Che cos'è un gateway API?

Le sue funzioni includono l'instradamento e la trasformazione delle richieste dei clienti, l'aggregazione delle risposte, l'applicazione delle policy di sicurezza e l'integrazione con analytics e strumenti di monitoraggio.

Un application programming interface (API) è un insieme di regole o protocolli che consentono alle applicazioni software di scambiare dati, caratteristiche e funzionalità. Le API aiutano le aziende a utilizzare sia i servizi interni che quelli di terze parti senza dover creare integrazioni personalizzate per ciascuno di essi. Oltre otto aziende su dieci hanno adottato in qualche misura una strategia API-first, mentre il 25% si considera completamente API-first, secondo lo State of the API Report di Postman.

Gli API Gateway svolgono un ruolo fondamentale negli ambienti IT moderni, semplificando le interazioni con le API e aiutando le applicazioni client ad accedere a una vasta gamma di servizi (attraverso le rispettive API di questi servizi), anche servizi sviluppati in diversi linguaggi di programmazione, in hosting su piattaforme diverse o distribuiti su cloud, edge e on-premise.

Gli API Gateway possono servire sia utenti interni che accedono a un'applicazione di prima o terze parti, sia utenti esterni, come clienti o business partner. Nei sistemi federati, le imprese utilizzano più gateway per far rispettare diversi protocolli e standard di sicurezza a seconda del gruppo di API o del tipo di utente.

Le API Gateway sono spesso dotate di due livelli architettonici principali:

• Il control plane gestisce la configurazione e la gestione, impostando le politiche di sicurezza, registrazione e monitoraggio delle richieste API e definendo le regole di routing.
   

• Il piano dati instrada le richieste API in tempo reale, facendo rispettare le linee guida di instradamento, i protocolli di sicurezza e i vincoli dati imposti dal control plane.

Una richiesta di dati proveniente da un client a un'API prende il nome di chiamata API. L'API gateway riceve una chiamata API (a volte chiamata richiesta API), la indirizza a uno o più servizi di backend, raccoglie i dati richiesti e li consegna al cliente in un'unica risposta combinata. In caso contrario, il client dovrà interfacciarsi direttamente con più API per accedere a ogni servizio o origine dati pertinente.

Ad esempio, un sistema sanitario potrebbe utilizzare un API Gateway per aiutare i pazienti a connettersi a più servizi di back-end attraverso un'applicazione rivolta all'utente. Utilizzando un laptop o un telefono, i pazienti possono consultare le cartelle cliniche, fissare appuntamenti, effettuare pagamenti e inviare messaggi, il tutto dalla stessa dashboard. L'API Gateway agisce come un unico punto di ingresso, instradando le chiamate API al servizio appropriato, così gli utenti non devono navigare tra più piattaforme per accedere a ciascun servizio. Supporta inoltre la crittografia, l'applicazione delle autorizzazioni e altre misure di sicurezza per aiutare a proteggere i dati sensibili dei pazienti.

Prima di esplorare come vengono implementate le API Gateway, è importante capire in che modo differiscono dalle API stesse. Le API sono insiemi di regole e protocolli che consentono a diverse applicazioni software di comunicare, spesso tramite i protocolli basati sul web HTTP o HTTPS. Sono come i piani all'interno di un edificio per uffici, e ogni piano rappresenta un servizio specifico. Per recuperare i dati, il cliente deve visitare il piano corrispondente per accedere al servizio interno.

Un API Gateway, invece, è come la porta d'ingresso dell'edificio per uffici: il punto di passaggio singolo che i clienti devono utilizzare per raggiungere ogni piano. In molte configurazioni, il gateway funge anche da portiere: controlla le credenziali dei visitatori per determinare a quali piani hanno il permesso di accedere. E invece di richiedere ai clienti di esplorare ogni piano da soli, recupera le informazioni o i servizi richiesti per loro conto e li restituisce come un unico pacchetto.

Le API Gateway aiutano le organizzazioni a offrire un'esperienza API uniforme, sicura e soddisfacente per gli utenti. Le funzioni e le responsabilità chiave includono:

Agendo come endpoint API unificato, il gateway riceve le chiamate in arrivo, le autentica, le elabora in base alle policy organizzative e le instrada verso i servizi di backend appropriati. Successivamente, il gateway aggrega e restituisce i risultati al client API (spesso un'app o un sito web rivolto all'utente) in forma composita.

Questo processo consente agli utenti di accedere a diverse risorse con una singola chiamata API e di ricevere una risposta coesa. In alcune configurazioni, il gateway opera insieme a un livello di orchestrazione del workflow che può coordinare compiti automatizzati a più passaggi per semplificare le funzioni aziendali.

L'API Management è il processo scalabile di creazione, pubblicazione e gestione delle API all'interno di un'azienda. Secondo la società multi-cloud f5, le organizzazioni moderne spesso gestiscono migliaia (PDF) di API simultaneamente, rendendo visibilità, controllo e governance una sfida continua.

Gli API Gateway semplificano questa complessità centralizzando i compiti di gestione come il routing delle richieste, la versioning, il bilanciamento del carico e la gestione del traffico. Inoltre, migliorano l'observability delle API generando i log delle chiamate API e integrandosi con l'analytics, offrendo ai team un insight più approfondito dei modelli di utilizzo delle API e delle prestazioni.

L'API security si riferisce alle pratiche e alle procedure che proteggono le API dagli usi impropri, dagli attacchi e da altre minacce alla cybersecurity. Gli API Gateway aiutano a far rispettare i protocolli di API security gestendo autenticazione, autorizzazione e altri controlli di permessi e accessi.

Utilizzano protocolli di crittografia come Transport Layer Security (TLS) e Open Authorization (OAuth) per mantenere una rete protetta e facilitare connessioni sicure. La limitazione di velocità, ovvero consentire un certo numero di richieste per utente, può proteggere dagli attacchi Distributed Denial-of-Service (DDoS). Infine, l'API Gateway gestisce la governance e la supervisione di ogni API di sua competenza, proteggendo da disallineamenti, API shadow e altre vulnerabilità di sicurezza.

Gli API Gateway possono monitorare e registrare le richieste, le risposte e gli errori delle API. Le organizzazioni utilizzano questi dati di analytics per ottenere una migliore comprensione del traffico e delle prestazioni delle API, migliorare la risoluzione dei problemi e rafforzare la sicurezza.

I log e le metriche non solo migliorano la visibilità, aiutando i team a identificare rapidamente errori e minacce alla sicurezza, ma forniscono anche un contesto su come e perché si verificano gli errori, contribuendo allo stato di salute del sistema a lungo termine.

Gli API Gateway possono rafforzare l' efficienza aziendale migliorando le prestazioni e la disponibilità dei servizi di backend, contribuendo a un'esperienza più affidabile e reattiva per gli utenti. 

La compressione delle risposte consente al gateway di trasformare risposte di grandi dimensioni in file più piccoli, riducendo il consumo di larghezza di banda e i tempi di caricamento. Il caching aiuta le aziende a memorizzare localmente i dati di riferimento più comuni, migliorando le prestazioni e riducendo al minimo i costi e il carico del server.

Infine, sebbene le aziende spesso implementino limiti di velocità per motivi di sicurezza, questa tattica promuove anche la stabilità. Aiuta a evitare che i server vengano sovraccaricati e a garantire che l'accesso alle API sia distribuito in modo equo.

Sebbene condividano le funzioni principali, le distribuzioni delle API Gateway possono variare a seconda dell'architettura e dell'implementazione. I framework comuni includono:

Un'architettura di microservizi è un approccio allo sviluppo software che suddivide le applicazioni in parti più piccole e funzionanti indipendentemente. Ogni microservizio è responsabile di una singola funzione e può essere distribuito e scalato in modo autonomo. Allo stesso tempo, i servizi possono comunicare facilmente tramite API, come mattoni modulari per programmi più grandi. Quasi tre quarti delle organizzazioni utilizzano microservizi, mentre un ulteriore 23% prevede di implementare il framework in futuro, secondo un rapporto Gartner del 2023.

In un ambiente di microservizi, le API Gateway spesso gestiscono il traffico nord-sud, indirizzando le chiamate API da client esterni al servizio di backend appropriato. Spesso collaborano con le reti di servizi, che gestiscono principalmente il traffico est-ovest, o le comunicazioni tra servizi all'interno dell'ambiente dei microservizi.

Esistono alcune eccezioni: un'API Gateway può essere configurata per instradare il traffico interno, soprattutto in ambienti moderni. Ma il gateway tende a trovarsi in un livello architetturale separato, mentre le mesh di servizio vengono distribuite insieme o integrate con ciascun servizio per facilitare e gestire le connessioni interne.  

In un ambiente di microservizi, l'API Gateway svolge un ruolo chiave consentendo alle organizzazioni di restituire le risorse richieste tramite una singola chiamata API. Ad esempio, un'azienda di di e-commerce potrebbe avere servizi separati per le informazioni su prodotti, prezzi e inventario. Con un API Gateway, un'applicazione può recuperare informazioni o accedere a funzioni da ogni servizio tramite una singola richiesta. Questo workflow è particolarmente utile man mano che gli ambienti di microservizio diventano più complessi e le aziende aggiungono nuovi servizi e API nel tempo.

Kubernetes è un sistema di orchestrazione open source che aiuta le aziende a distribuire, scalare e gestire i servizi all'interno di ambienti containerizzati, in cui le applicazioni sono impacchettate come container leggeri integrati con le loro dipendenze. Kubernetes viene spesso utilizzato nelle architetture a microservizio, sebbene possa supportare anche architetture monolitiche, serverless e altri framework. La piattaforma di orchestrazione svolge un ruolo critico nell'infrastruttura cloud moderna, permettendo agli sviluppatori di costruire applicazioni una volta e implementarle ovunque.

Le API Gateway possono interagire con un cluster Kubernetes containerizzato in diversi modi:

• Quando è implementato davanti a più di un cluster Kubernetes, un API Gateway può integrarsi con un bilanciatore di carico, indirizzando il traffico al cluster corretto in modo che nessuna singola istanza venga sovraccaricata.
   

• Una volta implementato sull'edge di un singolo cluster Kubernetes, un'API Gateway può avere funzione di controller di ingresso. I controller di ingresso indirizzano il traffico in un cluster Kubernetes, verso i servizi richiesti e poi di nuovo in uscita.
   

• Quando è distribuito all'interno di un cluster Kubernetes, un API Gateway può integrare e lavorare insieme a una mesh di servizi, che gestisce la comunicazione tra servizi containerizzati interni. Questa integrazione può migliorare il bilanciamento del carico, l'individuazione dei servizi, il routing del traffico e la crittografia end-to-end.

In un modello serverless, gli sviluppatori non si interfacciano direttamente con i server che supportano le applicazioni. Invece, i provider di cloud sono responsabili del provisioning e della gestione dei server, in modo che gli sviluppatori possano concentrarsi esclusivamente sulla scrittura e sulla distribuzione del codice.

In un contesto serverless, gli API Gateway funzionano come i gateway in ambienti di microservizi, ma invece di recuperare i dati da servizi di lunga durata, attivano eventi (istruzioni che avviano azioni particolari) basati sulle richieste del cliente. Questo approccio aiuta a garantire che le applicazioni vengano eseguite solo quando necessario, migliorando sicurezza ed efficienza.

Un modello di distribuzione serverless può essere utilizzato per implementare un'architettura di microservizi, creando una sorta di infrastruttura ibrida, in cui ogni servizio opera come implementazione serverless (piuttosto che come implementazione containerizzata o implementazione di una macchina virtuale). Una tale configurazione può ridurre i costi e migliorare la scalabilità, specialmente per i workload variabili.

Non tutte le implementazioni di API Management hanno lo stesso aspetto. I componenti possono differire in base alla complessità del sistema, all'approccio architettonico e al caso d'uso previsto, anche se le distinzioni non sono sempre chiare, con alcuni componenti che condividono ruoli e funzioni sovrapposti.

Un controller di ingresso è un componente software nativo Kubernetes che agisce come proxy inverso, instradando traffico HTTP esterno (o HTTPS) verso i servizi all'interno di un cluster Kubernetes basandosi su un insieme di regole di ingresso. I controller di ingresso spesso dispongono di funzionalità di bilanciamento del carico, che indirizzano in modo intelligente il traffico verso diversi servizi per garantire la stabilità della rete. Possono anche modificare dinamicamente i comportamenti di routing per adattarsi a nuove implementazioni e aggiornamenti di configurazione.

Sebbene i controller di ingresso Kubernetes svolgano alcune delle stesse funzioni degli API Gateway, il ruolo degli API Gateway è generalmente più ampio, incorporando capacità di gestione di alto livello come audit, registrazione, controllo degli accessi e sicurezza. Inoltre, mentre gli API Gateway possono supportare varie configurazioni, i controller di ingresso sono specifici per gli ambienti Kubernetes.

Una mesh di servizi è un livello infrastrutturale che facilita la comunicazione tra i servizi interni, consentendo loro di condividere in modo efficiente dati e funzioni. Mentre il piano di controllo (che imposta le configurazioni e le politiche) è centralizzato, il piano dati viene distribuito su ogni servizio tramite proxy sidecar leggeri.

Questi proxy, che si trovano accanto a ciascuna istanza del servizio, eseguono le politiche del piano di controllo, tra cui sicurezza, registrazione, routing e crittografia. Al contrario, i gateway API si trovano in genere ai margini della rete, in un livello architetturale separato sia dal client che dalle API che gestiscono.

Sebbene una service mesh aiuti i servizi interni a scambiare dati e informazioni, necessita comunque di un modo per interagire con il traffico esterno. In questo caso, un componente speciale chiamato gateway di ingresso agisce come punto di ingresso della mesh, gestendo l'instradamento del traffico esterno mantenendo policy di sicurezza e prestazioni. Gli API Gateway e le mesh di servizi vengono spesso utilizzati insieme, con l'API Gateway che gestisce le interazioni rivolte al pubblico e le mesh di servizi che facilitano le connessioni tra i servizi.

Più un ambiente API è complesso, maggiore è il traffico proveniente dalle API e maggiore è il valore che un'API Gateway può fornire. Oltre a instradare il traffico verso i servizi back-end, Le API Gateway possono anche:

Gli API Gateway possono ottimizzare l'instradamento del traffico per contribuire a ridurre la latenza e migliorare l'esperienza utente. La limitazione della frequenza imposta un vincolo al numero di richieste che un client può effettuare e blocca le richieste eccessive. Il throttling delle richieste gestisce i picchi di traffico rallentando, ritardando o mettendo in coda le richieste. E il bilanciamento del carico aiuta le aziende a determinare lo stato di salute di un server basandosi su metriche in tempo reale e ad adattare di conseguenza i percorsi di instradamento.

Insieme, queste strategie proteggono i servizi di backend dal sovraccarico o dalla compromissione, riducono al minimo i tempi di risposta e contribuiscono a un servizio più rapido e affidabile.

I gateway API aiutano le organizzazioni a bilanciare il traffico delle API e i workload man mano che l'organizzazione cresce. I gateway possono integrarsi con i sistemi di automazione per aggiungere o rimuovere istanze in tempo reale in base alla domanda di traffico, consentendo agli sviluppatori di concentrarsi sul core business e sullo sviluppo delle API piuttosto che sull'amministrazione.

Gli API Gateway possono anche rafforzare e accelerare le distribuzioni DevOps definendo e applicando politiche coerenti di sicurezza e distribuzione del traffico. Poiché i gateway riducono la complessità tecnica e promuovono interoperabilità e integrazione, permettono agli sviluppatori di concentrarsi sulla creazione di nuove caratteristiche univoche piuttosto che ricostruire costantemente funzioni comuni come il controllo del traffico o la traduzione dei protocolli.

Infine, poiché i gateway possono gestire efficacemente più versioni di un'API, gli sviluppatori possono testare diverse iterazioni prima dell'implementazione o mantenere un'istanza di una versione precedente dell'API per un caso d'uso specifico.

Sebbene le API abbiano ruoli e responsabilità distinti, spesso condividono alcuni workflow comuni.

Ad esempio, molte chiamate API seguono un processo di autorizzazione e convalida identico per conformarsi ai protocolli di sicurezza. Ogni API potrebbe essere soggetta alle stesse politiche di registrazione e monitoraggio, utilizzate per ottenere insight sui tassi di utilizzo e sul traffico. Infine, se le API vengono monetizzate, ogni chiamata potrebbe dover essere instradata a un servizio di fatturazione. Un API Gateway può automatizzare e orchestrare questi compiti, favorendo workflow fluidi e coerenza a livello di sistema.

Le API Gateway supportano anche la terminazione Secure Sockets Layer (SSL), un metodo utilizzato per decrittografare i dati sensibili, come password e numeri di carte di credito, al gateway, alleggerendo questa attività ad alta intensità di prestazioni dalle singole API. Infine, quando più iterazioni di un'applicazione vengono implementate sullo stesso server, le API Gateway possono indirizzare senza problemi il traffico verso la versione appropriata leggendo le intestazioni, i percorsi URL e i parametri delle query.

Poiché le API svolgono un ruolo fondamentale nella moderna infrastruttura IT, sono spesso a rischio di attacchi informatici, inclusi DDoS (Distributed Denial-of-Service), manomissione dei parametri, attacchi di injection e altre minacce. Le API Gateway possono aiutare a proteggersi da queste minacce con limitazione della velocità, autenticazione API, autorizzazione delle richieste e altre tecniche.

Spesso gli API Gateway presentano sistemi integrati di gestione dell'identità e degli accessi (IAM), che forniscono visibilità su chi sta cercando di interagire con quali servizi. Possono anche monitorare l'uso delle API, registrare il traffico e analizzare le metriche per identificare comportamenti sospetti o vulnerabilità prima che si verifichi un attacco. Infine, gli API Gateway possono essere utilizzati insieme a strumenti come i firewall per applicazioni web (WAF), che monitorano, filtrano e bloccano il traffico HTTP malevolo.

Gli API Gateway possono unificare servizi che utilizzano diversi formati dati e API con architetture o protocolli differenti, come il trasferimento di stato rappresentativo (REST API),SOAP, gRPC e WebSocket.

Senza un API Gateway, formati e protocolli diversi potrebbero causare problemi di comunicazione tra client e servizi backend. I gateway mitigano questa sfida eseguendo la conversione di dati e protocolli, trasformando automaticamente le richieste e le risposte in formati compatibili sia per client che per server.

Le aziende possono anche sincronizzare la documentazione e le chiavi di accesso tra l'API Gateway e il portale dello sviluppatore (il repository centrale in cui gli sviluppatori possono scoprire e implementare nuove API) in modo che l'ambiente di sviluppo rifletta accuratamente le ultime implementazioni e aggiornamenti delle API.

Le applicazioni legacy possono rappresentare un ostacolo al progresso, soprattutto quando sono incompatibili con gli ambienti moderni e le implementazioni API. Tuttavia, spesso vale la pena di preservare le app legacy perché contengono dati e funzioni essenziali non facilmente sostituibili.

Gli API Gateway aiutano le organizzazioni a integrare, riutilizzare e riproporre applicazioni legacy negli ambienti cloud moderni, invece di abbandonarle o ricostruirle da zero. Le funzionalità di conversione del gateway permettono alle organizzazioni di preservare il codice e la formattazione originali di un'app legacy, anche quando il resto dell'azienda passa a sistemi più recenti.

Il disaccoppiamento, che consiste nel suddividere i servizi in parti più piccole, consente agli API Gateway di applicare limitazione di velocità, throttling e altre pratiche alle app legacy per contribuire a modernizzare la loro funzionalità e prolungare il ciclo di vita. Questa strategia aiuta inoltre le organizzazioni a mantenere i servizi online anche mentre li aggiornano in background.

Come centro di controllo del traffico in ingresso di un'applicazione, gli API Gateway possono fornire una visione completa dell'uso e delle prestazioni delle API. Grafici e dashboard personalizzati aiutano le organizzazioni a visualizzare i modelli di traffico, la produttività, i tempi di risposta e altre metriche. Le notifiche avvisano i team di possibili errori e violazioni prima che influenzino le prestazioni o la sicurezza delle applicazioni.

Se da un lato le API Gateway possono aiutare a risolvere complicati problemi di routing, dall'altro possono anche introdurre nuovi problemi. Alcune sfide comuni includono:

Sebbene gli API Gateway possano promuovere la scalabilità sotto certi aspetti, possono anche presentare sfide di scalabilità che devono essere affrontate.

Tipicamente, gli API Gateway aiutano a semplificare la comunicazione API, l'allocazione delle risorse e le richieste di instradamento. Tuttavia, configurazioni errate e capacità insufficiente possono avere l'effetto opposto, aumentando il rischio di colli di bottiglia (dopotutto, un API Gateway fornisce un unico punto di ingresso) e aggiungendo ulteriore sovraccarico al sistema.

Un design accurato dell'architettura che consideri le opportunità di scalabilità orizzontale (utilizzando più gateway), strategie di bilanciamento del carico, auto-scaling e funzionalità di monitoraggio possono aiutare a evitare problemi di scalabilità. 

Come per la scalabilità, l'effetto di un gateway sulla complessità IT è sfumato. Un gateway elimina una parte della complessità IT attraverso una gestione uniforme e un'applicazione delle policy, oltre che alla traduzione automatica di dati e protocolli.

Tuttavia, gli API Gateway introducono un ulteriore livello all'ecosistema API di un'azienda, richiedendo manutenzione aggiuntiva, calcolo ed esperienza. Gli sviluppatori potrebbero riscontrare maggiori difficoltà nel testare nuove implementazioni, poiché gli API Gateway possono essere difficili da ricreare accuratamente in un ambiente virtuale. Questa limitazione rende difficile per i team conoscere in anticipo l'impatto del rollout sul sistema.

Una pratica DevOps chiamata Infrastructure as Code (IaC) può aiutare ad affrontare queste sfide utilizzando file di configurazione per automatizzare la gestione e la standardizzazione dell'infrastruttura. Questo approccio semplifica la manutenzione e il provisioning, aiutando i team IT a massimizzare l'efficienza dell'API Gateway e a ridurre la complessità architettonica.

Poiché le API Gateway agiscono come un unico punto di accesso, il gateway stesso può diventare un potenziale vettore di attacchi informatici o infiltrazioni. Le minacce e gli errori hanno anche maggiori possibilità di passare a cascata attraverso più servizi di backend, interrompendo potenzialmente il traffico API e danneggiando applicazioni altrimenti funzionanti.

Per ridurre questo rischio, le aziende possono mantenere diverse istanze gateway tra ambienti e zone di disponibilità, contribuendo a garantire che se una va offline, un'altra possa temporaneamente sostituirla. Allo stesso modo, le organizzazioni possono utilizzare diversi tipi di gateway, inclusi i gateway edge, per distribuire le responsabilità di routing e gestione su più punti di ingresso.

Una volta che un'organizzazione sceglie un'API Gateway che soddisfa le sue esigenze specifiche e sviluppa il proprio ambiente API attorno a quel gateway, passare a un altro fornitore può essere costoso e richiedere molto tempo. In alcuni casi, un'organizzazione potrebbe scegliere di ospitare autonomamente un gateway open source, anziché utilizzare un servizio gestito, per mantenere un controllo più preciso sulle configurazioni. Tuttavia, se un'organizzazione sceglie un'opzione in self-hosting, questo approccio può essere più costoso per il team di sviluppo.