APIゲートウェイとサービスメッシュ

Transcript

1. THE CLOUD CONNECTIVITY COMPANY APIゲートウェイと サービスメッシュ Kong Inc. 2021/06/11 Kong

   Proprietary and Confidential

2. THE CLOUD CONNECTIVITY COMPANY APIゲートウェイと サービスメッシュ Takafumi Ikeda Kong Proprietary

   and Confidential

3. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY Agenda APIゲートウェイとはなにか

   サービスメッシュとはなにか APIゲートウェイとサービスメッシュの違い Kongクイックデモ 30 Minutes

4. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイとは

5. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイパターン （デザインパターン）

   ユーザー管理 画像処理 機械学習 認証認可 セキュリティ ログ・監視 負荷分散 Req/Res変換 ... APIゲートウェイ

6. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY SOA （サービス指向アーキテクチャ）

7. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY SOA（サービス指向アーキテクチャ） •

   2000年代以前からある考え方 • 各コンポーネントを疎結合に実装し、独立性を高め、並列に開発デプロイを可能にする • XML, WSDL, ESB, etc • 様々な実装が提案されたがうまく行かなかった • 思想としてはよかったが、実装としては特定の言語や実行環境に依存したものが多かった

8. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY Web2.0

9. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY Web2.0 •

   2005年頃からWeb系、ソーシャル系各社が APIを公開し始め、Web2.0到来 • Google map, flickr, Twitter, etc • AJAX登場もこの頃、UXが一気にリッチに • バックエンドはAPIを提供、フロントエンドはその APIを利用 • マッシュアップの時代、複数の Web APIを組み合わせて新しいサービスを作ることが出来るように • SOAの理想をSOAとは関係ない文脈で可能にしてしまった

10. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY マイクロサービス •

    思想的にはSOAの発展系、実装としては Web2.0の流れを汲むもの • マイクロサービス同士が APIを呼び出し合い、協調して動作する • お互いを疎結合に設計し、独立して開発・デプロイを行えるようにする • 協調動作はするが、お互いに依存してはいけない • メリットとしては、言語や実行環境に依存することなく、目的ごとに別々の言語を選択できる • デメリットとしては、認証認可やロギングなどの処理を都度実装する必要がある

11. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY そこで登場するのが

12. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイ ユーザー管理

    画像処理 機械学習 認証認可 セキュリティ ログ・監視 負荷分散 Req/Res変換 ...

13. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイがないと •

    たとえば、Oktaを使ってシングルサインオンを実装したいとき ◦ Oktaが求める実装を各言語で行わなければならない ▪ ユーザー管理アプリに RubyでOktaライブラリの組み込み ▪ 画像処理アプリにKubernetesのCRDとして実装 ▪ 機械学習アプリにPythonでOktaライブラリの組み込み ◦ アプリ間でセッションや認証トークンの受け渡しをするための方式を定義しないといけない ◦ 各アプリが、他のアプリのアドレスやエンドポイントなどを知っていないといけない ◦ アプリ間の処理の順番を自分で制御しないといけない ◦ etc ◦ 本来のアプリケーションロジックと関係のないコードが混入し、スパゲッティ化しやすい

14. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイがあれば ユーザー管理

    画像処理 機械学習 認証認可 セキュリティ ログ・監視 負荷分散 Req/Res変換 ... 複数箇所に実装をしなくてよい KongのOpenID Connectプラグインが代行

15. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIマネジメントとは？ •

    APIゲートウェイにプラスアルファ機能を組み合わせて提供するソリューションのこと • 下記のような機能が代表的 ◦ 開発者ポータル（Developer Portal） ◦ APIスペックデザイン、APIドキュメント管理 ◦ モッキング ◦ 異常検知 • 設計、開発、デプロイ、運用といった、 APIのライフサイクル全般の管理が出来る

16. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイとAPIマネジメント •

    Kong OSS はAPIゲートウェイ • Kong Gateway (Enterprise) はAPIマネジメント製 品 • 尚、Kong Konnect は Kong Gatewayにサービス メッシュも含めたプラットフォームのこと APIマネジメント

17. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY サービスメッシュとは

18. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY サービスメッシュとは •

    マイクロサービス化、コンテナ化とともに出てきたデザインパターン • 各サービスコンテナの横にサイドカープロキシを置き、通信を管理する • APIゲートウェイがNorth-Southを管理するのに対して、サービスメッシュは East-Westと言われる • 実際にはコンテナとは関係がなく、 East-Westだけとも限らない • デザインパターンの名前であると同時に、当時出てきた特定の実装のことを指すことも多く、用語に揺れ や混乱が見られるのが特徴

19. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY サービスメッシュパターン

20. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY サービスメッシュの役割 •

    サービス間の通信の間に入り、認証認可、ロギング、サービスディスカバリ等共通処理を受け持つ • サービスはコンテナ化されていても、されていなくともどちらでもよい • APIゲートウェイと役割はかなり似ているが、通信経路がより単純化しやすく、管理が容易 • L7だけでなく、L4も対象に入っていることが多い（ DBコネクションも管理できる）

21. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイ＋サービスメッシュ ユーザー管理

    画像処理 機械学習 認証認可 セキュリティ ログ・監視 負荷分散 Req/Res変換 ... 認証認可 セキュリティ ログ・監視 サービスディスカ バリ

22. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY Kongの提供するサービスメッシュ •

    KumaというOSSサービスメッシュ ◦ ほぼ唯一、Kubernetesに依存しないユニバーサルサービスメッシュ ◦ Kubernetesにも、それ以外のVMベースのアプリでも、実行環境を問わず使える • Kong Meshというエンタープライズバージョンもあり、 Kumaに加えて下記機能が追加 ◦ FIPS対応 ◦ Open Policy Agent (OPA) 対応 ◦ Hashicorp Vault 対応 • Kong KonnectはこのKong MeshとKong Gateway、およびInsomniaを統合したサービスコネクティビティ プラットフォーム

23. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイとサービスメッシュの違い •

    一般的には下記のように言われる ◦ APIゲートウェイはNorth-South （外部との通信） ◦ サービスメッシュはEast-West （サービス間通信） • 間違いではないが、サービス間に APIゲート ウェイを使ってもよい ◦ 部署間、プロダクト間などに ◦ 社内であっても製品として提供していれ ばそこが切れ目であり、 APIゲートウェイ の出番 North-South East-West

24. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY APIゲートウェイとサービスメッシュの違い •

    通信の管理としては L4もカバーする サービスメッシュの方が包括的 • 製品としてのAPI管理についてはAPI ゲートウェイ（マネジメント）の範疇 • この2つの特徴を理解しつつ、ユース ケースに合わせてアーキテクチャ設計を することが重要

25. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY Kongクイックデモ

26. Kong Proprietary and Confidential THE CLOUD CONNECTIVITY COMPANY まとめ •

    APIゲートウェイとサービスメッシュは使い分けが重要 • 認証認可やロギングなどの共通処理を委譲することができ、開発生産性 UP • Kong KonnectはAPIゲートウェイとサービスメッシュを統合するプラットフォーム • 実行環境や言語、プロトコルに依存しない ◦ AWS, Azure, GCPすべてOK ◦ Kubernetesもそれ以外のアプリ環境も OK ◦ プログラミング言語にも依存しない ◦ REST, gRPC, GraphQL, Apache Kafkaに対応、さらにSOAPなども処理できる