Apigee Adapter for Envoy の概要

現在、Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご確認ください
情報

Apigee Adapter for Envoy とは

Apigee Adapter for Envoy は、Apigee マネージド API ゲートウェイで、Envoy を使用して API トラフィックをプロキシします。Envoy は、よく使われているオープンソースのエッジおよびサービス プロキシで、クラウドネイティブ アプリケーション用に設計されています。Apigee Adapter for Envoy は、オンプレミスまたはマルチクラウド環境で実行できます。

Apigee Adapter for Envoy を使用することで、バックエンド アプリケーションの近くで実行する比較的小さいフットプリントの API ゲートウェイ アプリケーションを実現します。Apigee Adapter for Envoy は、次の目的で Apigee を使用します。

  • API の認証と認可(API キーと OAuth を使用)
  • 割り当て管理
  • API 分析

インストール オプション

Apigee Adapter for Envoy は、次のコンテキストで使用できます。

  • スタンドアロンのネイティブ バイナリ(または Docker で実行)として、Apigee Edge for Public Cloud と統合。
  • スタンドアロンのネイティブ バイナリ(または Docker で実行)として、Apigee Edge for Private Cloud と統合。

Apigee Adapter for Envoy

次の図は、Apigee Adapter for Envoy の構成概要を示したものです。このアーキテクチャは、Google Cloud Platform(GCP)にデプロイされた管理プレーン コンポーネントと、オンプレミスまたはクラウド プロバイダ環境で、リモートで動作しているデータプレーン コンポーネントから構成されています。データプレーンには、Envoy プロキシと Apigee Remote Service が含まれています。各コンポーネントの役割は、図中に記載します。

管理プレーン、ランタイム プレーン、GCP サービスなどの Apigee ハイブリッド環境に統合された Envoy Adapter の概要図

  1. コンシューマ アプリやクライアント アプリは、Envoy プロキシによって公開された API エンドポイントにアクセスします。
  2. Envoy プロキシは、セキュリティ コンテキストを(HTTP ヘッダーを使用して)Apigee Remote Service に渡します。Apigee Remote Service は、ポリシー決定点(PDP)として機能し、Envoy がリクエストによる API コンシューマへのアクセスを許可または拒否するように通知します。
  3. 呼び出しが許可された場合、リクエストは Envoy プロキシによってバックエンドに転送されます。
  4. Apigee Remote Service は、管理プレーンを非同期的にポーリングし、運用に必要なプロキシ、API プロダクト、その他の構成をダウンロードします。

Apigee Adapter for Envoy を使用する理由

API 管理コンポーネントをバックエンド ターゲット アプリケーションの近くに移動すると、ネットワークのレイテンシを短縮できます。Apigee Edge はオンプレミスのプライベート クラウドにインストールできますが、Apigee Edge をすべてデプロイすると、全機能一式とキー管理、収益化、分析などのデータ量の多い機能のサポートが必然的に大きく複雑になります。つまり、各データセンターに Apigee Edge On Premises をデプロイすることは必ずしも望ましくありません。

Apigee Adapter for Envoy を使用すると、次のメリットがあります。

  • 近接して実行されるサービスに対する API トラフィックのレイテンシが短縮される。

  • Edge Analytics の指標、ダッシュボード、API のフルパッケージを使用できる。
  • セキュリティやコンプライアンス目的で企業が承認した境界内に API トラフィックを留める。
  • Apigee との非同期通信により、レイテンシに影響を与えることなく API トラフィック データをキャプチャして Apigee に送信できる。
  • 管理プレーンとの一時的な通信中断を許容できる。ただし、時間が経つと、通信中断によって機能が失われることがあります。Apigee Adapter for Envoy では、次の場合に、管理プレーンとの通信が必要になります。
    • OAuth トークンの生成
    • API キーの検証(最初の検証には接続が必要ですが、その後はキャッシュに保存されます)
    • 割り当ての適用
    • 分析データの管理プレーンへの送信

次のステップ

Apigee Adapter for Envoy のインストール