Nuestra experiencia de creación de API de puerta de enlace

Algunas compañías, incluido nuestro cliente, desarrollan el producto a través de una red de afiliados. Por ejemplo, las grandes tiendas en línea están integradas con un servicio de entrega: usted ordena productos y pronto recibe un número de seguimiento para el paquete. Otro ejemplo: junto con un boleto aéreo, compra un seguro o un boleto Aeroexpress.

Para esto, se utiliza una API, que debe emitirse a los socios a través de la API de Gateway. Hemos resuelto este problema. Este artículo proporcionará detalles.

Dado: ecosistema y portal API con una interfaz donde los usuarios están registrados, reciben información, etc. Necesitamos hacer una API de Gateway conveniente y confiable. En el proceso, necesitábamos proporcionar

• Registro
• Control de conexión API
• Monitorear cómo los usuarios usan el sistema final
• contabilidad de indicadores de negocios.

En el artículo, hablaremos sobre nuestra experiencia en la creación de la API de Gateway, durante la cual resolvimos las siguientes tareas:

• autenticación de usuario
• autorización de usuario
• modificación de la solicitud original,
• solicitud de representación
• postprocesamiento de la respuesta.

Hay dos tipos de gestión de API:

1. Estándar, que funciona de la siguiente manera. Antes de conectarse, el usuario prueba las posibilidades, luego paga e incrusta en su sitio. Con mayor frecuencia se usa en pequeñas y medianas empresas.

2. Una gran Administración de API B2B, cuando la empresa toma una decisión comercial por primera vez sobre la conexión, se convierte en una empresa asociada con una obligación contractual y luego se conecta a la API. Y después de resolver todas las formalidades, la empresa obtiene acceso a las pruebas, las aprueba y entra en ventas. Pero esto no es posible sin una decisión de administración para conectarse.

Nuestra decision

En esta parte, hablaremos sobre la creación de la API de Gateway.

Los usuarios finales de la puerta de enlace creada a la API son los socios de nuestros clientes. Para cada uno de ellos, ya tenemos los contratos necesarios. Solo necesitaremos expandir la funcionalidad, teniendo en cuenta el acceso otorgado a la puerta de enlace. En consecuencia, se necesita una conexión controlada y un proceso de control.

Por supuesto, uno podría tomar una solución lista para resolver la tarea de Administración de API y crear API Gateway en particular. Por ejemplo, esto podría ser Azure API Management . No nos convenía, porque en nuestro caso ya teníamos un portal API y un gran ecosistema construido a su alrededor. Todos los usuarios ya se han registrado, ya entendieron dónde y cómo pueden obtener la información necesaria. Las interfaces necesarias ya existían en el portal API, solo necesitábamos API Gateway. En realidad, comenzamos a desarrollarlo.

Lo que llamamos la API de Gateway es un tipo de proxy. Aquí nuevamente tuvimos una opción: puede escribir su proxy o puede elegir algo listo para usar. En este caso, fuimos por el segundo camino y elegimos el paquete nginx + Lua. Por qué Necesitábamos un software confiable y probado que sea compatible con el escalado. Después de la implementación, no queríamos verificar la corrección de la lógica de negocios y la corrección del proxy.

Cualquier servidor web tiene una canalización de procesamiento de solicitudes. En el caso de nginx, se ve así:



(diagrama de GitHub Lua Nginx )

Nuestro objetivo era integrarnos en esta tubería en el momento en que podemos modificar la solicitud original.

Queremos crear un proxy transparente para que la solicitud permanezca funcionalmente como llegó. Solo controlamos el acceso a la API final, ayudamos a la solicitud para llegar a ella. En caso de que la solicitud fuera incorrecta, la API final debería mostrar el error, pero no nosotros. La única razón por la que podemos rechazar la solicitud es por la falta de acceso al cliente.

Para nginx, ya existe una extensión en Lua . Lua es un lenguaje de script, es muy ligero y fácil de aprender. Por lo tanto, implementamos la lógica necesaria usando Lua.

La configuración nginx (analogía con la ruta de la aplicación), donde se realiza todo el trabajo, es comprensible. Cabe destacar aquí la última directiva: post_action.

location /middleware { more_clear_input_headers Accept-Encoding; lua_need_request_body on; rewrite_by_lua_file 'middleware/rewrite.lua'; access_by_lua_file 'middleware/access.lua'; proxy_pass https://someurl.com; body_filter_by_lua_file 'middleware/body_filter.lua'; post_action /process_session; } 

Considere lo que sucede en esta configuración:
more_clear_input_headers : borra el valor de los encabezados especificados después de la directiva.
lua_need_request_body : controla si se debe leer el cuerpo de origen de la solicitud antes de ejecutar las directivas rewrite / access / access_by_lua o no. De forma predeterminada, nginx no lee el cuerpo de la solicitud del cliente y, si necesita acceder a él, esta directiva debe estar activada.
rewrite_by_lua_file : la ruta a los scripts, que describe la lógica para modificar la solicitud
access_by_lua_file : la ruta al script, que describe la lógica que verifica el acceso al recurso.
proxy_pass : url a la que se enviará la solicitud por proxy.
body_filter_by_lua_file : la ruta al script, que describe la lógica para filtrar la solicitud antes de regresar al cliente.
Y finalmente, post_action es una directiva oficialmente indocumentada que se puede usar para realizar cualquier otra acción después de que se da la respuesta al cliente.

A continuación, describiremos en orden cómo resolvimos nuestros problemas.

Autorización / autenticación y solicitud de modificación

Iniciar sesión

Creamos autorización y autenticación mediante accesos de certificados. Hay un certificado raíz. Cada nuevo cliente del cliente genera su certificado personal con el que puede acceder a la API. Este certificado se configura en la sección del servidor de configuración nginx.

 ssl on; ssl_certificate /usr/local/openresty/nginx/ssl/cert.pem; ssl_certificate_key /usr/local/openresty/nginx/ssl/cert.pem; ssl_client_certificate /usr/local/openresty/nginx/ssl/ca.crt; ssl_verify_client on; 

Modificación

Puede surgir una pregunta justa: ¿qué hacer con un cliente certificado si de repente queremos desconectarlo del sistema? No vuelva a emitir certificados para todos los demás clientes.

Así que nos acercamos sin problemas a la siguiente tarea: la modificación de la solicitud original. La solicitud original del cliente, en términos generales, no es válida para el sistema final. Una de las tareas es agregar las partes que faltan a la solicitud para que sea válida. El punto es que los datos que faltan son diferentes para cada cliente. Sabemos que el cliente nos llega con un certificado del que podemos tomar una huella digital y extraer los datos necesarios del cliente de la base de datos.

Si en algún momento necesita desconectar al cliente de nuestro servicio, sus datos desaparecerán de la base de datos y no podrá hacer nada.

Trabajar con datos del cliente.

Necesitábamos garantizar una alta disponibilidad de la solución, especialmente cómo obtenemos los datos del cliente. La dificultad es que la fuente de estos datos es un servicio de terceros que no garantiza una velocidad ininterrumpida y bastante alta.

Por lo tanto, necesitábamos garantizar una alta disponibilidad de los datos del cliente. Como herramienta, elegimos Hazelcast , que nos proporciona:

• acceso rápido a los datos
• La capacidad de organizar un clúster de varios nodos con datos replicados en diferentes nodos.

Fuimos por la estrategia de entrega de caché más simple:



El trabajo con el sistema final ocurre dentro del marco de las sesiones y hay un límite en el número máximo. Si el cliente no cerró la sesión, tendremos que hacer esto.

Los datos de sesión abierta provienen del sistema de destino y se procesan inicialmente en el lado de Lua. Decidimos usar Hazelcast para guardar estos datos con un escritor .NET. Luego, en algunos intervalos, verificamos el derecho a la vida de las sesiones abiertas y cerramos la falta.

Acceso a Hazelcast desde Lua y .NET

No hay clientes en Lua para trabajar con Hazelcast, pero Hazelcast tiene una API REST, que decidimos usar. Para .NET, hay un cliente a través del cual planeamos acceder a los datos de Hazelcast en el lado .NET. Pero ahí estaba.



Al guardar datos a través de REST y recuperarlos a través del cliente .NET, se utilizan diferentes serializadores / deserializadores. Por lo tanto, es imposible poner los datos a través de REST, pero a través del cliente .NET y viceversa.

Si está interesado, hablaremos más sobre este problema en un artículo separado. Spoiler - en el shemka.

Registro y Monitoreo

Nuestro estándar corporativo para iniciar sesión a través de .NET es Serilog, todos los registros terminan en Elasticsearch, los analizamos a través de Kibana. Quería hacer algo similar en este caso. El único cliente que trabajó con Elastic en Lua que se encontró quebró en el primer requerimiento. Y usamos Fluentd.

Fluentd es una solución de código abierto para proporcionar una sola capa de registro de aplicaciones. Le permite recopilar registros de diferentes capas de la aplicación y luego traducirlos a una sola fuente.

La API de Gateway funciona en K8S, por lo que decidimos agregar el contenedor con fluentd al mismo subtipo para escribir registros en el puerto tcp abierto existente fluentd.

También examinamos cómo se comportaría fluentd si no tuviera conexión con Elasticsearch. Durante dos días, las solicitudes se enviaron continuamente a la puerta de enlace, los registros se enviaron a fluentd, pero se prohibió la fluidez de IP Elastic. Después de reconectarse, fluentd superó perfectamente todos los registros en Elastic.

Conclusión

El enfoque elegido para la implementación nos permitió entregar un producto realmente funcional para el entorno de combate en solo 2.5 meses.

Si alguna vez hace tales cosas, le recomendamos primero que comprenda claramente qué problema está resolviendo y cuáles de los recursos que ya tiene. Tenga en cuenta las complejidades de la integración con los sistemas de gestión de API existentes.

Comprenda por sí mismo qué es exactamente lo que va a desarrollar: solo la lógica empresarial del procesamiento de solicitudes o, como podría ser el caso en nuestro caso, el proxy completo. Recuerde que todo lo que haga usted mismo debe probarse a fondo después.