Nous avons récemment publié InterSystems API Manager (IAM), un nouveau composant de la plate-forme de données InterSystems IRIS qui assure la surveillance, le contrôle et le contrôle du trafic vers / depuis l'API Web au sein de l'infrastructure informatique.

Dans cet article, je vais vous montrer comment configurer IAM et démontrer certaines des nombreuses fonctionnalités qui sont disponibles avec IAM. InterSystems API Manager vous permet de:

• Regardez l'API, comprenez qui utilise l'API, quelles API sont les plus populaires et lesquelles doivent être améliorées.
• Contrôlez qui utilise l'API et limitez l'utilisation de l'API des restrictions d'accès simples aux restrictions en fonction de la demande - vous disposez de contrôles personnalisables et vous pouvez répondre rapidement aux changements dans les modèles de consommation d'API.
• Protégez les API avec des mécanismes de sécurité centralisés tels que OAuth2.0, LDAP ou l'authentification par jeton de clé.
• Simplifiez le travail des développeurs tiers et offrez-leur une excellente expérience avec l'API en ouvrant un portail spécial pour les développeurs.
• Faites évoluer l'API et garantissez un délai de réponse minimal.

La gestion de l'API est nécessaire pour la transition vers l'architecture SOA ou microservice, simplifiant l'intégration entre les (micro) services individuels, les rendant accessibles à tous les consommateurs externes et internes. En conséquence, les nouvelles API deviennent plus faciles à créer, à maintenir et à consommer.

Si vous utilisez déjà InterSystems IRIS, vous pouvez ajouter l'option IAM à votre licence. L'option IAM est gratuite pour les clients InterSystems IRIS, mais pour commencer à utiliser IAM, vous devez demander une nouvelle clé de licence à InterSystems.

Si vous n'utilisez pas déjà InterSystems IRIS et que vous prévoyez uniquement d'essayer le gestionnaire d'API InterSystems, contactez InterSystems.

Prise en main et installation

Les clients InterSystems IAM peuvent télécharger la section "Distribution de logiciels" à partir du site WRC et l'exécuter en tant que conteneur Docker. Configuration minimale requise:

• Docker 04.17.0+.
• Docker Compose 1.12.0+.
• InterSystems IRIS 2019.1.1+.

Au départ, vous devez télécharger l'image Docker (Important! L'archive avec le WRC n'est pas une image Docker, vous devez la décompresser, à l'intérieur de l'image Docker):

docker load -i iam_image.tar 

Cette commande rendra l'image IAM disponible pour une utilisation ultérieure sur votre serveur. IAM fonctionne comme un conteneur séparé, vous pouvez donc le faire évoluer indépendamment d'InterSystems IRIS. Le lancement d'IAM nécessite l'accès à InterSystems IRIS pour télécharger la licence.

Configurez InterSystems IRIS:

• Activez l'application web /api/IAM
• Activer l'utilisateur IAM
• Modifier le mot de passe utilisateur IAM

Exécutez maintenant le conteneur IAM. Dans l'archive, vous trouverez iam-setup scripts de iam-setup pour Windows et Unix (et Mac). Ces scripts vous aideront à configurer correctement les variables d'environnement, permettant au conteneur IAM de se connecter à InterSystems IRIS. Voici un exemple de script sur Mac:

 source ./iam-setup.sh Welcome to the InterSystems IRIS and InterSystems API Manager (IAM) setup script. This script sets the ISC_IRIS_URL environment variable that is used by the IAM container to get the IAM license key from InterSystems IRIS. Enter the full image repository, name and tag for your IAM docker image: intersystems/iam:0.34-1-1 Enter the IP address for your InterSystems IRIS instance. The IP address has to be accessible from within the IAM container, therefore, do not use "localhost" or "127.0.0.1" if IRIS is running on your local machine. Instead use the public IP address of your local machine. If IRIS is running in a container, use the public IP address of the host environment, not the IP address of the IRIS container. xxx.xxx.xxx.xxx Enter the web server port for your InterSystems IRIS instance: 52773 Enter the password for the IAM user for your InterSystems IRIS instance: Re-enter your password: Your inputs are: Full image repository, name and tag for your IAM docker image: intersystems/iam:0.34-1-1 IP address for your InterSystems IRIS instance: xxx.xxx.xxx.xxx Web server port for your InterSystems IRIS instance: 52773 Would you like to continue with these inputs (y/n)? y Getting IAM license using your inputs... Successfully got IAM license! The ISC_IRIS_URL environment variable was set to: http://IAM:****************@xxx.xxx.xxx.xxx:52773/api/iam/license WARNING: The environment variable is set for this shell only! To start the services, run the following command in the top level directory: docker-compose up -d To stop the services, run the following command in the top level directory: docker-compose down URL for the IAM Manager portal: http://localhost:8002 

Comme vous pouvez le voir, le nom complet de l'image, l'adresse IP, le port IRIS InterSystems et le mot de passe de l'utilisateur IAM sont tout ce dont vous avez besoin pour commencer.

Au lieu d'exécuter le script, vous pouvez définir les variables d'environnement manuellement:

 ISC_IAM_IMAGE=intersystems/iam:0.34-1-1 ISC_IRIS_URL=http://IAM:<PASS>@<IP>:<PORT>/api/iam/license 

Lancement

Exécutez maintenant IAM en exécutant la commande:

 docker-compose up -d 

Cette commande organise les conteneurs IAM et garantit que tout est démarré correctement. L'état des conteneurs est vérifié à l'aide de la commande:

 docker ps 

Ouvrez l'interface d'administration localhost:8002 dans un navigateur.

Jusqu'à présent, il est vide car il s'agit d'un tout nouveau site. Changeons-le. IAM prend en charge le concept d'espaces de travail pour diviser l'API en modules et / ou équipes. Accédez à l'espace de travail "par défaut" que nous utiliserons pour nos expérimentations.

Le nombre de demandes pour cet espace de travail est toujours nul, mais vous aurez une idée des concepts de base d'IAM dans le menu de gauche. Les deux premiers éléments: les services et les itinéraires sont les plus importants:

• Service - API, que nous voulons donner accès aux consommateurs. Ainsi, l'API REST dans InterSystems IRIS est un service, comme, par exemple, l'API Google, si vous souhaitez l'utiliser.
• La route décide vers quel service les demandes entrantes doivent être redirigées. Chaque Route a un ensemble spécifique de conditions, et si elles sont remplies, la demande est envoyée au Service correspondant. Par exemple, une Route peut correspondre à une IP, un domaine d'expéditeur, des méthodes HTTP, des parties d'un URI ou une combinaison de ces exemples.

Le service

Créons le service IRIS InterSystems, avec les valeurs suivantes:

Laissez les valeurs restantes par défaut. Cliquez sur le bouton Create et notez l'ID du service créé.

Parcours

Créons maintenant un itinéraire:

Laissez les valeurs restantes par défaut. Cliquez sur le bouton Create et notez l'ID de l'itinéraire créé. Par défaut, IAM écoute les demandes entrantes sur le port 8000. Les demandes envoyées à http://localhost:8000 et commençant par /api/atelier désormais redirigées vers InterSystems IRIS.

Test

Essayons de créer une requête dans un client REST (j'utilise Postman ).

Nous enverrons une demande GET à http://localhost:8000/api/atelier/ (n'oubliez pas / à la fin) et nous obtiendrons une réponse d'InterSystems IRIS. Chaque demande passe par un IAM qui collecte des métriques:

• Code d'état HTTP.
• Retard
• Surveillance (si configurée).

J'ai fait quelques demandes supplémentaires (dont deux demandes de points de terminaison inexistants, comme / api / atelier / est /), les résultats sont immédiatement visibles sur le tableau de bord:

Travailler avec des plugins

Maintenant que nous avons configuré la Route, nous pouvons contrôler notre API. Nous pouvons ajouter des fonctionnalités qui complètent notre service.

La façon la plus courante de modifier le comportement de l'API consiste à ajouter un plugin. Les plugins isolent les fonctionnalités individuelles et peuvent être connectés à l'IAM à la fois globalement et uniquement à des entités individuelles, telles que l'utilisateur (groupe d'utilisateurs), le service ou la route. Nous allons commencer par ajouter le plugin "Rate Limiting" à la Route. Pour établir une connexion entre le plug-in et l'itinéraire, nous avons besoin d'un identifiant unique (ID) pour l'itinéraire.

Limite de demande

Cliquez sur Plugins dans le menu de la barre latérale gauche. Vous voyez tous les plugins actifs sur cet écran, mais comme ce serveur IAM est nouveau, il n'y a pas encore de plugins actifs. Passez donc à l'étape suivante en cliquant sur "Nouveau plugin".

Le plugin dont nous avons besoin se trouve dans la catégorie "Traffic Control" et s'appelle "Rate Limiting". Choisissez-le. Il existe de nombreux paramètres que vous pouvez définir ici, mais nous ne nous intéressons qu'à deux champs:

C’est tout. Le plugin est configuré et actif. Je note que nous pouvons choisir différents intervalles de temps, tels que la minute, l'heure ou le jour. Les paramètres peuvent être combinés (par exemple, 1000 demandes par heure et en même temps 100 demandes par minute). J'ai choisi les minutes, car cela facilite la vérification du plugin.

Si vous envoyez à nouveau la même demande à Postman, vous verrez que la réponse est retournée avec 2 en-têtes supplémentaires:

• XRateLimit-Limit-minute: 5
• XRateLimit-Remaining-minute: 4

Cela indique au client qu'il peut faire jusqu'à 5 demandes par minute et dans l'intervalle de temps actuel, il peut faire 4 demandes supplémentaires.

Si vous faites la même demande encore et encore, à la fin, vous manquerez de quota disponible et à la place, vous recevrez un code d'état HTTP 429 avec le corps de réponse suivant:

Attendez une minute et vous pourrez de nouveau envoyer des demandes.

Il s'agit d'un mécanisme pratique qui vous permet de:

• Protégez le backend des surcharges.
• Dites aux clients combien de demandes ils peuvent faire.
• Monétiser l'API.

Vous pouvez définir des valeurs pour différents intervalles de temps et ainsi lisser le trafic API pendant une certaine période de temps. Supposons que vous autorisez 600 demandes par heure sur un itinéraire spécifique. Il y a en moyenne 10 demandes par minute. Mais rien n'empêche le client de répondre aux 600 demandes dans la première minute de l'heure. C'est peut-être ce dont vous avez besoin. Vous voudrez peut-être obtenir une charge plus uniforme en une heure. En définissant la valeur du champ config.minute sur 20, vous garantissez que vos utilisateurs ne font pas plus de 20 requêtes par minute et 600 requêtes par heure. Cela permet de petits sauts dans l'intervalle de minutes par rapport à un flux entièrement moyen de 10 demandes par minute, mais les utilisateurs ne peuvent pas utiliser le quota horaire pendant une minute. Maintenant, ils auront besoin d'au moins 30 minutes pour utiliser toutes leurs requêtes. Les clients recevront des en-têtes supplémentaires pour chaque intervalle de temps donné, par exemple:

Bien sûr, il existe de nombreuses façons de personnaliser les limites de requête en fonction de ce que vous souhaitez réaliser.

Conclusions

Je vais terminer avec cela, je pense que le matériel est assez suffisant pour le premier article sur le gestionnaire d'API InterSystems. Nous n'avons utilisé qu'un seul parmi plus de 40 plugins. Vous pouvez faire beaucoup plus de choses intéressantes avec IAM:

• Ajoutez un mécanisme d'authentification central pour toutes vos API.
• Faites évoluer la charge à l'aide de l'équilibreur sur plusieurs services.
• Ajoutez de nouvelles fonctionnalités et des corrections de bugs pour le public de test avant une mise à niveau complète.
• Fournir aux développeurs internes et externes un portail Web dédié documentant toutes les API.
• Cachez les demandes pour réduire la latence des réponses et réduire la charge du système principal.

Les références

• Communiqué de presse
• Vidéo d'introduction
• Vidéo plus détaillée
• La documentation
• Configuration d'un équilibreur de charge
• Enregistrement d'un webinaire sur la gestion des API