 适用于严格监管业务的 API

    涉及敏感或受监管信息交换的业务 API 可能需要管理、报告和安全控制,以遵守额外的法规或行业要求。 例如,提供受保护的健康信息或敏感财务信息的应用必须符合行业特定的标准。 策略实施、可审计的基于角色的访问控制、分析和大规模有效载荷检查成为管理和保护此类 API 的关键机制。

    将业界领先的用于应用程序接口的高级 Web应用防火墙 (WAF) 技术F5 NGINX Plus API 网关F5 NGINX App Protect WAF相结合,可提供卓越的边界、API 和微服务保护,从而实现关键任务的可用性和性能。

  2. 多云分布式 API

    为全球用户提供服务的移动应用程序需要地理分布的后端来提供低延迟的 API 响应。 其他应用服务可能也需要分布式,将高交易工作负载移近消费者或数据,以提高性能。 为了优化响应时间,您需要一个分布式平台来协调从多个位置交付 API 端点以服务您的用户群。 

    F5 NGINX Plus提供与平台无关的 API 网关、负载均衡和安全功能。 与F5 NGINX 管理套件 API 连接管理器模块一起部署,它为 DevOps 和 AppDev 团队提供大规模高性能、自动化和安全的 API 发布。

    为了为您的分布式环境提供先进的多云连接, F5 分布式云多云网络解决方案将针对 NetOps 的网络基础设施挑战与应用部署分开。 DevOps 不再担心 IP 地址重叠和复杂的路由配置,而是专注于随时提供可用于开发的基础设施。 试用F5 的分布式云服务NGINX 部署用例来解决您的多云挑战。

  3. Kubernetes 中的 API 工作负载

    F5 NGINX Ingress Controller是适用于Kubernetes 中微服务的一体化负载均衡器、缓存、API 网关和 WAF。 结合永远免费的F5 NGINX Service Mesh ,DevOps 掌控 API 的开发和部署。 NGINX Ingress Controller for NGINX Plus 与NGINX App Protect完全集成,采用单一、易于部署的配置,降低了生产级应用的成本和复杂性。 NGINX Service Mesh 用于为工作负载提供东西向可见性和基于 mTLS 的安全性。

    NGINX 入口控制器 NGINX Plus 集成了 NGINX 服务网格 实现具有生产级安全性、功能性和规模的统一数据平面。 NGINX Service Mesh 是轻量级的,专注于集群内第 7 层应用流量管理,具有非侵入性,可让您的其余技术堆栈以应有的方式顺利运行。

结论

无论您的平台或自动化架构如何,F5 的解决方案都可以交付、管理和保护 API 以及用于托管 API 的基础设施。 F5 提供强大的防护措施以防御机器人以及常见和高级 API 漏洞,并通过 DevOps 集成实现 API 性能的发布和可视性。 这些解决方案结合起来,可以帮助您实现在任何地方部署应用的可移植性目标,让工作负载更贴近您的客户。

通过为您的开发和运营团队提供自由,让他们可以自由地使用适合工作的环境(无论是云托管还是本地),为他们提供现在支持业务所需的灵活性,以及在未来支持业务的多功能性,以及在您移动时移动的架构可移植性。

通过 F5 NGINX 实时 API 手册了解更多信息

主要特点

API 定义和发布——使用直观的界面定义 API

  • 定义基本路径和后端服务
  • 将 API 路由到适当的后端服务
  • 管理 API 的版本
  • 导入遵循 OpenAPI 标准的 API
  • 将 API 发布到一个或多个环境,例如生产环境或暂存环境
  • 配置 API 网关
  • 配置安全策略
  • 在微服务架构中部署和运行

速率限制——通过设置速率限制来缓解 DDoS 攻击并保护您的应用

  • 指定每个客户端、消费者或资源的最大请求率
  • 保护 API 端点并确保 API 使用者的 SLA
  • 定义多个速率限制策略

实时监控和警报——深入了解 API 性能

  • 延迟和响应持续时间等关键指标的图表
  • 网关特定指标,例如每秒请求数、活动连接数和带宽使用情况
  • 根据预定义阈值对 100 多个指标(如 CPU 使用率、4xx/5xx 错误和健康检查失败)发出警报
  • 使用 REST API 轻松与您选择的任何监控工具集成

身份验证和授权

  • 验证 JSON Web 令牌 (JWT)
  • 为消费者创建和管理 API 密钥
  • 从外部系统导入 API 密钥
  • 与 API 使用者共享
  • 将策略应用于 API 客户端组

仪表板——快速监控和排除 API 网关故障

  • 汇总 API 网关指标的概览仪表板
  • 用于衡量成功请求和及时响应的应用健康评分
  • 可自定义的仪表板来监控特定于您的环境的指标
后续步骤

了解 F5 产品和解决方案如何帮助您实现目标。

联络 F5