Modelo de implementación de API Gateway
Acerca de los componentes de la API
Una API definida en API Gateway consta de dos componentes principales:
Configuración de API: Es la configuración de API que se crea cuando subes una definición de API. Creas la definición de la API como una especificación de OpenAPI. Si tu API administra servicios de gRPC en Cloud Run, puedes definirla con una definición y configuración de servicio de gRPC.
Cada vez que subes una definición de API, API Gateway crea una configuración de API nueva. Es decir, puedes crear una configuración de API, pero no podrás modificarla más adelante. Si más adelante editas la definición de la API en la especificación de OpenAPI o en la definición del servicio de gRPC y, luego, subes la definición de la API editada, crearás una nueva configuración de la API.
Puerta de enlace: Es un proxy escalable de alto rendimiento basado en Envoy que aloja la configuración de API implementada. La implementación de una configuración de API en una puerta de enlace crea la URL externa que usan los clientes de tu API para acceder a ella.
En la siguiente imagen, se muestran estos componentes:
Acerca de la implementación de la configuración de API en una puerta de enlace
Implementas una configuración de API en una puerta de enlace para que tu API sea accesible para tus clientes de API:
Una puerta de enlace:
Se implementa en una Google Cloud región específica. Una región es una ubicación geográfica específica en Google Cloud donde puedes implementar recursos.
Debe alojar una configuración de API. No puedes crear una puerta de enlace vacía, es decir, una sin una configuración de API. Sin embargo, después de crear una puerta de enlace, puedes actualizarla para reemplazar una configuración de API por otra.
Solo puede alojar una sola configuración de API. No puedes implementar varias configuraciones de API en la misma puerta de enlace.
Luego, puedes administrar cada puerta de enlace implementada por separado. Para cada puerta de enlace, puedes hacer lo siguiente:
- Iniciar, detener o borrar la puerta de enlace
- Visualiza registros y métricas
- Visualiza información de seguimiento
Elige una Google Cloud región
Cada puerta de enlace se implementa en una región geográfica específica en Google Cloud. API Gateway admite las siguientes Google Cloud regiones para la implementación:
asia-northeast1australia-southeast1europe-west1europe-west2us-east1us-east4us-central1us-west2us-west3us-west4
Define el extremo de la configuración de la API implementada
Cuando implementas una configuración de API en una puerta de enlace, API Gateway crea una URL única para la puerta de enlace en el dominio gateway.dev. Luego, tus clientes de API usan una URL con el siguiente formato para acceder a la configuración de la API implementada:
https://GATEWAY_ID-HASH.REGION_CODE.gateway.dev
donde GATEWAY_ID es el nombre de la puerta de enlace, HASH es el código hash único que se generó cuando implementaste la API y REGION_CODE es el código de la ubicación de Cloud en la que implementaste la puerta de enlace.
Por ejemplo:
my-gateway-a12bcd345e67f89g0h.uc.gateway.dev
Configura una cuenta de servicio para implementar configuraciones de API
Una configuración de API implementada en una puerta de enlace se ejecuta con los permisos asociados a los roles otorgados a la cuenta de servicio que se usó para crear la configuración de API. Por lo tanto, por lo general, defines una cuenta de servicio independiente para crear configuraciones de API. Luego, esa cuenta de servicio se asigna solo a los roles necesarios para acceder al servicio de backend. De esta manera, puedes limitar los permisos asociados con la configuración de la API.
Además de los roles necesarios para acceder al servicio de backend, se debe otorgar los siguientes permisos a la cuenta de servicio:
El permiso
iam.serviceAccounts.actAs. Este permiso se incluye en la función de usuario de cuenta de servicio.Son los permisos necesarios para acceder a tu servicio de backend. Por ejemplo, si tu backend se implementa como una Cloud Function, la cuenta de servicio debe asignarse, como mínimo, al rol de Invocador de Cloud Functions. Para un backend de Cloud Run, el rol es Invocador de Cloud Run. Si limitas los permisos asociados con la configuración de la API, puedes proteger mejor tus sistemas de backend.
Consulta Configura tu entorno de desarrollo para obtener más información.
Acerca de la reducción de escala a cero
API Gateway es un servicio de escalamiento a cero. Esto significa que cuando no hay tráfico, se borran todas las instancias de la puerta de enlace. Cuando el tráfico aumenta, se crean instancias nuevas según se necesiten para controlar la carga. Google Cloudcontrola automáticamente el ajuste de escala a cero, por lo que no es necesario que lo configures ni lo administres.
Usa un balanceador de cargas
Cada puerta de enlace implementada en una región contiene un balanceador de cargas integrado para administrar las solicitudes de clientes a la API implementada en la puerta de enlace. No es necesario que crees un balanceador de cargas independiente para cada puerta de enlace.
Sin embargo, debes crear un balanceador de cargas cuando implementes la misma API en puertas de enlace ubicadas en diferentes regiones. Luego, el balanceador de cargas dirige las solicitudes de API a las diferentes regiones. Consulta Implementa una API en varias regiones para obtener más información.
Configura el acceso SSL a una API
API Gateway admite el acceso HTTPS a una API implementada en una puerta de enlace. Como tus APIs se implementan en el dominio gateway.dev, Google crea y administra el certificado SSL en el balanceador de cargas integrado en la puerta de enlace.
No es necesario que crees ni subas tu propio certificado.
Configura un servidor de nombres de dominio
De forma predeterminada, los clientes de API realizan solicitudes a un dominio gateway.dev para acceder a una API implementada, como se muestra arriba.
Los nombres de dominio personalizados son para API Gateway cuando se usan en conjunto con el balanceo de cargas de HTTP(S) para API GatewayPREVIEW. Para personalizar el nombre de dominio, crea un balanceador de cargas para usar tu nombre de dominio personalizado y, luego, dirige las solicitudes al dominio gateway.dev de tu API implementada. Para obtener más información, consulta Usa un dominio personalizado con API Gateway.
Implementa varias configuraciones de API en la misma API
Solo puedes implementar una configuración de API en una puerta de enlace. Sin embargo, puedes implementar varias configuraciones de API en varias puertas de enlace dentro de la misma API.
En esta sección, se describen dos situaciones en las que podrías implementar varias configuraciones de API en varias puertas de enlace dentro de una sola API.
Implementa configuraciones de API en varias puertas de enlace de la misma región
Cuando se compila una API, los desarrolladores suelen crear entornos de desarrollo, etapa de pruebas y producción, en los que sucede lo siguiente:
- Los desarrolladores usan el entorno de desarrollo para crear la API.
- El entorno de etapa de pruebas se usa para probar la API en preparación para un lanzamiento en producción.
- El entorno de producción es donde se permite que tus clientes de API externos accedan a la API.
Para admitir este tipo de entorno de desarrollo, debes definir varios parámetros de configuración de la API. Por ejemplo, es posible que tengas varias configuraciones de API en desarrollo, una configuración de API en pruebas en la etapa de pruebas y una configuración de API implementada en producción. API Gateway te permite crear varias configuraciones de API dentro de una sola API y, luego, implementar cada configuración de API en una puerta de enlace diferente:
En este ejemplo, tienes tres parámetros de configuración de API diferentes: dev, stage y prod. Luego, implementas cada parámetro de configuración de API en una puerta de enlace diferente, en la que cada puerta de enlace define su propia URL de extremo única.
Implementa una configuración de API en varias regiones
A menudo, implementas una API en varias Google Cloud regiones. La implementación en varias regiones ofrece varias ventajas, como una menor latencia de las solicitudes, ya que estas se dirigen a una API que se ejecuta en una región geográficamente cercana al cliente, y una mayor confiabilidad, ya que una falla en una región no afecta a las APIs que se ejecutan en otras regiones.
Para implementar una API en varias regiones, debes implementar una configuración de API en una puerta de enlace de cada región. Cada configuración de API es específica de la región implementada, ya que debe hacer referencia al servicio de backend en esa región.
En la siguiente imagen, las APIs 1 y 2 se implementan en una sola región, y la API 3 se implementa en varias regiones:
En este ejemplo, cada configuración de API implementada en una puerta de enlace para la API 3 tiene un extremo de URL único, con el siguiente formato:
https://my-gateway1-a12bcd345e67f89g0h.uc.gateway.dev https://my-gateway2-b12cde345f67g89h0i.en.gateway.dev https://my-gateway3-c12bde345g67h89i0j.uw.gateway.dev
Luego, configura un balanceador de cargas mediante el balanceo de cargas de HTTP(S) para API Gateway PREVIEW a fin de controlar las solicitudes a la API y reenviar la solicitud a la región adecuada. Si deseas obtener más información, consulta Crea implementaciones multirregionales para API Gateway.
Actualiza una API
Para actualizar una API implementada, edita la definición de la API en la especificación de OpenAPI y, luego, sube la especificación. La carga de una especificación nueva crea una configuración de API nueva.
API Gateway admite un modelo de actualización sin tiempo de inactividad, lo que significa que tu API continúa controlando las solicitudes durante la implementación de la configuración actualizada de la API. Sin embargo, hay un período mientras se implementa la configuración de la API nueva en el que es posible que la versión anterior de la configuración de la API controle algunas solicitudes.
Si implementaste la configuración de API en varias regiones y puertas de enlace, debes volver a implementar la configuración de API actualizada en cada región por separado.