Toda API precisa de uma porta de entrada. Um limiar acolhedor para os apertos de mão de solicitações e respostas. Uma construção sólida que não se desfará com todo o tráfego. E uma porta de tela não seria legal para manter os mosquitos afastados — quero dizer, agentes de ameaças e possíveis ataques DDoS? Talvez até mesmo algumas sutilezas que tornem toda a experiência um pouco mais agradável?
Entre no gateway da API, a porta de entrada da sua API e muito mais, incluindo orquestrar tráfego, reforçar a segurança e otimizar o desempenho. Mas, como acontece com todas as grandes decisões de infraestrutura, saber por onde começar é difícil — ou se você já está no caminho de enviar uma nova API, saber se está no caminho certo.
Inspirado por nossos amigos da Cloud Native Computing Foundation (CNCF) e seu Cloud Native Maturity Model para identificar onde uma organização está em sua jornada nativa da nuvem, eu me perguntei: Posso ajudá-lo a dar um passo para trás e dar à porta da frente da sua API uma avaliação honesta? E posso ajudá-lo a ver quais renovações podem ser necessárias em seguida?
Construir: Estabelecer a fundação
No contexto dos gateways de API, você está atualmente na fase de produto mínimo viável (MVP) ou pré-produção, validando ferramentas e descobrindo a divisão de responsabilidades à medida que avança em direção à entrada em operação.
Decida os fundamentos da sua infraestrutura de gateway de API, como uma solução hospedada na nuvem ou local, e se você usará um agente autônomo, incorporará o comportamento do gateway de API na sua API com um SDK ou aproveitará recursos nativos do Kubernetes, como a API do Gateway. Implemente fundamentos de segurança, começando com autenticação básica para testes iniciais e progredindo para JSON Web Tokens (JWTs).
Configure a limitação de taxa para testar sua prevenção de abuso e configure restrições de IP conforme necessário para proteção extra. Implemente o balanceamento de carga para distribuir o tráfego uniformemente e explore suas opções de proteção contra DDoS. Explore as oportunidades dentro do seu gateway de API para agir condicionalmente no tráfego de entrada e saída.
Escreva suas políticas fundamentais de governança de API, mesmo que você não tenha a estrutura técnica ou o talento interno para implementá-las. Conforme você constrói, certifique-se de constantemente tomar nota de como cada uma dessas decisões e implementações afetam seu ciclo de vida de desenvolvimento. Os desenvolvedores de API ainda podem construir livremente? Os engenheiros de DevOps, infraestrutura e plataforma têm as ferramentas certas para gerenciar essa plataforma em seu nome?
Ao concluir essas etapas, você terá um gateway de API funcional que realiza o trabalho — envia solicitações de proxy para várias rotas ou microsserviços — e tem proteções fundamentais suficientes para ajudar você a enfrentar a Internet pública.
Operar: Mover para Produção
É hora de mover seu MVP dos testes para sua infraestrutura de produção, onde você se preocupa com integração, eficiência e preparação para os desafios de um ambiente ativo.
Integre a configuração e a implantação do seu gateway de API aos seus pipelines de CI/CD para testes de integração de regras de segurança ou governança. Armazene e gerencie todas as configurações relacionadas à API como código para controle de versão, revisão de código, garantia de qualidade e repetibilidade.
Comece a testar seu gateway de API com implantações multirregionais, multinuvem e de nuvem privada para se preparar para expansão futura. Mova suas tarefas de segurança, testes e operacionais pelos gateways de API no início do ciclo de desenvolvimento e dê mais controle aos desenvolvedores de API.
Escreva documentação abrangente sobre como você implanta e opera sua API. Esteja você no meio dessa fase ou já tenha passado, você notará que seu gateway de API está pagando grandes dividendos ao gerenciar a carga de nível de produção automaticamente e permitindo que você ajuste o comportamento, por meio de regras e ações, com base em dados de observabilidade iniciais. Se você não se sente assim, pode ser hora de reavaliar.
Escala: Prepare-se para o crescimento
De repente, seu gateway de API se tornou mais do que um caminho de entrada da internet pública para seu serviço de API upstream. Agora, ele é sua ferramenta de referência para orquestrar um ecossistema complexo de serviços, regiões, usuários e volume — muito volume.
Aproveite o que você aprendeu sobre implantações multirregionais e multinuvem para melhorar seu desempenho e redundância. Crie ou adote (e teste!) failover automatizado para seu gateway de API e serviço de API caso qualquer parte de sua infraestrutura fique fora do mapa da Internet, seja uma instância do seu serviço de API ou seu provedor de gateway de API.
Reúna mais dados de observação para tornar as tendências de tráfego, erros, solicitações e respostas acionáveis. Desenvolva e aplique políticas de tráfego avançadas, como limitação de taxa diferenciada ou controle de acesso detalhado, com base no uso no mundo real. Implementar processos de versão e descontinuação. Próximo? Seu gateway de API se torna não apenas uma ferramenta, mas a peça central de como suas equipes implementam com mais estratégia, agilidade e velocidade.
Melhorar: Aprimorar a política de segurança e governança
Esta fase é toda sobre refinamento. Seu gateway de API é adaptável e escalável, mas para continuar a expandir os negócios em torno dele, você precisará implementar controles mais rigorosos sem impedir os desenvolvedores com centenas de obstáculos para superar apenas para forçar uma mudança de v1.10.34 para v1.10.35. É um ato de equilíbrio difícil, mas essencial para acertar.
Adote ferramentas e fluxos de trabalho que permitam que engenheiros de DevOps e infraestrutura mantenham o controle centralizado da segurança do seu gateway de API, permitindo que os desenvolvedores trabalhem de forma eficiente. Um bom exemplo é a API do Kubernetes Gateway, que define seus modelos de configuração em funções comuns, como provedores de infraestrutura, operadores de cluster e desenvolvedores de aplicativos. Analise e otimize custos para toda a sua infraestrutura de API.
Implemente monitoramento em tempo real para habilitar e aplicar acordos de nível de serviço (SLAs) com seus maiores consumidores de API. Ofereça aos desenvolvedores ambientes de desenvolvimento de autoatendimento para testar cenários complexos ou grandes mudanças em sua API ou gateway. Simplifique ferramentas e fornecedores em seu gateway de API. Investigue práticas de implantação contínua, como GitOps, tanto para seu serviço de API quanto para seu gateway de API. Você está quase lá — mas ainda há um longo caminho a percorrer.
Adaptar: revisitar, reconstruir e reinventar
Neste ponto, você não está apenas reagindo ao que está acontecendo no seu gateway de API agora, mas também evoluindo proativamente sua estratégia para ficar à frente do jogo. Você está melhorando continuamente com base em dados de observabilidade ricos, mas ainda há mais a fazer.
Centralize sua engenharia de qualidade por meio de conjuntos de testes de gateway de API para evitar defeitos e minimizar incidentes. Transitar todas as versões de API e alterações de configuração do gateway de API para um fluxo de trabalho GitOps. Permita que os desenvolvedores usem técnicas de implantação sofisticadas, como implantações azul/verde ou canário por meio do gateway de API. Forneça aos desenvolvedores de API ferramentas e treinamento para implementar e testar recursos de segurança avançados desde os estágios iniciais de desenvolvimento.
Crie um ambiente de autoatendimento onde os desenvolvedores podem provisionar, configurar e gerenciar gateways de API dentro de proteções estabelecidas. Se você marcou tudo nesta lista, parabéns! E boa sorte, porque agora seu caminho em direção à excelência em API pode seguir em cerca de um milhão de novas direções desafiadoras (talvez até divertidas?). Pense em análise preditiva, limitação de taxa adaptável com IA, relatórios de conformidade automatizados e muito mais.
Hora de identificar sua próxima reforma
A porta de entrada da sua API é importante demais para ser negligenciada — e rica em potencial demais para não se empenhar totalmente para aumentar sua maturidade de uma fase para outra.
Ao avaliar e dimensionar sua próxima mudança, lembre-se de que a maturidade do gateway de API não é um caminho linear. Não há soluções certas, apenas soluções que funcionam para sua equipe e API. Escolha um ou dois itens que podem se beneficiar do foco de sua equipe e, em seguida, reavalie constantemente conforme você verifica os itens. Você pode ter, incidentalmente, enfeitado algumas outras partes do seu gateway de API ao longo do caminho.
Se você está apenas começando com gateways de API ou está cansado de sua implementação atual e quer começar um projeto greenfield com o pé direito, o gateway de API da ngrok foi projetado para ajudá-lo a verificar rapidamente os itens desta lista de verificação com a flexibilidade necessária para se adaptar ao longo do caminho.
Teremos prazer em recebê-lo: comece inscrevendo-se para uma conta gratuita, que lhe dá acesso a todos os nossos recursos específicos do gateway de API. A partir daí, aprenda mais sobre o gateway de API ngrok em nosso blog ou nos documentos da Política de Tráfego, onde você encontrará todas as ações, variáveis e macros que precisará para fortalecer essa porta da frente repetidamente.
