Edge Microgate 概览

您正在查看 Apigee Edge 文档。
前往 Apigee X 文档
信息

Edge Microgateway v. 3.1.5 及更高版本

Apigee Edge Microgateway 是一款基于 HTTP 的安全 API 消息处理器。其主要任务是安全地处理传入和传出后端服务的请求和响应,同时异步将有价值的 API 执行数据推送到 Apigee Edge,以供 Edge Analytics 系统使用。Edge Microgateway 易于安装和部署,您可以在几分钟内启动实例并使其正常运行。

通常,Edge Microgateway 安装在靠近后端目标服务的可信网络中。它提供企业级安全性,以及一些关键的插件功能(例如突发流量抑制、配额和分析),但不具备 Apigee Edge 的全部功能或足迹。 您可以将 Edge Microgateway 安装在与后端服务相同的数据中心,甚至可以安装在同一台机器上(如果需要)。

您可以将 Edge Microgateway 作为独立进程运行,也可以在 Docker 容器中运行。请参阅将 Docker 与 Edge Microgateway 搭配使用。 您还可以使用 Edge Microgateway 为在 Kubernetes 集群中运行的服务提供 Apigee API 管理。无论您是将现有服务和 API 迁移到 Kubernetes 堆栈,还是要创建新的服务和 API,Edge Microgateway 都能帮助您提供简洁的 API 管理体验,包括安全性、流量管理、分析、发布等。请参阅 将 Edge Microgateway 与 Kubernetes 集成

典型使用场景

混合 Cloud API 管理解决方案(例如 Edge Microgateway)的典型用例包括:

  • 降低了近距离运行的服务的 API 流量延迟时间。例如,如果您的 API 使用方和生产方相距不远,您不一定希望 API 通过中央网关。
  • 出于安全或合规性目的,将 API 流量保留在企业批准的边界内。
  • 在互联网连接暂时中断时继续处理消息。
  • 为在 Kubernetes 集群中运行的服务提供 Apigee API 管理。请参阅 将 Edge Microgateway 与 Kubernetes 集成

如需了解其他用例,请参阅这篇 Apigee 社区文章。

主要功能和优势

功能 优势
安全 Edge Microgateway 使用 Apigee Edge 向每个客户端应用签发的已签名访问令牌或 API 密钥对请求进行身份验证。
快速部署 与完整部署 Apigee Edge 不同,您只需几分钟时间即可部署和运行 Edge Microgateway 实例。
网络接近度 您可以在与 Edge Microgateway 交互的后端目标 API 所在的机器、子网或数据中心内安装和管理 Edge Microgateway。
分析 Edge Microgateway 会异步将 API 执行数据传送到 Apigee Edge,由 Edge Analytics 系统进行处理。您可以使用整套 Edge Analytics 指标、信息中心和 API。
缩短了延迟时间 与 Apigee Edge 的所有通信都是异步的,并且不是作为处理客户端 API 请求的一部分发生。这样,Edge Microgateway 就可以收集 API 数据并将其发送到 Apigee Edge,而不会影响延迟时间。
熟悉度 Edge Microgateway 使用并与 Edge 管理员已经非常熟悉的 Apigee Edge 功能(例如代理、产品和开发者应用)进行交互。
配置 无需编程即可设置和管理 Edge Microgateway。所有内容都通过配置进行处理。
便捷性 您可以将 Edge Microgateway 与现有的应用监控和管理基础架构和流程集成。请注意,Edge Microgateway 不支持 Apigee API 监控
日志记录 日志文件详细记录了 Edge Microgateway 在处理 API 期间遇到的所有正常和异常事件。
CLI 借助命令行界面,您可以启动、停止和重启 Edge Microgateway、提取运行统计信息、查看日志文件、请求访问令牌等。

关于 Edge Microgateway 的须知事项

本部分介绍了 Edge Microgateway 的工作原理、基本架构、配置和部署。

为何使用 Edge Microgateway?

将 API 管理组件移到后端目标应用附近可以减少网络延迟。虽然您可以在私有云中本地安装 Apigee Edge,但 Apigee Edge 的完整部署的规模必须庞大且复杂,才能支持其完整功能集和数据量极大的功能(例如密钥管理、获利和分析)。也就是说,不一定要在每个数据中心本地部署 Apigee Edge。

借助 Edge Microgateway,您可以在后端应用附近运行一个占用空间相对较小的应用。此外,您还可以充分利用 Apigee Edge 来实现分析、安全和其他功能。

部署场景示例

本部分介绍了 Edge Microgateway 的几种可能的部署场景。

同一台机器

图 1 显示了在 Edge Microgateway 以尽可能简单的配置部署时,请求处理路径。其中,Edge Microgateway 和后端目标 API 安装在同一台机器上。一个 Edge Microgateway 实例可用于前端处理多个后端目标应用

Edge Microgateway 已部署在您的网络上。它会处理来自客户端的 API 请求并调用目标服务。微网关会与 Apigee Edge Cloud 通信代理和分析数据。
图 1: 最简单的 Edge Microgateway 部署

其他机器

由于客户端、Edge Microgateway 和后端 API 实现之间的所有通信都是通过 HTTP 进行的,因此您可以在与 API 实现不同的计算机上安装 Apigee Edge Microgateway,如图 2 所示。

Edge Microgateway 部署在一台机器上,后端服务部署在另一个位置。API 请求由微网关处理,并发送到后端目标。Microgateway 与 Apigee Edge Cloud 通信代理和分析数据。
图 2: Edge Microgateway 与后端目标 API 分离

使用负载平衡器

Edge Microgateway 本身可以由标准反向代理或负载平衡器作为前端,以进行 SSL 终止和/或负载均衡,如图 3 所示。

负载平衡器将流量发送到多个 Edge Microgateway 实例。
              Microgateway 实例与 Edge Cloud 通信,并为目标服务中介请求。
图 3: 通过负载平衡器运行 Edge Microgateway

内部部署

使用 Edge Microgateway 保护 intranet 流量,同时使用 Apigee Edge 保护互联网流量,如图 4 所示。假设 API 端点 /orders 通过 Apigee Edge Cloud 进行代理,并命中后端目标 https://mycompany.com/orders。这由左侧的目标 API 实现表示。然后,此 API 可能会调用右侧目标实现所代表的多个 API 端点。例如,它可能会在内部调用 /customers/transactions。另请参阅 Apigee 社区中的 这篇帖子

发送到 Edge Cloud 的 API 代理会发送到您内部网中的目标服务,而目标服务会将请求发送到您内部网中的 Edge Microgateway。
              然后,Microgateway 会将请求发送到您内部网中的其他目标 API 服务。
图 4: 运行 Edge Microgateway 来保护 intranet 流量

对 Apigee Edge 的依赖

Edge Microgateway 依赖于 Apigee Edge 并与之交互。Edge Microgateway 必须与 Apigee Edge 通信才能正常运行。Edge Microgateway 与 Edge 交互的主要方式包括:

  • 启动后,Edge Microgateway 会从您的 Apigee Edge 组织获取特殊的“Edge Microgateway 感知型”代理列表以及所有 API 产品列表。对于每个传入的客户端请求,Edge Microgateway 都会确定该请求是否与其中一个 API 代理匹配,然后根据与该代理关联的 API 产品中的密钥验证传入的访问令牌或 API 密钥。
  • Apigee Edge Analytics 系统会存储和处理从 Edge Microgateway 异步发送的 API 数据。
  • Apigee Edge 提供用于对访问令牌进行签名的凭据,或提供通过 Edge Microgateway 进行 API 调用的客户端所需的 API 密钥。您可以使用 Edge Microgateway 提供的 CLI 命令获取这些令牌。

一次性配置

您必须先配置 Edge Microgateway,才能与 Apigee Edge 组织通信。在启动时,Edge Microgateway 会使用 Apigee Edge 启动引导操作。 Edge Microgateway 会从 Apigee Edge 检索自行处理 API 调用所需的信息,包括在 Apigee Edge 上部署的 Edge Microgateway 感知代理的列表。我们稍后会详细介绍这些代理。

Edge Microgateway 不必与 Apigee Edge 共存;Apigee Edge 公有云和私有云产品同样适用。

关于 Edge Microgateway 感知代理的须知信息

支持 Edge Microgateway 的代理会向 Edge Microgateway 提供特定信息,以便 Edge Microgateway 处理客户端 API 请求。在 Edge Microgateway 启动时,系统会将这些代理的相关信息从 Apigee Edge 下载到 Edge Microgateway。

您或您的 API 团队可以使用 Apigee Edge 管理界面或其他方式(如有需要)在 Apigee Edge 上创建这些代理。这很容易,我们将在设置和配置 Edge Microgateway 中详细介绍。

Edge Microgateway 感知型代理具有以下特点:

  • 它们会向 Edge Microgateway 提供两项关键信息:基础路径和目标网址。
  • 它们必须指向 HTTP 目标端点。后端目标不能是 TargetEndpoint 定义中的 ScriptTarget 元素引用的 Node.js 应用。如需了解详情,请参阅上文中的备注。
  • 代理名称必须以 edgemicro_ 为前缀。例如:edgemicro_weather
  • 您无法向这些代理添加政策或基于条件的流程。如果您尝试这样做,系统会忽略这些操作。否则,Edge Microgateway 感知型代理在 Edge 管理界面中显示的方式与 Edge 上的任何其他 API 代理相同。
  • 这些资源可以捆绑到产品中,并与开发者应用相关联。
  • 流量数据会显示在 Edge Analytics 中。
  • 您无法使用 Apigee Edge Trace 工具跟踪这些请求。

Edge Microgateway 和 Apigee Edge Analytics 简介

当 API 流量流经 Edge Microgateway 时,Edge Microgateway 会缓冲 API 执行数据,并异步将其发送到 Apigee Edge,Edge Analytics 系统会在该位置存储和处理数据。这种异步通信使 Edge Microgateway 能够利用 Edge 分析功能,同时保持较小的占用空间,并尽可能减少处理开销或阻塞。您和您的团队可以使用 Edge Analytics 的完整信息中心和自定义报告功能来分析通过 Edge Microgateway 传输的流量。

“代理流量”信息中心会显示一段时间内的 API 流量、开发者互动数据,以及按开发者应用细分的流量构成。
图 5: Edge 上的“代理流量”信息中心

如需详细了解 Edge Analytics,请参阅分析信息中心

Edge Microgateway 安全性简介

Apigee Edge 的作用

如前所述,Apigee Edge 在保护 Edge Microgateway 的所有客户端请求方面发挥着重要作用。Apigee Edge 的主要角色如下:

  • 提供用作 API 密钥或用于生成有效访问令牌的客户端凭据,以便客户端通过 Edge Microgateway 进行安全的 API 调用。
  • 提供 Edge Microgateway 向 Apigee Edge Analytics 系统发送 API 执行数据所需的凭据。Edge Microgateway 会在初始设置步骤期间获取这些凭据一次。
  • 提供用于将 API 资源捆绑到产品中、注册和管理开发者以及创建和管理开发者应用的平台。

客户端应用身份验证

Edge Microgateway 支持通过访问令牌和 API 密钥进行客户端身份验证。安全密钥和令牌由 Apigee Edge 生成,并由 Edge Microgateway 针对每次 API 调用进行验证。如果启用了 OAuth 插件,Edge Microgateway 会检查已签名的访问令牌或 API 密钥,如果有效,API 调用会继续向后端目标发出。如果无效,则会返回错误。

如需了解获取和使用访问令牌和 API 密钥所需的步骤,请参阅设置和配置 Edge Microgateway

Apigee Edge 上的 Edge Microgateway 身份验证

Edge Microgateway 对 Apigee Edge 上的分析数据进行更新的异步调用需要身份验证。此身份验证通过通过 CLI 或使用环境变量传递给 Edge Microgateway 的公钥/私钥对提供。您在首次安装并启动 Edge Microgateway 时会获取并使用这些密钥一次。

API 产品管理平台

Edge 是一个平台,可用于将 API 资源捆绑到产品中、注册和管理开发者,以及创建和管理开发者应用。例如,就像您可以为常规 Apigee Edge 代理创建和捆绑产品和开发者应用等实体一样,您也可以为 Edge Microgateway 代理执行完全相同的操作。通过为每个“bundle”生成公钥和私钥,实现了 API 级安全。此机制与 Apigee Edge 上的 API 安全性工作方式完全相同。

我可以将现有的 Edge 代理实现迁移到 Edge Microgateway 吗?

您无法将具有关联政策或有条件流的现有代理迁移到 Edge Microgateway。Edge Microgateway 要求您创建新的“Microgateway 感知”代理。这些代理必须使用特殊前缀 edgemicro_ 进行命名。启动时,Edge Microgateway 会发现这些 edgemicro_* 代理并下载每个代理的配置信息。这些信息包括目标网址和资源路径。之后便不会再使用这些代理。这些代理中的任何政策或条件流都不会执行。

需要使用 Microgateway 感知代理的另一个原因是,Edge Microgateway 会为每个 Microgateway 感知代理异步将分析数据推送到 Edge。然后,您可以像在 Edge Analytics 界面中查看任何其他代理的分析数据一样,查看 Microgateway 感知型代理的分析数据。

“设置”主题将引导您完成开始通过 Edge Microgateway 代理 API 调用的所有步骤,包括您需要在 Apigee Edge 上执行的一些简单步骤,以设置 Edge Microgateway 所需的配置,包括创建 Microgateway 感知代理。 请参阅设置和配置 Edge Microgateway

详细了解 Edge Microgateway

Apigee 提供以下资源:

  • Edge Microgateway 文档 - 文档包含安装指南和入门教程,以及完整的参考和配置信息。

  • 视频 - Apigee 面向开发者的 4 分钟视频系列包含一系列有关 Edge Microgateway 的视频。

  • Apigee 社区是一个很好的平台,您不仅可以提问,还可以从他人提出的问题和解答中受益。