Zum Inhalt springen

Jitterbit privater API-Gateway

Einführung

Ein privater API-Gateway, der in einem privaten Netzwerk gehostet wird, übernimmt diese Sicherheitsfunktionen und Aufgaben, die mit der Annahme und Verarbeitung von API Manager API Aufrufen verbunden sind:

  • Verkehrsmanagement.
  • Autorisierung und Zugriffskontrolle.
  • Ratenbegrenzung.
  • Verarbeitung von API-Nutzlasten.

Sie können einen privaten API-Gateway auf Linux installieren und ausführen oder ihn als Linux-basierten Docker-Container betreiben.

Ein privater API-Gateway ist ein lokaler Gateway zur direkten Verarbeitung von APIs von Ihren eigenen Servern. API Manager-Sicherheitsfunktionen werden auf API-Ebene oder Sicherheitsprofil-Ebene konfiguriert und im privaten API-Gateway zwischengespeichert, das dann während der API-Ausführung wie unten beschrieben referenziert wird.

Architektur des privaten API-Gateway-Systems

Die Verwendung eines privaten API-Gateways bietet diese zusätzlichen Vorteile gegenüber dem Cloud API-Gateway:

  • Internes Netzwerk: Der private API-Gateway und seine Agenten können ausschließlich auf ein internes Netzwerk hinter einer Firewall beschränkt werden und sind nicht über das Internet zugänglich.

    Hinweis

    Wenn Ihre Installation des privaten API-Gateways hinter einer Firewall in Ihrem Netzwerk liegt, müssen Sie die notwendigen Jitterbit-Dienste auf die Whitelist setzen.

  • Nutzlastsicherheit: API-Antwortnutzlasten durchlaufen niemals die Systeme von Jitterbit.

  • Kontrolle: Sie haben die Kontrolle über die Hardware- und Softwareumgebung des privaten API-Gateways, um sicherzustellen, dass sie den Standards Ihres Unternehmens entspricht.
  • Domainname: Die Basis-API-Endpunkt-URL kann so konfiguriert werden, dass sie ein Subdomain eines Domainnamens ist, den Sie kontrollieren, anstatt ein Subdomain der Harmony-Region (jitterbit.cc, jitterbit.eu oder jitterbit.net). Eine Alternative zur Verwendung eines privaten API-Gateways zur Kontrolle des Domainnamens ist die Verwendung eines Drittanbieter-Tools wie Cloudflare oder eines DNS-Proxy, um einen benutzerdefinierten Domainnamen zur Basis-URL zu leiten.

Dieses Diagramm zeigt die Systemarchitektur einer benutzerdefinierten API, die lokal mit einem privaten Agenten und einem privaten API-Gateway bereitgestellt wird:

attachment

  1. Ein API-Nutzer ruft die API auf, die sich am privaten API-Gateway befindet.

  2. Das private API-Gateway greift auf die zwischengespeicherten Sicherheitsprofile (falls zutreffend) und die API-Metadaten zu, um Authentifizierungs- und Zugriffskontrollaufgaben durchzuführen. Wenn der Zugriff auf die API verweigert wird, gibt das private API-Gateway eine entsprechende HTTP-Antwort und einen Status an den API-Nutzer zurück. Wenn der Zugriff auf die API gewährt wird, wird die API-Anfrage an den Messaging-Dienst weitergeleitet, der Anfragen für Agentengruppen routet.

  3. Der private Agent erhält die Anfrage vom Messaging-Dienst.

  4. Der private Agent greift auf die API-Operation zu, die während der benutzerdefinierten API-Konfiguration angegeben wurde, und löst die bereitgestellte Operation aus.

  5. Die Operation antwortet mit einer API-Nutzlast, die mit dem während der benutzerdefinierten API-Konfiguration ausgewählten Antworttyp übereinstimmt.

  6. Die API-Antwortnutzlast wird vom privaten Agenten zurück an das private API-Gateway geleitet, das die API-Nutzlast extrahiert und die endgültige HTTP-Antwort und den Status festlegt. Die HTTP-Antwort und der Status werden an den API-Nutzer gesendet.

    Hinweis

    Sofern die durch den API-Aufruf ausgelöste Operation nicht Temporären Speicher verwendet, bleibt die API-Antwortnutzlast maximal zwei Tage lang beim Agenten. Die API-Antwortnutzlast bleibt nicht länger als die Timeout-Dauer des API-Gateways von 15 Sekunden im privaten API-Gateway.

    Vorsicht

    In Multi-Gateway-Umgebungen hinter einem Anwendungslastenausgleich (ALB) wie dem AWS ALB wird, wenn ein Gateway die angeforderte Nutzlast nicht hat, eine Proxy-Anfrage an das Gateway erstellt, das dies hat, um die Nutzlast abzurufen.

Erfolgreiche Payload-Routing kann je nach Ihrer Multi-Gateway-Umgebung zusätzliche Konfiguration erfordern.

  1. Informationen zum Runtime-Status und Protokolle von laufenden Operationen werden an die Transaktionsprotokolldatenbank gesendet.

    Hinweis

    Verbraucherdaten werden nicht in der Transaktionsprotokolldatenbank gespeichert, es sei denn, der Debug-Modus ist während der Konfiguration der benutzerdefinierten API aktiviert.