23. september 2025Eesti

Uurige Pythoni API värava arendamist teenindusvõrgu integratsiooniga. Õppige mikroteenustest, marsruutimisest, autentimisest ja jälgitavusest globaalses kontekstis.

Pythoni API värav: Teenindusvõrgu (Service Mesh) rakendamine kaasaegsetes arhitektuurides

Tänapäeva kiiresti arenevas digimaailmas on mikroteenuste arhitektuurid muutunud tavaliseks skaleeritavate, vastupidavate ja hooldatavate rakenduste loomisel. Nende arhitektuuride südames on vajadus tõhusa ja turvalise suhtluse järele teenuste vahel. Siin tulevad mängu API väravad ja teenindusvõrgud. See artikkel uurib, kuidas luua Pythoni-põhist API väravat ja integreerida seda teenindusvõrguga, pakkudes töökindlat lahendust mikroteenuste suhtluse haldamiseks globaalses kontekstis.

API väravate ja teenindusvõrkude mõistmine

Mis on API värav?

API värav toimib ühtse sisenemispunktina kõigile kliendipäringutele mikroteenuste taustasüsteemi. See tegeleb selliste ülesannetega nagu:

Marsruutimine: Päringute suunamine vastavasse mikroteenusesse.
Autentimine ja autoriseerimine: Kliendi identiteedi kontrollimine ja vajalike õiguste tagamine.
Päringute piiramine: Kuritarvitamise vältimine ja teenuste õiglase kasutamise tagamine.
Päringu transformatsioon: Päringute muutmine enne nende taustasüsteemi saatmist.
Vastuste koondamine: Mitme mikroteenuse vastuste ühendamine üheks vastuseks.
Vahemällu salvestamine: Latentsuse vähendamine ja jõudluse parandamine.

Mõelge sellele kui oma rakenduse keerukale administraatorile, kes haldab kogu sissetulevat liiklust ja tagab, et see jõuab õigesse kohta ohutult ja tõhusalt. Näiteks võib Austraalias asuv mobiilirakendus saata päringu API väravale, mis seejärel suunab selle Singapuris asuvasse hinnateenusesse ja Saksamaal asuvasse laoseisuteenusesse, koondades tulemused enne nende kasutajale tagastamist.

Mis on teenindusvõrk (Service Mesh)?

Teenindusvõrk on infrastruktuurikiht, mis haldab teenustevahelist suhtlust mikroteenuste arhitektuuris. See pakub funktsioone nagu:

Teenuste avastamine: Saadaval olevate teenuse eksemplaride automaatne leidmine.
Liikluse haldus: Teenustevahelise liikluse voo juhtimine, sealhulgas koormuse tasakaalustamine, marsruutimine ja katkestuste loomine.
Jälgitavus: Teenuste jõudluse ja seisundi kohta teabe andmine.
Turvalisus: Teenustevahelise suhtluse krüptimine ja turbe-eeskirjade jõustamine.

Teenindusvõrk koosneb tavaliselt juhtplokist (nt Istio) ja andmeplokist (nt Envoy). Andmeplokk peatab kogu teenustevahelise suhtluse ja rakendab juhtploki poolt määratletud reegleid. Kujutage ette nähtamatute kullerite võrgustikku, mis haldab kogu sisekommunikatsiooni, tagades sõnumite turvalise, usaldusväärse ja tõhusa edastamise. Teenindusvõrk võimaldab vaikimisi nullusisaldusega võrku – iga teenus autentib iga teist teenust, sõltumata nende asukohast. See on eriti oluline rahvusvahelistes ettevõtetes, kus teenused on levinud erinevatesse geograafilistesse piirkondadesse.

Miks kombineerida API väravat ja teenindusvõrku?

Kuigi nii API väravad kui ka teenindusvõrgud tegelevad mikroteenuste suhtlusega, tegutsevad nad erinevatel tasanditel ja lahendavad erinevaid probleeme. API värav keskendub välise liikluse haldamisele, samas kui teenindusvõrk keskendub sisese liikluse haldamisele. Nende kahe kombineerimine pakub terviklikku lahendust mikroteenuste suhtluse turvamiseks, haldamiseks ja jälgimiseks nii klasteri sees kui ka väljaspool.

Näiteks kaaluge e-kaubanduse platvormi. API värav käsitleb veebi- ja mobiilirakenduste päringuid, autentides kasutajaid, rakendades kiirusepiiranguid ja suunates päringud vastavatesse taustteenustesse. Teenindusvõrk haldab suhtlust taustteenuste vahel, tagades turvalise ja usaldusväärse suhtluse tootekataloogi, tellimuste haldamise ja maksetöötluse teenuste vahel. API värav võib kasutada väliseid autentimisteenuseid, nagu Okta või Auth0, samas kui teenindusvõrk tagab turvalise suhtluse sise-teenuste vahel, kasutades vastastikust TLS-i (mTLS).

Pythoni API värava loomine

Python, oma rikkaliku raamatukogude ja raamistike ökosüsteemiga, on suurepärane valik API väravate loomiseks. Kasutame skaleeritava ja hooldatava värava loomiseks raamistike kombinatsiooni.

Raamistiku valik

FastAPI: Kaasaegne, suure jõudlusega veebiraamistik API-de loomiseks. FastAPI pakub automaatset andmete valideerimist, serialiseerimist ja dokumentatsiooni loomist.
Uvicorn: ASGI server asünkroonsete Pythoni rakenduste käitamiseks.
Requests: Raamatukogu HTTP-päringute tegemiseks taustteenustesse. Keerukamate stsenaariumide korral kaaluge `httpx` kasutamist, mis pakub asünkroonset tuge.
PyJWT: Raamatukogu JSON Web Tokenite (JWT) kasutamiseks autentimiseks.

Projekti struktuur

api_gateway/
├── main.py        # Peamine rakendusfail
├── config.py      # Konfiguratsiooniseaded
├── routes.py      # API marsruudi definitsioonid
├── auth.py        # Autentimise loogika
├── utils.py       # Utiliitfunktsioonid
└── requirements.txt # Projekti sõltuvused

Näide koodist: main.py

from fastapi import FastAPI, Depends, HTTPException, Request
from fastapi.responses import JSONResponse
import uvicorn
import requests
import jwt
from config import settings
from auth import verify_jwt
from routes import router

app = FastAPI()
app.include_router(router)

@app.middleware("http")
async def add_process_time_header(request: Request, call_next):
    response = await call_next(request)
    return response

if __name__ == "__main__":
 uvicorn.run(app, host="0.0.0.0", port=8000)

Näide koodist: routes.py

from fastapi import APIRouter, Depends, HTTPException, Request
from fastapi.responses import JSONResponse
import requests
import jwt
from config import settings
from auth import verify_jwt

router = APIRouter()

@router.get("/products/{product_id}")
async def get_product(product_id: int, request: Request, is_authenticated: bool = Depends(verify_jwt)):
  # Saada päring edasi toodete teenusesse
  product_service_url = f"{settings.product_service_url}/products/{product_id}"

  try:
      response = requests.get(product_service_url)
      response.raise_for_status()  # Tõsta HTTPError valede vastuste (4xx või 5xx) korral
      return response.json()
  except requests.exceptions.RequestException as e:
      raise HTTPException(status_code=500, detail=f"Viga suhtluses toodete teenusega: {e}")

@router.post("/orders")
async def create_order(request: Request, is_authenticated: bool = Depends(verify_jwt)):
 # Saada päring edasi tellimuste teenusesse
 order_service_url = f"{settings.order_service_url}/orders"
 body = await request.json()

 try:
  response = requests.post(order_service_url, json=body)
  response.raise_for_status()
  return response.json()
 except requests.exceptions.RequestException as e:
  raise HTTPException(status_code=500, detail=f"Viga suhtluses tellimuste teenusega: {e}")

Näide koodist: auth.py

from fastapi import HTTPException, Depends, Header
import jwt
from config import settings
from typing import Optional

async def verify_jwt(authorization: Optional[str] = Header(None)) -> bool:
 if not authorization:
  raise HTTPException(status_code=401, detail="Autoriseerimis päis on nõutud")

 try:
  token = authorization.split(" ")[1]
  jwt.decode(token, settings.jwt_secret, algorithms=[settings.jwt_algorithm])
  return True
 except jwt.ExpiredSignatureError:
  raise HTTPException(status_code=401, detail="Token on aegunud")
 except jwt.InvalidTokenError:
  raise HTTPException(status_code=401, detail="Kehtetu token")

Näide koodist: config.py

import os
from typing import Optional
from pydantic import BaseSettings

class Settings(BaseSettings):
 product_service_url: str = os.getenv("PRODUCT_SERVICE_URL", "http://localhost:8001")
 order_service_url: str = os.getenv("ORDER_SERVICE_URL", "http://localhost:8002")
 jwt_secret: str = os.getenv("JWT_SECRET", "secret")
 jwt_algorithm: str = os.getenv("JWT_ALGORITHM", "HS256")

settings = Settings()

Konfiguratsioon

Salvestage konfiguratsiooniseaded, nagu taustteenuste URL-id ja autentimisvõtmed, eraldi konfiguratsioonifaili (nt `config.py`). Kasutage keskkonnamuutujad erinevate keskkondade (arendus, testimine, tootmine) konfigureerimiseks.

Autentimine

Rakendage autentimine, kasutades JWT-sid. API värav kontrollib JWT-d enne päringu edasisaatmist taustteenusesse. See lähenemine edendab turvalisust ja detsentraliseerimist. Suuremate organisatsioonide jaoks kaaluge integreerimist identiteedi pakkujaga nagu Keycloak või Azure AD. See võib tsentraliseerida autentimis- ja autoriseerimisreegleid.

Marsruutimine

Definieerige marsruudid eraldi failis (nt `routes.py`). Kasutage FastAPI marsruutimis funktsionaalsust, et kaardistada sissetulevad päringud vastavatesse taustteenustesse. Rakendage marsruutimine päringu tee, HTTP meetodi ja päiste põhjal.

Näide: API värava Dockeriseerimine

Looge `Dockerfile`, et pakendada API värav konteinerisse.

FROM python:3.9-slim-buster

WORKDIR /app

COPY requirements.txt .
RUN pip install --no-cache-dir -r requirements.txt

COPY . .

CMD ["uvicorn", "main:app", "--host", "0.0.0.0", "--port", "8000"]

Teenindusvõrgu integratsioon

Pythoni API värava integreerimine teenindusvõrguga nagu Istio parandab turvalisust, jälgitavust ja liikluse haldust. Keskendume sellele, kuidas konfigureerida Istio API värava kaudu kulgevat liiklust haldama.

Istio installimine

Enne jätkamist veenduge, et Istio on teie Kubernetes klasteris installitud. Paigaldusjuhiste saamiseks vaadake ametlikku Istio dokumentatsiooni. Paljud pilvepakkujad nagu AWS, Google Cloud ja Azure pakuvad hallatavaid Istio teenuseid, mis lihtsustavad juurutamist ja haldamist.

Sidecar-i süstimine

Istio kasutab sidecar-i proxy't (Envoy) kogu teenusesse suunduva ja sealt väljuva liikluse pealtkuulamiseks. API värava jaoks Istio lubamiseks peate süstima sidecar-i proxy't API värava podi. Seda tehakse tavaliselt, lisades podi juurutusse annotatsiooni:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: api-gateway
  labels:
    app: api-gateway
spec:
  replicas: 1
  selector:
    matchLabels:
      app: api-gateway
  template:
    metadata:
      labels:
        app: api-gateway
      annotations:
        sidecar.istio.io/inject: "true" # Luba Istio sidecar-i süstimine
    spec:
      containers:
      - name: api-gateway
        image: your-api-gateway-image:latest
        ports:
        - containerPort: 8000

Virtuaalteenused ja väravad

Istio kasutab liiklus marsruutimiseks Virtuaalteenuseid ja Väravaid. Värav määratleb võrku siseneva liikluse sisenemispunkti, samas kui Virtuaalteenus määratleb, kuidas liiklus marsruutitakse võrgu sees olevatesse teenustesse.

Istio värava loomine

Definieerige Istio värav, et muuta API värav väliseks liikluseks kättesaadavaks.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: api-gateway-gateway
spec:
  selector:
    istio: ingressgateway # Kasuta Istio vaikimisi sisenemisväravat
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*" # Asenda oma domeeniga

Virtuaalteenuse loomine

Definieerige Virtuaalteenus, et suunata liiklust väravast API väravateenusesse.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: api-gateway-virtualservice
spec:
  hosts:
  - "*" # Asenda oma domeeniga
  gateways:
  - api-gateway-gateway
  http:
  - route:
    - destination:
        host: api-gateway # Teenuse nimi Kubernetes
        port:
          number: 8000 # Port, millel API värav kuulab

Liikluse haldamine Istio abil

Istio pakub võimsaid liikluse haldamise võimalusi, nagu näiteks:

Koormuse tasakaalustamine: Liikluse jaotamine teenuse mitme eksemplari vahel. Istio toetab erinevaid koormuse tasakaalustamise algoritme, sealhulgas ringi ümber, vähemaid ühendusi ja järjepidevat räsimist.
Liikluse jagamine (Canary jaotused): Uute teenuseversioonide järkjärguline käivitamine, saates uuele versioonile väikese osa liiklusest. See võimaldab teil testida uusi funktsioone tootmises, ilma kõiki kasutajaid mõjutamata.
Katkestuste loomine: Kaskaadsete tõrgete vältimine, peatades automaatselt liikluse ebatervislike teenuste suunas.
Vigade süstimine: Viivituste või vigade süstimine liiklusesse, et testida rakenduse vastupidavust.

Näide: Canary jaotus Istio abil

Canary jaotuse tegemiseks saate konfigureerida Istio, et saata väike osa liiklusest (nt 10%) API värava uude versiooni.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: api-gateway-virtualservice
spec:
  hosts:
  - "*" # Asenda oma domeeniga
  gateways:
  - api-gateway-gateway
  http:
  - route:
    - destination:
        host: api-gateway # Versioon 1
        port:
          number: 8000
        weight: 90
    - destination:
        host: api-gateway-v2 # Versioon 2 (Canary)
        port:
          number: 8000
        weight: 10

Jälgitavus

Monitooring ja logimine on kriitilise tähtsusega teie API värava ja taustteenuste jõudluse ja seisundi mõistmiseks. Rakendage terviklik jälgitavus, kasutades tööriistu nagu:

Prometheus: Monitooringusüsteem meetrikate kogumiseks ja salvestamiseks. Istio integreerub Prometheus'ega, et pakkuda teenuste liikluse, latentsuse ja vigade kohta meetrikaid.
Grafana: Andmete visualiseerimise tööriist oma rakenduse monitoorimiseks armatuurlaudade loomiseks.
Jaeger: Hajussüsteem päringute jälgimiseks, kui need liiguvad teie mikroteenuste kaudu. Istio saab automaatselt luua jälgi kogu teenustevahelise suhtluse jaoks.
Fluentd/Elasticsearch/Kibana (EFK Stack): Logide kogumise, salvestamise ja analüüsimise logimisstack.

Istio telemeetria

Istio kogub automaatselt telemeetriaandmeid teenuste liikluse kohta, sealhulgas meetrikaid, logisid ja jälgi. Saate neid andmeid kasutada oma API värava ja taustteenuste jõudluse ja seisundi monitoorimiseks. Konfigureerige Istio telemeetriaandmete eksportimiseks Prometheus'esse, Grafana'sse ja Jaeger'isse.

API värava spetsiifilised meetrikad

Lisaks Istio telemeetriaandmetele peaksite koguma ka API väravaga seotud meetrikaid, nagu näiteks:

Päringute määr: Tehtud päringute arv sekundis.
Vastuse aeg: Keskmine aeg, mis kulub päringu töötlemiseks.
Vigade määr: Vigade protsent.
Autentimise edukuse/ebaõnnestumise määr: Edukate ja ebaõnnestunud autentimiskatsete arv.
Vahemälu tabamuste määr: Päringute protsent, mis teenindatakse vahemälust.

Turvalisuse kaalutlused

Turvalisus on API värava loomisel ülimalt tähtis. Kaaluge järgmisi turvameetmeid:

Autentimine ja autoriseerimine: Rakendage oma taustteenuste kaitsmiseks tugevad autentimis- ja autoriseerimismehhanismid. Kasutage JWT-sid, OAuth 2.0 või muid tööstusharu standardseid protokolle.
Sisendi valideerimine: Valideerige kõik sissetulevad päringud, et vältida sissepritse rünnakuid.
Kiirusepiirang: Rakendage kiirusepiirang, et vältida kuritarvitamist ja teenuse keelamise rünnakuid.
TLS-krüptimine: Krüpteerige kogu suhtlus API värava ja taustteenuste vahel TLS-i abil. Istio pakub automaatset TLS-krüpteerimist vastastikuse TLS-i (mTLS) abil.
Veebirakenduse tulemüür (WAF): Kasutage WAF-i levinud veebirakenduste rünnakute, nagu SQL-i sissepritse ja ristkodueksploitatsiooni (XSS) eest kaitsmiseks.
Regulaarsed turvaülevaatused: Viige läbi regulaarseid turvaülevaatusi, et tuvastada ja lahendada turvaauke.

Vastastikune TLS (mTLS) Istio abil

Istio saab automaatselt jõustada mTLS-i kogu teenustevahelise suhtluse jaoks, tagades, et kogu suhtlus on krüpteeritud ja autentitud. See pakub tugeva turvakihi pealtkuulamise ja võltsimise vastu.

Edasijõudnud teemad

GraphQL värav

REST API-de asemel kaaluge tõhusama andmete hankimise jaoks GraphQL-i kasutamist. Rakendage GraphQL värav, kasutades raamatukogusid nagu Graphene ja Ariadne. GraphQL võimaldab klientidel taotleda ainult vajalikke andmeid, vähendades üleliigset hankimist ja parandades jõudlust.

gRPC värav

Suure jõudlusega suhtluse jaoks teenuste vahel kaaluge gRPC kasutamist. Rakendage gRPC värav, et muuta gRPC teenused välistele klientidele kättesaadavaks. Kasutage tööriistu nagu grpc-gateway, et genereerida RESTful API-sid gRPC definitsioonidest.

Serverless API värav

Juurdke oma API värav serverless funktsioonina, kasutades platvorme nagu AWS Lambda, Google Cloud Functions või Azure Functions. Serverless API väravad pakuvad skaleeritavust, kulutõhusust ja vähendatud töökoormust. Näiteks saab API väravat integreerida AWS Lambda funktsioonidega, mis on kirjutatud Pythonis, et töödelda päringuid. See serverless lähenemisviis võib oluliselt vähendada infrastruktuuri kulusid.

Kokkuvõte

Pythoni API värava loomine teenindusvõrgu integratsiooniga pakub töökindlat ja skaleeritavat lahendust mikroteenuste suhtluse haldamiseks. Kombineerides API väravate ja teenindusvõrkude tugevusi, saate saavutada täiustatud turvalisuse, jälgitavuse ja liikluse haldamise. See arhitektuur sobib hästi kaasaegsetele, pilvepõhistele rakendustele, mis nõuavad suurt kättesaadavust, skaleeritavust ja turvalisust. Pidage meeles, et kaaluge oma spetsiifilisi nõudeid ja valige oma vajadustele kõige paremini sobivad tööriistad ja tehnoloogiad. Näiteks eelistaks väiksem ettevõte tõenäoliselt Kongi API väravana ja Linkerdi teenindusvõrguna nende suhtelise kasutuslihtsuse tõttu, samal ajal kui suurem ettevõte valiks tõenäoliselt Istio ja kohandatud Pythoni API värava, et saada peeneteralist kontrolli oma arhitektuuri üle. Õigete tööriistade valimine ja ülalmainitud turvalisuse kaalutluste hoolikas rakendamine on edu saavutamiseks ülioluline. Lisaks on pidev monitooring ja kohanemine hädavajalikud, et säilitada töökindel ja turvaline API värav pidevalt arenevas tehnoloogilises maastikus.