Slide 1
Slide 1 text
API Gateway 機能概要集
Subhead goes here on one line
Name
日本オラクル株式会社
May, 2022
Slide 2
Slide 2 text
Copyright © 2022, Oracle and/or its affiliates
2
API Gatewayとリソースの監視
Slide 3
Slide 3 text
• OCI Monitoringとネイティブに統合される
• “oci_apigateway”というメトリック・ネームスペース
でメトリックの収集が行われる
• デフォルトで使用可能なメトリック
• BytesReceived
• BytesSent
• HttpRequests
• HttpResponses
• BackendHttpResponses
• Latency
• IntegrationLatency
• InternalLatency
OCI Monitoringとの統合
Copyright © 2022, Oracle and/or its affiliates
3
Slide 4
Slide 4 text
• OCI Loggingとネイティブに統合される
• デプロイメント単位ごとにログ出力の要否が設定
可能
• OCI Loggingのインターフェースを利用して閲覧
• Service Connector Hubと併用することでログ出力
を元にした統合的な運用を可能に
• 以下の2種類のログが出力可能
• アクセスログ: API Gatewayを介してデプロイメント
との間で送受信されるリクエスト/レスポンスデータ
のサマリー
• 実行ログ: API Gateway内の処理に関するリクエ
スト/レスポンスの実行ログ
OCI Loggingとの統合
Copyright © 2022, Oracle and/or its affiliates
4
デプロイメント単位にログ出力を有効化
アクセスログ
実行ログ
Slide 5
Slide 5 text
Copyright © 2022, Oracle and/or its affiliates
5
APIの呼び出しとパラメータ化
Slide 6
Slide 6 text
コンテキスト変数
Copyright © 2022, Oracle and/or its affiliates
6
Functions
バックエンド
API Gateway
User
Context
Table
一時的に保存
ポリシーやデプロイメント定義で
${[key]}
の形式で参照可能
• APIコール等に含まれるパラメータをポリシーやデプロイ
メント定義で使用可能にするために、API Gatewayが
一時的に保持する変数のこと
• ユースケース例
• バックエンドが解釈できる形へリクエストの形式を
変更したい(request.path/queryを用いて、
URLの形式を書き換える)
• 認証結果に含まれる情報(ユーザーID、etc.)
をバックエンドに伝搬したい
Context Table Name 概要
request.path APIデプロイメント仕様で定義したパス・パラメータ
request.query APIリクエストに含まれるクエリー・パラメータ
request.headers APIリクエストに含まれるヘッダー・パラメータ
request.auth Authorizer Functionsによって返却されるパラメータ
(context)、JWTのPayloadに含まれるclaim
request.cert 証明書パラメータ(mTLSハンドシェイク中に正常に検証
されたBase64エンコードされた証明書)
Slide 7
Slide 7 text
Copyright © 2022, Oracle and/or its affiliates
7
API Gatewayとリソースの保護
Slide 8
Slide 8 text
Oracle指定の認証局から発行されたTLS証明書ではなく、ユーザーが取得したTLS証明書が使用可能
カスタム・ドメインとTLS証明書
Copyright © 2022, Oracle and/or its affiliates
8
証明書の取得先 ドメイン名 Public IP
との紐づけ
証明書の
有効期限と更新処理
Oracle指定の認証局
(デフォルト)
.apigateway..oci.customer-oci.com 自動 期限切れとなる前に自動更新
証明書サービス 独自ドメイン ユーザーが実施 期限切れとなる前にユーザーが更新
サード・パーティ 独自ドメイン ユーザーが実施 期限切れとなる前にユーザーが更新
Slide 9
Slide 9 text
• デフォルトのCAバンドルに加えて、証明書サービスで作成した他のCA(カスタムCA)のルート証明書および他のCA
バンドル(カスタムCAバンドル)をAPI Gatewayのトラスト・ストアに追加可能
• ユースケース
• セキュリティ上の理由でプライベートなCAのみを含むカスタムトラスト・ストアを使いたい
• mTLS(相互TLS)をサポートしたい
TLS証明書検証のためのトラスト・ストアのカスタマイズ
Copyright © 2022, Oracle and/or its affiliates
9
Slide 10
Slide 10 text
Authorizer Function
• HTTPリクエスト(ヘッダー or クエリーパラメーター)
に含まれる情報を認証処理を行うOracle
Functions(Authorizer Functions)へ渡し、検証す
る事で認証処理を行う
• (オプション)返却された認証結果に含まれるscope
を用いて認可処理を行う
JWT Validator
• HTTPリクエスト(ヘッダー or クエリーパラメーター)
に含まれるJWTをAPI Gatewayで検証する
• (オプション)検証済みのJWTに含まれているscope
を用いて、認可処理を行う
認証・認可のための機能
Copyright © 2022, Oracle and/or its affiliates
10
Functions
Functions
Functions
API Gateway Functions
Functions
Functions
API Gateway
Functions Identity Provider
JWKs
Endpoint
Public Key
認証依頼 認証結果
(オプション)認証結果に含まれる
scopeを用いて認可処理
JWTの検証
- 署名の検証
- Issuerの検証
- Audienceの検証
- 有効期限の検証
- etc.
(オプション)検証済みJWTのPayloadに
含まれるscopeを用いて認可処理
Identity Domains/IDCS
Auth0
Okta
Keycloak
etc.
Slide 11
Slide 11 text
• CORS(Cross-Origin Resource Sharing)
• あるオリジンで動作しているWebアプリケーションに
異なるオリジンに存在するリソースへのアクセス権を
HTTPリクエストによって与えるための仕組み
• API Gatewayを使用し、デプロイされるAPIに対する
CORSサポートを有効にできる
• 各API単位の対応が不要になるため、効率的に
ポリシーの適応が可能
CORSサポート
Copyright © 2022, Oracle and/or its affiliates
11
Slide 12
Slide 12 text
Copyright © 2022, Oracle and/or its affiliates
12
リクエスト・ポリシーとレスポンス・ポリシー
Slide 13
Slide 13 text
• API Gatewayのバックエンドに対して、グローバルにレート制限を設定可能
• 過剰なリクエストからバックエンドを保護することで、可用性やリソースの公平な使用を維持する
• DoS攻撃の防止
• API使用を収益化するために利用を制限する
• etc.
• 1秒当たりのリクエスト数の上限を全リクエストの合計 or クライアントIP単位で指定する
流入制限
Copyright © 2022, Oracle and/or its affiliates
13
API Gateway Functions
User
Slide 14
Slide 14 text
• API GatewayでHTTPリクエストに対するバリデーショ
ンが可能
• バックエンドサービスに対して不要な負荷をかけないよ
うにするために、HTTPリクエストのバリデーション処理を
API Gatewayにオフロードする
• 検証のポリシー
• Enforcing: すべてのリクエストに対して検証を実
施し、検証が成功したリクエストのみバックエンドへ
ルーティングする
• Permissive: すべてのリクエストに対して検証を実
施するが、検証結果によらずすべてのリクエストを
バックエンドへルーティングする
• Disabled: 検証を実施しない
リクエストのバリデーション
Copyright © 2022, Oracle and/or its affiliates
14
API Gateway
Functions
Container Engine
For Kubernetes
Public API
バックエンドサービス
・・・
【検証可能な項目】
• 特定のヘッダーを含むか
• 特定のクエリーパラメーターを含むか
• リクエストボディーのコンテンツタイプが期待通りか
User
Slide 15
Slide 15 text
• API Gatewayで、HTTP Request/Responseの一
部の情報に対して変更が可能
ユースケース
• バックエンドサービスが要求するヘッダー(e.g. Accept-
Encoding)を一律で付与する
• セキュリティ上の理由で、レスポンスに含まれる特定の
ヘッダー(e.g. Server)を削除する
• バックエンドサービスが解釈できるような形にリクエストの
URLを書き換える
• etc.
ヘッダー/クエリー変換
Copyright © 2022, Oracle and/or its affiliates
15
Functions
バックエンド
API Gateway
User
Functions
Functions
• ヘッダーの追加、削除、変更
• クエリーパラメーターの追加、削除、変更
• リクエストURLの書き換え
• ヘッダーの追加、削除、変更
e.g. Request Headerに対して、上書きの設定を追加をする
・・・
Slide 16
Slide 16 text
Copyright © 2022, Oracle and/or its affiliates
16
APIの開発支援機能
Slide 17
Slide 17 text
• API GatewayでOpenAPI仕様(2.0 & 3.0)をサポート
• デザイン・ファーストなAPIの開発サイクルに貢献
• API用のリファレンスドキュメントの共有
• 開発初期のモックサーバーを容易に生成
• 認証・認可等のポリシーを追加し、さらに高度なス
タブとして活用可能
• OpenAPI仕様を元にAPIクライアント用のSDKが各言
語で生成可能
• Android Java
• Java
• JavaScript
• Swift
• TypeScript
OpenAPI 2.0/3.0のサポート
Copyright © 2022, Oracle and/or its affiliates
17
openapi: '3.0.2'
info:
title: Employee API
version: '1.0'
servers:
- url: https://oci-api-gateway-host
paths:
# ...
/employee:
get:
responses:
'200':
description: return all employee.
# ...
examples:
OpenAPI仕様の定義ファイル
をアップロードし、APIリソースを作成
APIリソースを使用して、
API GatewayにAPIをデプロイ
Slide 18
Slide 18 text
• 開発初期のモックサーバー構築が容易
• APIの内部実装が完成した後は、URLを変更す
ることなく固定値から実APIへ置き換え可能
• OpenAPI仕様から作成したAPIリソースを用いて、
APIデプロイメント作成した場合は、デフォルトでモック
サーバーとして提供される
• 様々なポリシーと組み合わせることで高度なモックサー
バーを構築可能
• 認証・認可
• リクエストのバリデーション
• レート制限
• ロギング
• …
モックサーバー(Stock Response)の提供
Copyright © 2022, Oracle and/or its affiliates
18
Slide 19
Slide 19 text
• OpenAPI仕様から作成したAPIリソースを元にAPIクラ
イアント用のSDK(Software Development Kits)を
作成可能
• 対応言語
• Android Java
• Java
• JavaScript
• Swift
• TypeScript
クライアントSDKの生成
Copyright © 2022, Oracle and/or its affiliates
19
SDKを用いたサンプルコード(Java):
// Import classes:
import com.example.sdk.ApiClient;
import com.example.sdk.ApiException;
import com.example.sdk.Configuration;
import com.example.sdk.models.*;
import com.example.sdk.api.DefaultApi;
public class Example {
public static void main(String[] args) {
ApiClient defaultClient = Configuration.getDefaultApiClient();
defaultClient.setBasePath("https://hoyd2...");
DefaultApi apiInstance = new DefaultApi(defaultClient);
Integer employeeId = 56; // Integer |
try {
apiInstance.employeeEmployeeIdDelete(employeeId);
} catch (ApiException e) {
System.err.println("Exception when calling DefaultApi#employeeEmplo
yeeIdDelete");
System.err.println("Status code: " + e.getCode());
System.err.println("Reason: " + e.getResponseBody());
System.err.println("Response headers: " + e.getResponseHeaders());
e.printStackTrace();
}
}
}
Slide 20
Slide 20 text
• 外部に構築したキャッシュ・サーバーと統合することで、
同一リクエスト(GET, HEAD, OPTIONS)に対するレス
ポンスをキャッシュ・サーバーから返却する機能
• ユースケース
• 同一リクエストに対する応答を高速化したい
• バックエンド・サービスに対して必要以上に負荷を
かけたくない
レスポンス・キャッシュ
Copyright © 2022, Oracle and/or its affiliates
20
API Gateway
Functions
Container Engine
For Kubernetes
Public API
バックエンドサービス
・・・
Cache Server
・・・
[^1]: リクエストのURL、HTTP メソッド(GET, HEAD, OPTIONS)、
APIデプロイメントのOCIDから導出されるキャッシュ・サーバー内のレスポンスを
一意に識別するためのキー
3. API Response
1. API Request
2. キャッシュ・キー[^1]を
元に照合
2. キャッシュ・ヒットしない場合は
バックエンドサービスに問い合わせ
Key Vault
キャッシュ・サーバー
へのパスワードを格納
・・・
User
Slide 21
Slide 21 text
Thank you
Copyright © 2022, Oracle and/or its affiliates
21
Slide 22
Slide 22 text
No content