API Management overview v0.1.22.0401

Transcript

1. Ayumu Inaba Cloud Solution Architect Microsoft Japan Azure API Management

   1

2. Agenda ユースケース API Management 概要 料金プラン セキュリティ 信頼性 監視 バージョン管理

   参考情報 2

3. ユースケース 3

4. Microsoft Cognitive Service 4 視覚 音声 言語 知識 検索 Face

   Emotion Computer Vision Video Speech Speaker Recognition Custom Recognition Spell Check Linguistic Analysis Language Understanding Text Analytics Academic Knowledge Knowledge Exploration Entity Linking Recommendations Web Search Image Search Video Search News Search

5. 東京ガス株式会社 新サービスを短期間で構築する基盤構築 システム間を緩やかにつなぐ「API ゲートウェイ」を Azure で実現、既存システムの資産を有効活用 した新サービスを短期間で立ち上げられる基盤を確立 ガス自由化による競争激化に対応するため、新規サービスを迅速に立ち上げられる基盤が必要に 必要な PaaS

   機能を組み合わせるだけでシステムを構築、実装に要した期間はわずか 1 週間 5 https://customers.microsoft.com/en-us/story/toyko-gas-azure-api- management-functions-storage-log-analytic-jp-japan

6. セブン銀行 PaaS のみでオープン API 基盤をスピード開発 オンラインバンキングシステムのフロントに、Azure の基盤を構築 外部に公開する API を管理する機能、および海外送金やリアルタイム振込といった外部サービスと連

   携するためのアプリケーションをホストする仕組みを PaaS のコンポーネントの組み合わせで実装。 Azure のパブリッククラウドと、プライベートクラウドが VPN 接続されたハイブリッドクラウド構成 6 http://ascii.jp/elem/000/001/607/1607230/

7. 日本ユニシス オープンAPI公開基盤「Resonatex™（レゾナテックス）」サービス 金融機関をはじめ各事業体が持つ Web API を オープン API としてインターネット公開するための クラウド型プラットフォームサービス

   2017年1月から他の IT ベンダーに先駆け、 自社のオープン勘定系システム「BankVision」の Web API 公開サービスの提供を開始 テクノロジー面においては、マイクロソフトのクラウド プラットフォームであるMicrosoft Azure および Azure API Management を採用 利用状況に応じた柔軟な費用体系と、OAuth2.0、 OpenID Connect などの活用による高い セキュリティを実現 7

8. オイシックス・ラ・大地様 モノリシックな構造のアプリに対して将来性に限界を感じ、マイクロ サービス化を決断。マネージド Kubernetes として AKS を採用。 8 https://aka.ms/AA5zgjd

9. Azure API Management 概要 9

10. Digital Transformation is built on APIs Data and services APIs

    Connected experiences

11. Frictionless consumption Self-service user onboarding Front door Single point of

    ingress Essence of API management Facade Hide backends from frontends Move backends without impacting frontends Re-architect backends without impact on frontends Expose a subset of backend capabilities Aggregate or slice backends into APIs Modernize legacy backends Decouple frontend developers with mocks Route Authenticate Authorize Throttle Transform Trace Meter Discover APIs Learn how to use APIs Try APIs without writing any code Request and receive access to APIs Download API specs, samples, and SDKs Interact with the API provider Get usage reports

12. Facade, front door, and frictionless consumption 12 User plane Data

    plane Management plane API Apps on devices App developers Discover Learn Try Onboard Get help Abstract and decouple Secure and protect Revise and version Monitor and measure Publish and monetize API providers Gateway Developer portal (micro)services

13. API ライフサイクル API 開発 ビジネス要求 インタフェース API 構築 API 発行

    API 利用 API 運用 アプリ開発 ドキュメント テスト API ホスト 保護/最適化 バージョン API 開発者 API 管理者 API 管理者 アプリ開発者 監視 使用量 正常性

14. API 構築・発行 Azure Portal で API の定義や設定を管理 Open API の定義やインポート、各種ポリシーの設定、認証、ネットワーク、製品やサブスクリ

    プションの管理、開発者ポータルの発行、ユーザー管理、監視、分析、etc… 14

15. API 構築 既存の API からインポートあるいは新規に定義を作成 15

16. API 構築 様々なスコープのポリシー設定で API の動作をカスタマイズ CORS 設定、呼び出し回数によるスロットリング、呼び出し元のアクセス制御、バックエンド API の保護、URL Ｒ

    ｅｗｒｉｔｅ、キャッシュ、モック応答、etc… 16 global product api operation inbound outbound to backend from backend from caller to caller GET /foo/bar HTTP/1.1 Host: api.constoso.com Key: 0123456789 0123456789 /foo /bar CORS LOG RATE QUOTA JWT CACHE URL BODY

17. API 発行 1つ以上の API を製品として束ね、グループに対してアクセス許可 を割り当てる グループに属するユーザーはサブスクリプションを作成することでキーを取得できる ＡＰＩ に対して直接サブスクリプションを割り当てることも可能 17

    Product Group User Subscription Built-in: Guest, Developer, Admin Custom: native or Azure AD 1 1 many many many many API many many 1 1 many 1 0..1 many

18. API 利用 アプリ開発者は開発者ポータルで API を発見、試用してアプリに 組み込む 既定では有効になっていないため、管理側で明示的に有効化する 開発者が自身で API の説明を確認、テストアプリ、サンプルコード、キー管理などを利用することがで

    きる 18 開発者ポータル自体は API ゲートウェイ部分とは独立した Web アプリケーション

19. API 利用 User plane Data plane Management plane API Apps

    on devices App developers Discover Learn Try Onboard Get help Gateway Developer portal ① サ ブ ス クリプ シ ョン と API キ ー の 発 行 ② アプリ開発とキーの組み込み ③ API キ ー を 使 用 した 呼 び 出 し (micro)services ④ バ ックエ ンド API が 呼 び 出 され る

20. API 利用 開発者ポータルは必須ではない 20 Data plane Management plane API Apps

    on devices App developers Abstract and decouple Secure and protect Revise and version Monitor and measure Publish and monetize API providers Gateway ② アプリ開発とキーの組み込み ① サ ブ ス クリプ シ ョン と API キ ー の 発 行 ③ API キ ー を 使 用 した 呼 び 出 し ④ バ ックエ ンド API が 呼 び 出 され る

21. API 運用 Azure Portal から 各種メトリックや統計情報を確認 21

22. ＡＰＩ 運用 Azure Monitor を使用した高度な分析 22 Application Insights Log Analytics

    ワークスペース

23. 料金プラン 23

24. 価格レベルに基づく機能比較 24 https://docs.microsoft.com/ja-jp/azure/api- management/api-management-features Feature Consumption Developer Basic Standard Premium

    Azure AD integration1 No Yes No Yes Yes Virtual Network (VNet) support No Yes No No Yes Multi-region deployment No No No No Yes Availability zones No No No No Yes Multiple custom domain names No Yes No No Yes Developer portal2 No Yes Yes Yes Yes Built-in cache No Yes Yes Yes Yes Built-in analytics No Yes Yes Yes Yes Self-hosted gateway3 No Yes No No Yes TLS settings Yes Yes Yes Yes Yes External cache Yes Yes Yes Yes Yes Client certificate authentication Yes Yes Yes Yes Yes Policies4 Yes Yes Yes Yes Yes Backup and restore No Yes Yes Yes Yes Management over Git No Yes Yes Yes Yes Direct management API No Yes Yes Yes Yes Azure Monitor logs and metrics No Yes Yes Yes Yes Static IP No Yes Yes Yes Yes WebSocket APIs No Yes Yes Yes Yes GraphQL APIs (preview) Yes Yes Yes Yes Yes

25. 価格表 25 使用量 Developer Basic Standard Premium Isolated プレビュー 目的

    API Management サービス の軽量型でサーバーレスの バージョン、実行ごとに課金 非運用ユースケースと評価 エントリレベルの運用ユース ケース 中容量の運用ユースケース 大容量またはエンタープライ ズ運用のユース ケース 高レベルの分離を必要とする エンタープライズ運用のユー ス ケース 料金 (ユニットごと) サブスクリプションごとに 0-1 百万回の呼び出し - 無償1 00 万以上の呼び出し - 10,000 呼び出しあた り $0.0425 $0.07/時間 $0.21/時間 $0.95/時間 $3.83/時間 追加ユニット (1 個以上) の 単価は、最初に購入したユ ニットの 50% TBA7 キャッシュ (ユニットごと) 外部のみ 10 MB 50 MB 1 GB 5 GB 5 GB スケールアウト (ユニット) 該当なし (自動スケーリング) 1 2 4 リージョンごとに 12 (電話サポートなど) リージョンごとに 12 (電話サポートなど) SLA 99.95% いいえ 99.95% 99.95% 99.99%1 99.99% 分離 共有 Private Private Private Private Private 使用制限 制限の適用 いいえ いいえ いいえ いいえ いいえ キャッシュ、外部3 はい はい はい はい はい はい 開発者ポータル いいえ はい はい はい はい はい 複数のカスタム ドメイン名4 いいえ はい いいえ いいえ はい はい 開発者ポータルでの Azure Active Directory 統合 いいえ はい いいえ はい はい はい 可用性ゾーンのサポート いいえ いいえ いいえ いいえ はい いいえ 仮想ネットワーク サポート いいえ はい いいえ いいえ はい はい 複数リージョン デプロイ いいえ いいえ いいえ いいえ はい はい セルフホステッド ゲートウェイ いいえ はい5 いいえ いいえ はい7 はい 予測最大スループット2 (per unit) 該当なし (自動スケーリング) 500 要求/秒 1,000 要求/秒 2,500 要求/秒 4,000 要求/秒 4,000 要求/秒 コンピューティングの分離 いいえ いいえ いいえ いいえ いいえ はい https://azure.microsoft.com/ja- jp/pricing/details/api-management/

26. Security 26

27. データプレーンのセキュリティ 27 Developer portal Gateway Admin console Key OAuth 2

    & OpenID Connect Client certificate IP filter External authorizer (custom) Rate limits and quotas “Downstream” “Upstream” Key Mutual certificate OAuth 2 & OpenID Connect* HTTP Basic IP filter Network security (VNET)

28. 仮想ネットワークとの統合 外部モード ゲートウェイのバックエンドから VNET 内やオンプレ ミスリソースへの閉域ネットワークアクセスが可能に 開発者ポータルやゲートウェイのフロントエンドは変 わらずパブリックインターネットからアクセスが可能 内部モード API

    Management のすべてのサービスエンドポイント が VNET 内からのみアクセス可能に（独自 DNS 構成 が必要） ゲートウェイのフロントエンド閉域化されてしまうため、 Azure Portal からの API テストが使用不能になる 28 どちらの場合もAzure Portal 等による管理操作は変わらずパブリックインターネットから実施

29. セルフホステッドゲートウェイ API Gateway を任意の場所でホストすることで、トラフィック フローを最適化し、セキュリティとコンプライアンス要件に対応 Gateway へのイングレス／エグレス通信共に Azure を経由する必要がない ゲートウェイは

    Docker コンテナーイメージと して提供され、オンプレ Kubernetes 等の 各種環境で実行可能 マネージドゲートウェイと比較すると一部の 機能に制限がある 29 Developer portal Gateway Admin portal Self-hosted Gateway Client App Backend API 管理プレーンへの通信 : 443 （構成情報、ハートビート、ログ等） https://docs.microsoft.com/ja-jp/azure/api- management/self-hosted-gateway-overview

30. IP アドレス制限 VNET 統合を行わない場合には IP アドレス制限を検討する イングレス制御 ： inbound ポリシーセクションで

    ip-filter ポリシーを利用する エグレス制御 ： バックエンド API の Firewall で API-M の IP のみ許可する 30 Client Backend API API Gateway Ingress Egress Ｃｌｉｅｎｔ の送信 ＩＰ を登録 API Management の送信 IP を登録 ※ 従量課金プランではサービスインスタンス専用のパブリック IP がないため設定できない Inbound ポリシー

31. フロントエンド側の保護 クライアント証明書 クライアント証明書を要求するように構成し、validate- client-certificate ポリシーで提示された証明書を 検証する JSON Web Token の検証

    validate-jwt ポリシーで提示されたトークンが必要な 条件を満たしているか検証する クライアントは事前に IDP から必要なトークンを取得し、 HTTP ヘッダーやクエリパラメータで送信する必要が ある 31 Client API Gateway Ingress https://docs.microsoft.com/ja-jp/azure/api-management/api- management-access-restriction-policies

32. フロントエンド側の保護 転送率とクォータを元にスロットリング制限をかけることで API を保護することもできる 転送率の制限 ：短期間かつ大量のバーストを防止するために使用する クォータ ：サブスクリプションのレベルに応じた長期間の呼び出し上限を設定する 32 Client

    API Gateway Ingress <rate-limit-by-key calls="10" renewal-period="60" counter-key="@(context.Request.IpAddress)"/> <quota-by-key calls="10000" bandwidth="40000" renewal-period="2629800" counter-key="@(context.Subscription.Key)" />

33. バックエンド API の保護 バックエンド API が対応する認証方式に応じて必要な認証 情報をセットすることができる 基本認証 クライアント証明書認証 Managed

    ID による Azure AD 認証 33 Egress Backend API API Gateway 証明書認証は API 定義で Backend 指定画面でも設定できる （ポリシーが自動的に追加される） Managed ID は別途有効化しておく

34. バックエンド API の保護 バックエンド API が呼び出しに API キーを要求する場合は 変換ポリシーを利用して情報を付与する HTTP

    ヘッダーの設定 クエリ文字列パラメータの設定 34 Egress Backend API API Gateway

35. 管理プレーンと開発者ポータルのセキュリティ 35 Developer portal Gateway Admin console Username/Password Internet identity

    providers: Microsoft account Google account Facebook account Twitter account Delegated (custom) Azure AD Azure AD B2C App developers (use APIs) API providers Azure AD Role Based Access Control

36. 開発者ポータルのユーザー認証 開発者ポータルにアクセスできるユーザーを認証することで API の不正利用を防ぐ 既定では「ユーザー名とパスワード」によるユーザー管理が有効になっているが、Azure AD や Azure AD B2C

    といった外部の Ｉｄｐ による認証も可能 自身が管理する Ｗｅｂ サイトに認証を「委任」することも可能（対応する各種エンドポイントを 用意する必要がある） 36 Developer portal App developers (use APIs) Idp サインイン トークン トークン

37. 開発者ポータルのアクセス制御 認証された開発者ポータルのユーザーは、割り当てられたグループ に関連付けられた「製品」を利用することが出来る 製品をグループに関連付けておくことで、開発者ポータルでアクセス可能な製品が参照できる 開発者は各製品の利用に必要な「API キー」を自身で発行することができる（サブスクリプション） 37 ↑製品とグループの関連付け グループへのメンバー追加→ （Azure

    Portal） 開発者ポータルから サブスクリプションとキーを確認

38. 管理プレーンの保護 Azure Portal や ARM API を利用する管理操作のアクセス 制御には Azure RBAC

    を利用する API Management が所属するサブスクリプションの Azure AD ユーザーに対して、必要な ロールが割り当てられている場合に管理操作が可能 下記は API Management 専用に設計されたロールだが、これ以外にも所有者や共同作 成者ロールもアクセス権を持っている 38 Role 読み取りアクセス[1] 書き込みアクセス[2] サービスの作成、削除、 スケーリング、VPN、カ スタム ドメインの構成 以前のパブリッ シャー ポータルへ のアクセス 説明 API Management Service Contributor ✓ ✓ ✓ ✓ スーパー ユーザー。 API Management のサービスとエンティ ティ (API やポリシーなど) への完全な CRUD アクセス権があ る。 以前のパブリッシャー ポータルにアクセスできる。 API Management サービス リーダー ✓ API Management のサービスとエンティティへの読み取り専 用アクセスがある。 API Management サービス オペレーター ✓ ✓ API Management サービスは管理できるが、エンティティの管 理はできない。 [1] API Management サービスとエンティティ (API やポリシーなど) への読み取りアクセス [2] 次の操作以外の API Management サービスとエンティティへの書き込みアクセス: インスタンスの作成、削除、およびスケーリング、VPN 構成、カスタム ドメインのセットアップ https://docs.microsoft.com/ja-jp/azure/api-management/api-management-role-based-access-control

39. Reliability ＆ Scalability 39

40. コンピューティングプラットフォーム API Management はレベルや作成時期に応じて基盤となる アーキテクチャが異なる 各バージョンの API Management の可用性はそれぞれのアーキテクチャから提供される 接続性や回復性を元に実現されている

    https://docs.microsoft.com/ja-jp/azure/api-management/compute-infrastructure 40 従量課金レベルを 使用している mtv1 : Multi-tenant v1 App Service ベース ２０２１ 年 4 月以降に Portal で あるいは 2021-01-01-preview 以降の API で作成した ｓｔｖ２ : Ｓｉｎｇｌｅ-tenant v２ ＶＭ Scale Sets ベース Premium レベルで ゾーン冗長を有効化している ｓｔｖ1 : Ｓｉｎｇｌｅ-tenant v1 クラウドサービス ベース （クラシック） Yes Yes Yes No No No

41. Service Level Agreement SLA 対象 マイクロソフトは、単一リージョン内で展開される Consumption レベル、Basic レベル、Standard レ

    ベル、Premium レベルで実行される API Management サービスのインスタンスが、99.95% 以上 の時間において、操作の実行要求に応答することを保証します。 マイクロソフトは、2 つ以上のリージョンにわたって展開される、Premium レベルで実行される API Management サービスのインスタンスが、99.99% 以上の時間において、操作の実行要求に応答 することを保証します。 マイクロソフトは、リージョン内の 2 つ以上の可用性ゾーンにわたって展開される、Premium レベルで 実行される API Management サービスのインスタンスが、そのリージョン内で 99.99% 以上の時 間において、操作の実行要求に応答することを保証します。 SLA 対象外 API Management サービスの Developer レベル。 自己ホスト型の API Management コンポーネント。 41 https://azure.microsoft.com/ja-jp/support/legal/sla/api-management

42. 柔軟なスケーラビリティ 使用する価格レベルに応じてユニット当たりの想定スループットが 設定されている 容量が不足する場合はスケールアップ（＝上位レベルに変更する）か、スケールアウト（ユニット数を増 やす）ことができる スケールアウトは手動で指定することも可能だが、Standard / Premium はもしくはメトリックに応じ て自動スケールさせることも可能

    （従量課金の場合は常に自動スケール） 42 スケールアウト Basic 1000 rps Standard 2500 rps Premium 4000 rps Premium 4000 rps Premium 4000 rps Basic 1000 rps Standard 2500 rps Standard 2500 rps Standard 2500 rps Premium 4000 rps ・・・・・・・・・・・・・ スケールアップ ～ ２unit ～ 4unit ～ 12unit /reｇion

43. 高可用性 Premium 価格レベルではゾーン冗長および複数リージョン デプロイを適用することで 99.99% の SLA が提供される 43 Region

    Zone 2 Zone 3 Zone 1 Availability Availability Availability Datacenter Datacenter Region 1 Region 2 Premium 以外は選択したリージョン内 のいずれかの場所に自動的に配置され る（可用性セットベース） Premium でも既定はこの構成 ゾーン冗長を有効にすることで内包する各ユニットを複 数ゾーンに対して分散配置することができる ゲートウェイだけでなく管理 API や開発者ポータルなど も冗長化され、ゾーン障害に対する回復性が向上する 複数リージョン配置を有効にすることで広域災害およびグローバル 負荷分散に対応し、リージョンの制限を超えたスケールアウトが可能 API は単一のURLでホストされるが最も近いリージョンに自動的に ルーティングされる セカンダリリージョンに配置されるのはゲートウェイ部分のみ Region 3

44. Observability 44

45. 運用中の監視ポイント 監視や障害対応に必要な情報は API Management 特有 の機能と、より汎用的な Azure Monitor を使用する API

    Management 固有の機能 API 分析 問題の診断と解決 Azure Monitor 系の機能 リソース正常性 メトリックエクスプローラー アクティビティログ リソースログ Application Insights Log Analytics （診断設定） API 分析 問題の診断と解決 https://docs.microsoft.com/ja-jp/azure/api- management/api-management-howto-use-azure-monitor

46. API Management 固有の監視と分析機能 下記の ２ 機能は特に設定することなく API Management の作成直後から利用可能 ※

    ただし従量課金レベルを除く 46 API Management の API 分析 様々な観点（時刻、地理的な場所、API、操作、製品、サブスクリプション、ユー ザー、要求）で使用状況やパフォーマンスを分析 問題の診断と解決 APIM で公開された API のトラブルシューティングを支援するインテリ ジェントな対話型エクスペリエンス

47. Azure Monitor メトリックと正常性 “メトリックエクスプローラー”を使用す ると概要ビューより詳細な分析が可能 “リソース正常性”でサービスが正 常に動作しているか確認 47 API Management

    でサポートされているメトリック API Management のリソース正常性チェック内容

48. Azure Monitor プラットフォームログ アクティビティログには各種の管理 イベントが記録される 標準で記録され参照可能だが、診断設定でエク スポートしたほうが使いやすい リソースログには各種データプレーン操 作が記録される このログは診断設定で明示的にエクスポートしないと

    参照できないので注意 １ｓｔ Ｐａｒｔｙ 製品であれば Log Analytics Workspace がおススメ 48 Azure API Management リソース ログのスキーマ

49. Azure Monitor Application Insights API Management だけでなく、クライアントおよびバックエン ドを横断したテレメトリの収集と分析を行う アプリや API

    に対しては SDK を使用したインストルメンテーションが必要 49 Azure API Management と Azure Application Insights の 統合 - Azure API Management | Microsoft Docs

50. 高度な分析の例 診断設定で各種ログをEvent Hub にエクスポートすることで カスタムソリューションを構築することも可能 50 Data plane Gateway Apps

    on devices (micro)services Event Hub Stream Analytics Power BI Machine Learning SQL Database Hadoop Storage

51. Lifecycle Management 51

52. API の更新と変更管理 中継点となる API の変更は影響が大きいため、新旧を並行 稼働させることでサービス停止や混乱を防ぐ 非互換が発生する重大な仕様変更を伴う場合にはバージョン管理を行う Azure API Management

    のバージョン 互換性が保たれるバクフィックスやバックエンドの更改などにはリビジョン管理を行う API Management のリビジョン 52 クライアント v１ Rev1 （モック応答） Rev2 （実 API 呼出） API Managemnt api-version=v1 現在の リビジョン 正式版のAPI v１ Rev1 （モック応答） Rev2 （実 API 呼出） api-version=v1 正式版のAPI Before After 自動切換え V1 向け実装 API 仕様 V2 api-version = v１ api-version = v2 V２ 向け実装 Client V1 Client V2 Supportable Supportable Preview V1 V2

53. API リビジョンの更新 いきなり API 定義を書き換えるのではなく、新規リビジョンの 作成 > 新しいリビジョンの定義を修正 > 新しいリビジョンを

    アクティブにする（make current）の流れで作業する 53 リビジョン２を追加しても まだ１が Current リビジョン２の定義を修正する （１を修正すると利用中のユーザーに影 響が出るため） API 実装にルーティング リビジョン２の定義が終わってテス トしたら ２ を Current にする

54. API バージョンアップ 最初の API 作成時にバージョニングを有効にすること 新バージョンが追加されると独立した API 定義として管理される 呼び出し側はパス、クエリ文字列、ヘッダーにバージョンを明示して呼び分けることができる 54

    同一 API の別バージョン

55. Reference 55

56. リファレンス 公式ドキュメント API Management のドキュメント API Management の価格 API Management

    の SLA トレーニングコンテンツ（Microsoft Learn） Azure API Management の概要 API Management の詳細 Azure ラーニング パスでの API 統合の設計 非公式 Azure Api Management 俺的マニュアル 2020年3月版 (slideshare.net) aka.ms/apimlove | api-management-resources (azure.github.io) 56

57. Microsoft Confidential ◼ 本資料は情報提供のみを目的としており、本資料に記載されている情報は、本資料作成時点でのマイクロソフトの見解を示したものです。状況等の変化により、内容は変更される場合があります。本資料 に特別条件等が提示されている場合、かかる条件等は、貴社との有効な契約を通じて決定されます。それまでは、正式に確定するものではありません。従って、本資料の記載内容とは異なる場合がありま す。また、本資料に記載されている価格はいずれも、別段の表記がない限り、参考価格となります。貴社の最終的な購入価格は、貴社のリセラー様により決定されます。マイクロソフトは、本資料の情報に対 して明示的、黙示的または法的な、いかなる保証も行いません。 © ２０２０ Microsoft

    Corporation. All rights reserved. Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、一般に各社の商標です。 57