Este artículo está dirigido a clientes de Google Cloud Platform (GCP) interesados en gestionar sus APIs con Apigee, optimizando la seguridad y el control de sus servicios.
- Introducción a Apigee
Apigee es la plataforma de administración de API de Google Cloud que permite a las empresas construir, gestionar y proteger APIs a cualquier escala. Ofrece proxies de API para asegurar una interfaz coherente entre los servicios de backend y los consumidores, proporcionando control sobre aspectos clave como la seguridad y el tráfico.
- Flexibilidad y soporte para diferentes estilos de API
Apigee admite varios estilos de arquitectura de API como REST, gRPC, SOAP y GraphQL, lo que permite a los desarrolladores elegir la tecnología más adecuada para sus necesidades.
- Beneficios para productores y consumidores de API
Para los productores de API, Apigee ofrece control sobre la seguridad, visibilidad y estadísticas del uso de la API. Los consumidores de API, como desarrolladores de aplicaciones cliente, pueden acceder a APIs confiables, bien documentadas y fáciles de usar.
- Características avanzadas de Apigee
Apigee no solo protege las APIs mediante políticas de seguridad avanzadas, sino que también permite supervisar el rendimiento de las APIs en tiempo real, asegurando la confiabilidad y escalabilidad de los servicios.
- Descripción General de la Arquitectura de Apigee
Apigee ofrece dos opciones para el aprovisionamiento: con intercambio de tráfico entre VPC habilitado y sin intercambio de tráfico entre VPC. A continuación, se describen ambas opciones.
Arquitectura con Intercambio de Tráfico entre VPC Habilitado
- Descripción General del Aprovisionamiento
Durante el aprovisionamiento, se configuran y crean componentes que permiten la comunicación bidireccional entre una red de nube privada virtual (VPC) administrada por ti y una red de VPC administrada por Apigee. Inicialmente, las dos VPC existen, pero requieren configuración adicional para habilitar la comunicación entre ellas. Este proceso utiliza el intercambio de tráfico entre redes de VPC, que permite la conectividad de direcciones IP internas entre dos redes, independientemente de si pertenecen al mismo proyecto o a la misma organización de Google Cloud.
- Arquitectura y Flujo de Tráfico
-
Balanceador de Carga de HTTPS Externo (XLB): Para enrutar el tráfico desde las aplicaciones cliente de Internet a Apigee, se utiliza un XLB, que puede comunicarse entre proyectos de Google Cloud, como entre el proyecto del cliente y el proyecto de Google Cloud de Apigee, mediante la referencia del servicio entre proyectos.
-
Grupo de Instancias Administrado (MIG): Se puede aprovisionar un MIG de máquinas virtuales (VM) que actúen como puente de red. Estas VM tienen la capacidad de comunicarse bidireccionalmente en las redes con intercambio de tráfico. Las aplicaciones en Internet se comunican con el XLB, que a su vez se comunica con la VM del puente, y esta VM se comunica con la red de Apigee.
-
Ciclo de Vida de la Llamada al Proxy de API:
- Una app cliente realiza una llamada a un proxy de API de Apigee.
- La solicitud llega a un balanceador de cargas de HTTPS externo (XLB) global L7, configurado con una IP pública y externa y un certificado TLS.
- El XLB envía la solicitud a una VM que actúa como puente entre tu VPC y la VPC de Google administrada por Apigee.
- La VM envía la solicitud a Apigee, que procesa la solicitud del proxy de API.
- Apigee envía la solicitud al servicio de backend y la respuesta se envía al cliente.
- Consideraciones Adicionales
En esta configuración, el tráfico desde Apigee a una carga de trabajo en tu VPC interna no pasa por una IP de NAT de salida, sino que se enruta a través de una de las IPs de la instancia de Apigee.
Arquitectura con Intercambio de Tráfico entre VPC Inhabilitado
- Descripción General del Aprovisionamiento
Cuando Apigee no se aprovisiona con la opción de intercambio de tráfico entre VPC, se configuran y crean componentes para permitir la comunicación bidireccional entre una VPC administrada por ti y una red de VPC administrada por Apigee. En este caso, se utiliza Private Service Connect (PSC) para enrutar el tráfico ascendente a Apigee y el tráfico descendente a los servicios de destino en tus proyectos de Google Cloud.
- Arquitectura y Flujo de Tráfico
-
Private Service Connect (PSC): PSC permite establecer una conexión privada entre un productor de servicios (Apigee) y un consumidor de servicios (uno o más proyectos de Cloud que administras). Las solicitudes pasan a través de un balanceador de cargas externo global o regional hacia un único punto de adjunto, denominado adjunto de servicio.
-
Conexión Privada a Servicios de Backend: Para conectar Apigee de forma privada a un destino de backend, debes crear dos entidades:
- Adjunto de Servicio: En la red de VPC donde se encuentra el destino.
- Adjunto de Extremo: En la VPC de Apigee. Estas dos entidades permiten que Apigee se conecte al servicio de destino.
- Pasos para el Aprovisionamiento Los pasos para aprovisionar Apigee con PSC (sin intercambio de tráfico de VPC) se detallan en la documentación de "Aprovisionamiento de línea de comandos sin intercambio de tráfico entre VPC".