Πύλη API και δρομολόγηση

1) Ρόλος πύλης API στην αρχιτεκτονική

• Δέχεται την εισερχόμενη κίνηση (HTTP/HTTP2/HTTP3, WebSocket, gRPC)
• διαδρομές σύμφωνα με τους κανόνες (υποδοχή/διαδρομή/κεφαλίδες/μέθοδος/ερώτηση/γεωγραφικό/βάρος/υγεία)·
• εφαρμόζει διατερματικές πολιτικές: εξακρίβωση της ταυτότητας/αδειοδότηση, περιορισμός των επιτοκίων, WAF, CORS, αποθήκευση·
• εκτελεί μετασχηματισμούς (κανονικοποίηση κεφαλίδων/σωμάτων, gRPC↔JSON, ράψιμο GraphQL)·
• παρέχει σταθερότητα (χρονοδιαγράμματα, επαναλήψεις, διακόπτες κυκλώματος, ανίχνευση ακραίων σημείων)·
• παρέχει δυνατότητα παρατήρησης και τιμολόγησης (κορμοί, μετρήσεις, ίχνη, ποσοστώσεις)·
• απομονώνει την εσωτερική τοπολογία (πλέγμα υπηρεσιών, ιδιωτικές υπηρεσίες).

Συχνά χρησιμοποιείται σε ζεύγη: Edge/API-Gateway + Ingress/Mesh (Απεσταλμένος/Istio/Linkerd) - η πρώτη αποφασίζει για την εξωτερική πολιτική, η δεύτερη - ανατολικά-δυτικά.

2) Τυπικές τοπολογίες

Ενιαία παγκόσμια πύλη (CDN/edge POP → L7 gateway → services) - απλές, συγκεντρωτικές πολιτικές.
Περιφερειακές πύλες (ανά περιφέρεια) + έξυπνη διαδρομή γεω/καθυστέρησης.
Πολυλειτουργικός: ειδικά δρομολόγια/επιμέρους δρομολόγια/κλειδιά, ποσοστώσεις και όρια ανά ενοικιαστή.
Υβριδικό: on-prem + cloud, ιδιωτικός σύνδεσμος/ομότιμος σύνδεσμος, ιδιωτικές ενισχύσεις πίσω από την πύλη API.

3) L7 Κανόνες δρομολόγησης

• Υποδοχή/διαδρομή: 'api. παράδειγμα. com "→ "/v1/orders/".
• Κεφαλίδες: 'X-Client', 'X-Region', 'User-Agent', 'Accept'.
• Μέθοδος/Τύπος περιεχομένου: διάκριση JSON/Proto/GraphQL.
• Ερώτηση/θραύσμα: προσεκτική - επηρεάζει τη μνήμη/τις παραλλαγές.
• Geo/Latency: πλησιέστερη POP/περιφέρεια, αποτυχία υποβάθμισης.
• Σταθμισμένη/Κανάριος: κατανομή κυκλοφορίας 90/10, 50/50, κολλώδης από cookie.
• Συγγένεια συνεδρίας: hash-based on key/moken (προσεκτική κατά την κλιμάκωση).

yaml nginx. ingress. kubernetes. io/canary: "true"
nginx. ingress. kubernetes. io/canary-weight: "10" # 10% traffic to new backend

yaml match: { prefix: "/orders", headers: [{name: "X-Experiment", exact_match: "new"}] }
route: { cluster: orders-v2 }

4) Πρωτόκολλα και συμβατότητα

REST/JSON - εξ ορισμού, περιγράψτε το OpenAPI για επικύρωση/παραγωγή πελατών.
gRPC - δυαδικό Proto πάνω από HTTP/2; για εξωτερικούς πελάτες, χρησιμοποιήστε gRPC-JSON transcoding.
GraphQL - συγκεντρωτικές υπηρεσίες· στην περίμετρο, παρακολούθηση της πολυπλοκότητας/του βάθους των ερωτήσεων.
WebSocket/SSE - αμφίδρομη/ώθηση; σκεφτείτε κολλώδη και χρονικά περιθώρια.
(QUIC) - πολλαπλοποίηση/γρήγορη εκκίνηση; Επαλήθευση της συμβατότητας WAF/πληρεξουσίου.

5) Ασφάλεια: εξακρίβωση ταυτότητας και εξουσιοδότηση

5. 1 Μεταφορές

TLS 1. 2 + στην περίμετρο, HSTS, συρραφή OCSP, PFS.
mTLS για B2B/internal API και μηχανή προς μηχανή.
Επιτρεπόμενος κατάλογος IP/denylist, γεωγραφικοί περιορισμοί.

5. 2 Στρώμα εφαρμογής

: JWT μάρκες κομιστή, υπογραφή/λήξη/επαλήθευση κοινού.
NMAS/υπογραφές: ημερομηνία + αγιοποιημένη γραμμή + υπογραφή (AWS-όπως) - προστασία από υποκατάσταση, επανάληψη (nonce/χρονικό παράθυρο).
Πλήκτρα API: μόνο ως αναγνωριστικό· δικαιώματα - μέσω RBAC/ABAC/πεδίων εφαρμογής.
CORS: ρητή επιτρεπόμενη προέλευση, κρύπτη πριν από την πτήση.
WAF: υπογραφές (OWASP API Top 10), ανωμαλία, προστασία bot, αναδρομικά πεδία JSON.
DDoS/Κατάχρηση: περιορισμός σύνδεσης, κουβάς-δείκτη/κουβάς διαρροής, πουλί + μέση ταχύτητα, δυναμικές απαγορεύσεις.

yaml plugins:
- name: oidc config: { issuer: "...", client_id: "...", client_secret: "...", scopes: ["orders. read"] }
- name: rate-limiting config: { minute: 600, policy: local }

6) Επικύρωση, μετατροπή και συμβατότητα

Συστήματα: επικύρωση αμαξώματος/κεφαλίδων/παραμέτρων σύμφωνα με το OpenAPI/JSON-Schema/Protobuf.
Μετασχηματισμοί: ομαλοποίηση πεδίου, απόκρυψη PII, προσθήκη κεφαλίδων συσχέτισης ('traceparent', 'x-request-id').
Έκδοση: 'Κεφαλίδα: X-API-Version', προθέματα '/v1 ', έκδοση πόρων. Πολιτική υποτίμησης и Ηλιοβασίλεμα.
Εφεδρική συμπίεση: μόνο πρόσθετο πεδίο. να αποφεύγεται η «παραβίαση» αλλαγών χωρίς νέα έκδοση.
Idempotency: 'Idempotency-Key' для POST; Η πύλη αποθηκεύει κλειδιά στο Redis με TTL.

7) Ανθεκτικότητα: Πολιτικές σύνδεσης

Timeouts: σύνδεση/ανάγνωση/εγγραφή; εύλογες αθετήσεις (π.χ. 1s/5s/5s).
Μόνο για ασφαλείς και άψογες εκθετική οπισθοδρόμηση, μέγιστες απόπειρες.
Διακόπτης κυκλώματος: ανοίγει σε σφάλματα/καθυστέρηση. half-open για δείγματα.
Εξώτερη ανίχνευση - αφαίρεση κακών κρουσμάτων από τη δεξαμενή.
Διάφραγμα/ανταγωνισμός: όρια στις ταυτόχρονες αιτήσεις ανά διαδρομή.
Αποτυχία: ενεργητική/παθητική, ζωνική υποβάθμιση.
Σκιώδης κίνηση: Το V2 «γκρι» εκτελείται παράλληλα με το V1 (χωρίς επίδραση στην απόκριση) για σύγκριση.

yaml circuit_breakers:
thresholds:
- priority: DEFAULT max_connections: 1024 max_pending_requests: 2048 max_retries: 3

8) Αποθήκευση και απόδοση

HTTP- : 'Cache-Contro ,' ETag/If-No-Match ',' Vary ',' stale-while-revalidate '.
Κρυψώνες ακμών/POP: CDN για στατικούς και αποθηκευμένους API (idempotent GETs).
Συμπίεση: 'gzip/br' (δεν συμπιέζεται ήδη).
Αίτημα κατάρρευσης («coalescing»): συνδυασμός πανομοιότυπων παράλληλων αιτημάτων.
Διαμόρφωση απόκρισης: πεδία/φίλτρα, όρια μεγέθους βασισμένα στον δρομέα.

9) Παρατηρησιμότητα και λειτουργία

: 'l7 _ req _ total {route, method, code}', 'latency _ ms {p50, p95, p99}', 'upstream _ ror ,' retry _ coun , 'cb _ state', '429 _ rate', 'requence _ use {tenant}'.
Καταγραφές: δομικά, με 'trace _ id/span _ id', 'user _ id/penant _ i ,' client _ ip '.
Ίχνη: W3C Trace Context ('traceparent', 'tracestate'), πολλαπλασιάζονται σε ανάντη.
Έλεγχος: ποιος προκάλεσε τι, με ποια δικαιώματα· αμετάβλητες αποθήκες για ευαίσθητα API.
SLO/SLA: στόχος p99, προϋπολογισμός σφάλματος· το επίπεδο της ρίζας είναι καλύτερο από το παγκόσμιο.

10) Διαχείριση σχεδίου χωρητικότητας

Ποσόστωση ανά ενοικιαστή/κλειδί/σύμπραξη πελατών, σε λεπτά/ώρα/ημέρα.
Διάρρηξη + σταθερά όρια. διαρροή κουβά για την εξομάλυνση.
Δικαιοσύνη: όταν υπερφορτώνεται - δίκαιη ουρά αντί της «πρώτης συνάντησης».
Προτεραιότητες: συστήματα/κρίσιμες διαδρομές με ομάδες προτεραιότητας και ειδικές κοινοπραξίες.

11) Διαχείριση και αποδέσμευση αλλαγών

Καναρίνι/μπλε-πράσινο: δρομολόγηση βάρους· αυτόματη προέλαση σε SLO (σφάλματα/καθυστέρηση).
Πύλες/Σημαίες υποστήριξης: ενεργοποιήστε με κεφαλίδα/μάρκα.
Επικυρωτές σκιών/diff: σύγκριση φορέων/καταστάσεων, ανοχές δέλτα.
Στάδιο: κατανεμημένα πεδία/μονοπάτια ('stage. api... "), μεμονωμένα κλειδιά και ποσοστώσεις.

12) Παραδείγματα διαμόρφωσης

12. 1 NGINX - Βασικό όριο και πύλη Cache

nginx map $http_x_request_id $reqid { default $request_id; }

limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s;

server {
listen 443 ssl http2;
server_name api. example. com;

security add_header Strict-Transport-Security "max-age = 31536000" always;

location /v1/ {
limit_req zone=perip burst=30 nodelay;
proxy_set_header X-Request-ID $reqid;
proxy_set_header Authorization $http_authorization;
proxy_connect_timeout 1s;
proxy_read_timeout 5s;

proxy_cache api_cache;
proxy_cache_valid 200 10s;
proxy_cache_use_stale error timeout updating;
proxy_pass http://orders-v1;
}
}

12. 2 Απεσταλμένος - Διαδρομή Ισορροπίας και Επανασύνδεσης

yaml routes:
- match: { prefix: "/orders" }
route:
weighted_clusters:
clusters:
- name: orders-v1 weight: 90
- name: orders-v2 weight: 10 retry_policy:
retry_on: "5xx,reset,connect-failure"
num_retries: 2 per_try_timeout: 2s

12. 3 Traefik - μεσαία σκεύη και κεφαλίδες

yaml http:
middlewares:
secHeaders:
headers:
stsSeconds: 31536000 contentTypeNosniff: true routers:
api:
rule: "Host(`api. example. com`) && PathPrefix(`/v1`)"
service: svc-orders middlewares: ["secHeaders"]

13) Αντι-μοτίβα

Ένα παγκόσμιο όριο σε όλους - οι «καλοί γείτονες» υποφέρουν εξαιτίας του «θορυβώδους».
Retrays χωρίς ταυτότητα → διπλά αποτελέσματα (πληρωμές, δημιουργία οντοτήτων).
Αγνοώντας το «timeout »/« max body size» → κρεμάει/εξαντλεί τους εργαζόμενους.
Ανάμειξη των πολιτικών αιχμής και της επιχειρηματικής λογικής στην πύλη (στάθμιση της περιμέτρου).
Έλλειψη επικύρωσης των συστημάτων → ευπάθεια των πελατών και «αποσπασματικές» εκδόσεις.
Γυμνή WebSocket εκτός από auth/όρια/χρόνο αδράνειας.
Μυστικά σε τίτλους χωρίς εναλλαγή. δεν υπάρχει mTLS στην εσωτερική B2Bs.

14) Test playbooks (Ημέρες παιχνιδιού)

Θύελλα αιτημάτων: περιορισμός/ποσόστωση, 429-συμπεριφορά, υποβάθμιση.
Απώλεια ενός συμπλέγματος: αποτυχία/ανακατανομή βάρους. Καναρίνια SLO.
Σταθμισμένες απαντήσεις: max body/timeouts· αποκοπή των αρθρώσεων.
Ενέσεις/ανωμαλίες: κανόνες WAF, αναδρομική αναστολή JSON, μεγάλα βάθη GraphQL.
Το ίχνος απέτυχε να ελέγξει τη διάδοση και τη δειγματοληψία του «traceparent».
Μυστικά: περιστροφή κλειδιού/JWKS, λήξη σημάτων, ανοχή ρολογιού-skew.

15) Κατάλογος ελέγχου εφαρμογής

• Ορισμός τομέων/μονοπατιών/εκδόσεων, δημοσίευση OpenAPI/Proto.
• TLS/mTLS, HSTS, μυστική διαχείριση και περιστροφή έχουν διαμορφωθεί.
• Επαλήθευση ταυτότητας (OIDC/HMAC), RBAC/πεδία εφαρμογής, ενεργοποιημένο το CORS.
• Όρια/ποσοστώσεις ανά ενοικιαστή, δίκαιες ουρές αναμονής, 429-UX.
• Δρομολόγηση βάρους/κεφαλίδας, σχέδιο καναρινιού και ανατροπή.
• timeout/retrip/πολιτικές διακόπτη κυκλώματος/outlier.
• Επικύρωση συστήματος, μετασχηματισμοί, απόκρυψη PII.
• Edge- кеш/ETag, coalescing, gzip/br.
• Παρατηρησιμότητα: μετρήσεις, κούτσουρα, τροχιές, ταμπλό και ειδοποιήσεις.
• Runbooks: περιστατικά, περιστροφή κλειδιών, λίστες μπλοκ, Μαύρη Παρασκευή.

16) ΣΥΧΝΈΣ ΕΡΩΤΉΣΕΙΣ

Ε: Πώς διαφέρει η πύλη API από το πλέγμα υπηρεσίας

A: Πύλη - Βορρά-Νότου (εξωτερική περίμετρος, διατερματικές πολιτικές). Mesh - ανατολικά-δυτικά (intracluster connectivity/MTLS/retrai). Χρησιμοποιείται συχνά μαζί.

Ε: Πού να υλοποιήσετε την αυτόματη λειτουργία: στην πύλη ή τις υπηρεσίες

A: Και τα δύο επίπεδα: πύλη - χονδρόκοκκος (εξακρίβωση ταυτότητας, βασικά δικαιώματα/ποσοστώσεις), υπηρεσία - λεπτόκοκκος (ρόλοι/χαρακτηριστικά πεδίου).

Ε: Πότε χρειάζεται η transcoding gRPC-JSON

A: Όταν το εσωτερικό gRPC και το εξωτερικό απαιτεί REST/JSON και απλούς πελάτες/περιηγητές.

Ε: Πώς να επιλέξετε μια στρατηγική έκδοσης

A: Για δημόσιες API - κεφαλίδες στέρησης «/vN »+ και μεγάλη επικάλυψη. Για εσωτερικές σημαίες/σύστημα συμβατότητας.

17) Σύνολα

Η πύλη API δεν είναι απλώς ένας πληρεξούσιος, αλλά ένα κέντρο πολιτικών και ανθεκτικότητας. Η ορθή δρομολόγηση, η ασφάλεια, τα όρια, η επικύρωση και η παρατηρησιμότητα παρέχουν προβλεψιμότητα και ταχύτητα των απελευθερώσεων. Συνδυάστε πύλη ακμής με πλέγμα υπηρεσίας, αυτοματοποιημένα καναρίνια και ποσοστώσεις, βλάβες δοκιμής - και η περίμετρος θα γίνει ο επιταχυντής σας, όχι σημείο συμφόρησης.