Kong Gateway から読みとく、 API統合・API連携サービスの最新情報 #devio2023

Kong Gateway から読みとく、 API統合・API連携サービス最新情報 2023/7/26 CX事業本部田中孝明 1

自己紹介 2 • CX事業本部 Delivery部サーバーサイドチーム・チームマネージャー   • 福岡オフィス所属  •
2023 Japan AW All AW Certifications Engineers   • 2022 APN ALL AW Certifications Engineer   • 2021 APN AW op Engineer   • Google Cloud Partner op Engineer 2023   • サウナ・スパプロフェッショナル   田中孝明 ( akaaki ANAKA) こーめい 

議題話すこと •背景説明 •Kong について •Kong を試す •Kong on AWS
ワークショップ •Kong Gateway プラグインについて 3

議題話さないこと •Kong 使い方、詳しい説明、内部仕様 •そ他周辺技術説明 •認証・認可について •マルチクラウド
推奨 4

こスライドを聞くモードにする 5

アプリケーション開発現場より複雑に、しかし提供速度迅速に •関連サービスが増加し、相互に連携し合う •個別エンドポイント、プロトコル、認証方法へ対応 •可用性・パフォーマンス意識
•チーム内コミュニケーションコストを極力下げる 6

※フィクションです 7 hoge サービス hoge API

※フィクションです 8 hoge サービス hoge API huga API 新チーム加入、新たな API群が誕生

※フィクションです 9 hoge サービス hoge API huga API CM APIs
として公開しよう

肥大化してきた・・・

※フィクションです 12 hoge サービス hoge 1st API huga API CM
APIs hoge 2nd API 爆誕

APIs hoge 2nd API History API オンプレミスで管理が必須

APIs hoge 2nd API History API 他会社 API を買収 Other API

APIs hoge 2nd API History API Other API

APIs hoge 2nd API History API Other API エンドポイントがバラバラ

APIs hoge 2nd API History API Other API エンドポイントがバラバラパスに統一感がない

APIs hoge 2nd API History API Other API エンドポイントがバラバラパスに統一感がない別々に認証が必要

APIs hoge 2nd API History API Other API エンドポイントがバラバラパスに統一感がない別々に認証が必要デプロイ先がバラバラ

APIs hoge 2nd API History API Other API エンドポイントがバラバラパスに統一感がない別々に認証が必要デプロイ先がバラバラ SOAP と JSON が混ざってる

APIs hoge 2nd API History API Other API エンドポイントがバラバラパスに統一感がない別々に認証が必要デプロイ先がバラバラ SOAP と JSON が混ざってるセキュリティがバラバラ

APIs hoge 2nd API History API Other API エンドポイントがバラバラパスに統一感がない別々に認証が必要デプロイ先がバラバラ SOAP と JSON が混ざってるセキュリティがバラバラログどこにある・・・

API を楽に統合したい 23

API アグリゲータ（API ゲートウェイ）複数異なるソースから提供される API を集約・統合し、一つ統合的な API として提供する仕組み
•複数 API を統合することで公開先（開発者）が利用する際に導入コストを下げる •セキュリティレイヤ追加による共通認証・セキュリティ追加、共通機能追加を容易に •パフォーマンス・運用改善（ログ統合など） 24

API アグリゲータ（API ゲートウェイ） API アグリゲータ（API ゲートウェイ）に求められるも •高いパフォーマンスと信頼性 •低コストでスケーラブルに運用 •開発体験 •容易なライフサイクル管理
•特定プラットフォームに依存しない •複数プロトコルをサポート 25

Amazon API Gateway AWS フルマネージドサービス •インフラ管理、API 管理、認証と認可、スロットリングをフルマネージドで行える •Lambda
/ 各種 AWS サービス / バックエンド（HTTPアクセス）と親和性が高い •制限内で利用する場合ベストな選択 26

Kong 軽量・高速・柔軟なクラウドネイティブな API ゲートウェイ •Nginx をベースにしたスケールアウトが容易なアーキテクチャ •豊富なプラグインによる機能拡張 •認証・認可、API 管理プラットフォームに必要なセキュリティを提供 •オンプレミス、クラウド両方で利用可能
28

Kong 軽量・高速・柔軟なクラウドネイティブな API ゲートウェイ •管理者API でAPIによる設定・管理ができるため自動化も可能 •Kong Manager という GUI
で視覚的に設定できる 29

Kong フルライフサイクル API 管理市場分野リーダー 30 https://www.xlsoft.com/jp/products/kong/kong.html Completeness of Vision（ビジョン
完全性）実行能力（Ability to Execute）

Kong デジタル庁からも推奨 API ゲートウェイに認定 31 https://prtimes.jp/main/html/rd/p/000000006.000098201.html

Kong SERVICE と ROUTE •SERVICE 上流アプリケーションを抽象化したもで１対多関係がある
でレート制限など、高度な管理動作を作成できる •ROUTE Kong Gateway を通じて公開されるエンドポイントにマップされ、１つ ROUTE で複数エンドポイントを参照できる 32

Kong レート制限 •DoS 攻撃防止、Web スクレイピングなど過剰なAPIアクセスに対抗する •Rate Limiting
プラグインを使用してクライアントにレート制限を課すことができ、期間内に実行できるリクエスト数が制限される 33

Kong ロードバランシング •負荷分散により、ここリソースへ過負荷を防止 •サーバー一つが利用できない場合、全てトラフィックを動作中にサーバーにルーティングさせる 34

Kong プランごと利用できる機能 35

使ってみる 36

デモ環境 37 Kong Gateway hoge API

デモ環境 EC2上に Kong Gateway を展開 •PostgreSQL をインストール（DBレスモードで使用しない） •Kong インストール、サービス起動
•それぞれ API を SERVICE に登録 •SERVICE から ROUTE を登録 38

Kong on AWS ワークショップ 41 https://catalog.us-east-1.prod.workshops.aws/workshops/b3f4087a-666e- 402f-aa4d-dbfcfc2d543f/ja-JP

Kong on AWS ワークショップ Amazon EKS + モニタリングを2時間程度で学べる •Kong Enterprise
を Amazon EKS 上に展開 •認証についても触れている •Prometheus / Grafana を利用したモニタリング設定方法 •Amazon CloudWatch にメトリクスログを出力する方法 42

Kong on AWS ワークショップ 43

Kong Gateway プラグインについて 44

Kong Gateway プラグイン Kong とサードパーティが公開している便利プラグイン •Kong Gateway Lua また Go
モジュールをロードして実行するように設計された Lua アプリケーション •プランによって利用できるプラグインに違いがある •利用可能なもプラグインHub をみてみる •https://docs.konghq.com/hub/ 45

OpenID Connect サードパーティ IdP と統合が可能に •Kong を OAuth 2.0
リソースサーバーとして実装可能に •認証情報と付与サポート (JWT / リフレッシュトークン / …etc) •複数 Open ID Connect プロバイダーでテスト済み • Auth0 / Amazon AWS Cognito / Google / Microsoft Azure Active Directory / Microsoft Active Directory Federation Services / Microsoft Live Connect / Okta / Yahoo! / …etc 46 https://docs.konghq.com/hub/kong-inc/openid-connect/

JWT プラグイン 47 https://www.youtube.com/watch?v=qFixsA6V8es&list=PLg_AhYkg50vjW eooT_omAAF2gFtrCaA49&index=4

Bot Detection 最も一般的なボットからサービスまたルートを保護 •カスタムクライアント許可リスト・拒否リストを設定 •リクエストごとにチェックされるルール基本リストが既に含まれている • https://github.com/Kong/kong/blob/master/kong/plugins/bot-detec
tion/rules.lua 48 https://docs.konghq.com/hub/kong-inc/bot-detection/

Request Transformer サーバーに送る前リクエストを変換 •リクエストに必要なパラメータを追加・削除（加工）しておくることができる、独自パラメータを処理するに有効 •クエリ文字列・ヘッダーを追加 •Advanced
プラグインでリクエスト本文で許可されるパラメータリストを制限することもできる 49 https://docs.konghq.com/hub/kong-inc/request-transformer/

Response Transformer クライアントに送る前レスポンスを変換 •削除、名前変更、置換、追加が可能 •特定ステータスコードを持つ応答に変換を制限することもできる •Advanced プラグインで配列・ネストされたオブジェクト処理も可能に
50 https://docs.konghq.com/hub/kong-inc/response-transformer/

AWS Lambda Kong Gateway から AWS Lambda を呼出す •デフォルトで
MIME タイプ: application/x-www-form-urlencoded を使用してペイロードを送信する •AWS Request Signing などプラグインを組み合わせてセキュアに 51 https://docs.konghq.com/hub/kong-inc/aws-lambda/

まとめ 52

まとめ •設計思想・認証・プラットフォームが違う API 群を束て共通機能やセキュリティを追加したい時候補に •さまざまなユースケースに対応したプラグイン、必要であれ自前でプ
ラグインを作成することも可能 •オンプレミス・クラウドなどプラットフォームに依存しないスケーラブルな API 統合環境候補に 53

Kong Gateway から読みとく、 API統合・API連携サービスの最新情報 #devio2023

Kong Gateway から読みとく、 API統合・API連携サービスの最新情報 #devio2023

More Decks by Takaaki Tanaka

Other Decks in Technology

Featured

Transcript