API gateway là gì? Khi nào cần sử dụng API gateway?

Tin công nghệ

Vinh Phạm

2099

15-02-2022

API gateway đã trở nên phổ biến trong phát triển ứng dụng hiện đại bền vững. Nó giúp loại bỏ sự phức tạp cơ bản của một dịch vụ và giúp các tổ chức hiện đại đổi mới nhanh hơn, trở nên linh hoạt hơn. Trong bài viết này, hãy cùng Bizfly Cloud tìm hiểu chi tiết hơn API gateway là gì, nó hoạt động như thế nào cũng như những trường hợp sử dụng API gateway!

API gateway là gì?

API là viết tắt của Application Program Interface, chứa tập hợp các công cụ để xây dựng các ứng dụng. API Gateway là một công cụ quản lý API nằm giữa các máy khách (client) và nhóm các backend service. API gateway hoạt động như một reverse proxy, chấp nhận tất cả các lệnh gọi API, tìm nạp và tổng hợp các tài nguyên thích hợp trước khi gửi phản hồi cho mỗi yêu cầu API.

Ví dụ trực quan nhất về API gateway là Netflix API Gateway. Dịch vụ phát trực tuyến Netflix có sẵn trên hàng trăm loại thiết bị khác nhau như TV, điện thoại thông minh, máy tính bảng, laptop v.v. Tại đây, API gateway giúp cung cấp giải pháp phù hợp với tất cả các dịch vụ của nó.

Các thành phần của API gateway

• Bảo mật (Security)
• Bộ nhớ đệm (Caching)
• Thành phần và tiến trình API (API composition and processing)
• Quản lý hạn mức truy cập (Managing access quotas)
• Theo dõi tình trạng API (API health monitoring)
• Lập phiên bản (Versioning)
• Định tuyến (Routing)

Ưu điểm của API Gateway

• Ưu điểm quan trọng nhất của API Gateway là nó đóng gói cấu trúc bên trong của ứng dụng.
• Thay vì yêu cầu một dịch vụ cụ thể, máy khách giao tiếp trực tiếp với API Gateway.
• Làm giảm số lượng các roundtrip giữa máy khách và ứng dụng.
• Đơn giản hóa mã nguồn phía các client.
• Vừa làm cho ứng dụng hiệu quả hơn, vừa giúp giảm lỗi.
• Cung cấp cho từng loại máy khách một API cụ thể.

Nhược điểm của API gateway

Thêm thời gian response

Việc response bị trễ hơn so với gọi trực tiếp tới hệ thống vì phải đi qua server trung gian.

Tăng thêm tác nhân gây lỗi

Để có thể sử dụng API Gateway thì người dùng cần phải config, chỉnh sửa code, quản lý server gateway,... và nếu không may gateway gặp phải sự cố thì request lúc này sẽ không thể đến được phía server. Đó cũng chính là một trong những nhược điểm mà người dùng cần cân nhắc trước khi sử dụng API Gateway.

Có thể gây ra tình trạng nghẽn cổ chai

Nếu không được config hay scale hợp lý, gateway có thể bị quá tải và làm chậm hệ thống.

Tốn thêm chi phí 

Khi sử dụng API Gateway chúng ta sẽ phải mất thêm một vài khoản chi phí như tiền server, tiền điện, tiền quản lý hệ thống api gateway. Đối với những hệ thống lớn và cần đến những tính năng nâng cao hơn thì người dùng còn phải tốn thêm chi phí để mua bản Enterpise để sử dụng. Bạn có thể tìm hiểu những nhà cung cấp dịch vụ API Gateway ở ngoài thị trường để giảm thiểu chi phí duy trì hoạt động của hệ thống.

Lợi ích khi sử dụng API gateway

Bên cạnh những nhược điểm phía trên, API gateway còn mang lại rất nhiều lợi ích cho ứng dụng. Vậy cụ thể lợi ích mà công cụ này mang lại là gì? hãy cùng theo dõi những chia sẻ dưới đây.

Phần code gọn gàng hơn

Phần code phía frontend sẽ trở nên gọn gàng hơn vì không phải tracking nhiều endpoints trên từng services. Tất cả công việc lúc này chỉ cần gọi đến API gateway.

Che dấu được cấu trúc của hệ thống với bên ngoài

Thông qua API gateway, clients sẽ tương tác với hệ thống một cách gián tiếp chứ không gọi trực tiếp một services cụ thể nào. Các endpoints của các services sẽ chỉ thực hiện các cuộc gọi nội bộ như các cuộc gọi từ API gateway hoặc cuộc gọi giữa các services với nhau mà thôi.

Do đó, clients sẽ không thể biết được các services phía backend được phân chia ra sao và  việc refactor code frontend cũng sẽ dễ dàng hơn đối với lập trình viên.

Dễ dàng hơn trong việc quản lý traffic và theo dõi

Hiện nay hầu hết hệ thống API gateway nào cũng sẽ kèm theo tính năng theo dõi và quản lý traffic thông qua các APIs hoặc GUI.

Cân bằng tải và Requests caching

API Gateway còn có thể kiêm luôn vai trò cân bằng tải của hệ thống, requests sẽ không được gửi trực tiếp đến backend nên sẽ giảm thiểu được rủi ro quá tải hệ thống.

Thêm một lớp bảo mật

API gateway còn có thêm lợi ích nữa đó chính là giúp ngăn chặn các cuộc tấn công bằng cách thêm một lớp bảo mật. Bạn sẽ không phải lo lắng về những cuộc tấn công như ddos,  slq injections,...

Thay thế cho authentication services

Cuối cùng, API gateway còn có thể thay thế cho authentication services. Chúng ta có thể sử dụng API gateway để xác thực người dùng bởi chúng cung cấp nhiều cơ chế xác thực nhanh chóng. Việc này giúp tiết kiệm thời gian và làm cho hệ thống trở nên đơn giản hơn.

Cách thức hoạt động của API gateway

API gateway thực hiện một loạt các chức năng quản lý và bảo vệ:

• Xác thực và ủy quyền: Các tổ chức có thể sử dụng API gateway để xác thực tất cả các lệnh gọi API — thông qua các cơ chế như xác thực token và kiểm tra các JSON Web Token — và cho phép các yêu cầu của họ. Cấu hình API gateway cũng có thể được tùy chỉnh để giới hạn quyền truy cập API của ứng dụng và người dùng.
• Rate limiting và phân tích traffic: API gateway có thể điều chỉnh các yêu cầu API để ngăn chặn các backend service bị quá tải. Các biện pháp kiểm soát có thể giới hạn tần suất gửi yêu cầu và kích thước phản hồi, thiết lập chính sách phản hồi dựa trên quy tắc và gửi cảnh báo về lưu lượng API bất thường.
• Cấu hình và thực thi chính sách WAF: Để bảo vệ các API instance và endpoint khỏi các cuộc tấn công injection attack, API gateway giúp dễ dàng duy trì cấu hình chính sách WAF, tự động cập nhật chữ ký bảo mật có thể áp dụng và kiểm tra lỗi tràn bộ đệm dữ liệu.
• Định tuyến và tối ưu hóa content: Với API gateway, bạn có thể đảm bảo các lệnh gọi API được chuyển đến các điểm đích tốt nhất hiện có thông qua sự kết hợp của khả năng cân bằng tải và chuyển đổi nội dung. Các tham số cho định tuyến bao gồm đường dẫn URL, phương thức HTTP và biểu thức chính sách (policy expression).
• Rewrite và quản lý chính sách phản hồi: Tuỳ theo giao thức, các biểu thức chính sách có thể được sử dụng để chuyển đổi các HTTP transaction khi chúng đi qua API gateway. Thông qua các chính sách viết lại và phản hồi, các yêu cầu của người dùng có thể được chuyển hướng một cách đáng tin cậy đến các đích tối ưu.
• Thông tin chi tiết và thực thi bảo mật Single-Pass: API gateway hiện đại hợp nhất nhiều chức năng bảo mật API vào một thiết bị xử lý WAF, cân bằng tải, định tuyến nội dung và hơn thế nữa trong một single-pass. Việc đơn giản hóa kiến trúc bảo mật API này trong kiến trúc API gateway cũng cải thiện hiệu suất ứng dụng.

Các trường hợp sử dụng API Gateway

• Nằm trong các hệ thống microservice-based: API gateway là một tiêu chuẩn để quản lý môi trường microservices. Đối với các tổ chức muốn chuyển đổi monolith của họ thành microservices, đây là một công cụ phù hợp. Rất nhiều người hoạt động trên microservices đã sử dụng API gateway.
• Để phát triển serverless: Các ứng dụng serverless tương tự như microservices theo cách chúng xử lý các hàm. Chúng cũng yêu cầu một giao diện thống nhất, một kết nối và entry point cho các yêu cầu của người dùng. Các API gateway đang trở thành công cụ hỗ trợ cho điện toán serverless.
• Phục vụ nhiều nền tảng: Các thiết bị di động và TV hiện được kết nối nhiều hơn so với trước đây và điều đó mang đến một loạt thách thức mới cho các nhà phát triển. Các nền tảng này thường bị giới hạn bởi phần cứng của chúng và điều đó có nghĩa là có các yêu cầu về mạng và băng thông rất khác so với máy tính desktop truyền thống. Ví dụ, một thiết bị di động được kết nối với internet qua mạng di động sẽ có ít băng thông hơn để truyền dữ liệu so với một máy tính desktop được kết nối qua mạng LAN. Cổng API sẽ là một giải pháp hoàn hảo để cung cấp dữ liệu phù hợp cho đúng khách hàng dựa trên các yêu cầu thiết bị khác nhau.
• Để kiếm tiền từ API (API monetization): Việc sử dụng một nền tảng quản lý toàn diện không phải là một nhiệm vụ dễ dàng và không hề rẻ. Và thậm chí trước khi thiết lập, bạn sẽ phải cân nhắc các lựa chọn khác nhau, so sánh chúng và kiểm tra xem chúng phù hợp với nhu cầu của bạn như thế nào. Quá trình này yêu cầu một số cam kết về thời gian và tài chính. Vì mục đích này, API gateway được thiết lập dễ dàng hơn, nhanh hơn và khi bạn thấy rằng nó hoạt động trong chiến lược kinh doanh của mình, bạn có thể nâng cấp lên nền tảng toàn điện.

Việc triển khai API gateway có thể đi theo hai hướng: Bạn có thể chọn một loại hoặc bạn có thể tự xây dựng một API gateway tùy chỉnh sẽ đi kèm với chi phí bổ sung.

Để giúp bạn đưa ra quyết định đúng đắn, đây là một số cân nhắc để bạn suy nghĩ:

• Xem xét các công nghệ và kỹ năng hiện có của bạn. Có lẽ, có một giải pháp được tạo ra từ một tập hợp các công cụ khác hiện cung cấp các chức năng tương tự. Cùng một nhóm có thể mở rộng chức năng của phần mềm tạm thời nếu việc này không tốn nhiều thời gian và công sức.
• Tham khảo ý kiến của những người khác trong công ty. Việc lựa chọn công nghệ sẽ ảnh hưởng đến nhiều chuyên gia trong nhóm của bạn: kỹ sư QA, Dev, kiến trúc sư, chuyên gia bảo mật, v.v. Họ đều có ý kiến riêng mà bạn nên cân nhắc trong quyết định cuối cùng.
• Tính tổng chi phí sở hữu giải pháp mà bạn có so với công cụ tiềm năng trong tương lai. Có rất nhiều tùy chọn mã nguồn mở trên thị trường, vì vậy, có thể khả thi hơn nếu chọn một tùy chọn phổ biến nếu nó phù hợp với mục tiêu của bạn.

Sự thành công của các ứng dụng có thể phụ thuộc vào một cổng API mạnh mẽ. Đây là nhân tố đảm bảo hiệu suất, tính khả dụng cao và khả năng mở rộng của các dịch vụ của bạn. Để cập nhật thêm nhiều thông tin hữu ích về công nghệ, hãy theo dõi thêm những bài viết tiếp theo của Bizfly Cloud nhé.

>>> Xem thêm: Top 5 API gateway mã nguồn mở phổ biến nhất