O blog da AWS

Potencializando cargas de trabalho híbridas com o Amazon API Gateway

Por Mankaran Singh, Arquteto de Soluções Senior na Amazon Web Services (AWS) e Amit Singh, Arquiteto de Soluções Senior na Amazon Web Services (AWS).

O Amazon API Gateway pode fornecer um único ponto de entrada para todas as solicitações de API recebidas para cargas de trabalho híbridas. Você pode usar o API Gateway para expor seus recursos na Amazon Virtual Private Cloud (VPC) e no local como APIs REST para consumidores externos. Ele fornece uma camada de abstração entre os consumidores da API e os serviços de backend, permitindo o controle centralizado. O roteamento de todo o tráfego por meio do API Gateway permite que os criadores apliquem centralmente a autenticação, a autorização, a limitação de taxa e outros recursos de segurança. Esta postagem descreve como configurar o API Gateway como um ponto de entrada para seus recursos locais.

As cargas de trabalho híbridas podem aproveitar o API Gateway atuando como ponto de entrada único e fornecer uma interface consistente para APIs privadas na nuvem e no local. Você pode conectar o API Gateway aos recursos da sua rede privada por meio do VPC link.

Figura 1 — conectividade privada por meio do link VPC

Quando os recursos privados estão localizados em diferentes VPCs ou contas da AWS, você pode usar o AWS Transit Gateway ou o VPC Peering para conectá-los.

Figura 2 — conectividade privada por meio do AWS Transit Gateway

Você também pode conectar o API Gateway a recursos privados hospedados em sua rede local.

Pré-requisito

Esta postagem pressupõe que você tenha um servidor local hospedando uma API. É necessária uma conectividade privada entre seu AWS VPC e o local. Siga a etapa 1 de implementação para estabelecer a conectividade privada.

Visão geral da solução

A Figura 3 ilustra como conectar a API REST do API Gateway ao aplicativo local. As etapas a seguir detalham o processo de configuração.

Figura 3 — Diagrama da arquitetura da API REST para aplicativos locais

Implantação

A solução proposta pode ser implementada em seis etapas principais:

Etapa 1. Habilitar a comunicação VPC com a rede local

Etapa 2. Configurar o Network Load Balancer para integração privada com o API Gateway

Etapa 3. Criar o link VPC

Etapa 4. Configurar o API Gateway

Etapa 5. Criar a integração com o VPC link

Etapa 6. Implantar a API

Etapa 1. Habilitar a comunicação VPC com a rede local

Nesta etapa, configuramos a conectividade entre o Amazon VPC e a rede local

  1. Crie uma VPC se uma ainda não estiver configurada.
  2. Se não existir uma conexão privada entre a VPC e sua rede local, use o Virtual Private Gateway ou o AWS Transit Gateway para configurar a VPN site a site da AWS ou o AWS Direct Connect.

Etapa 2. Configurar o Network Load Balancer para integração privada com o API Gateway

Nesta etapa, configuramos o Network Load Balancer, necessário para a integração privada com o API Gateway.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do Amazon EC2 no console do Amazon EC2
  2. Configure o target group (target group) para seu Network Load Balancer.
    O target group é usado para roteamento de solicitações para seu aplicativo. Você registrará os IPs do servidor local no grupo de destino. O balanceador de carga verifica a integridade dos destinos nesse target group usando as configurações de verificação de integridade definidas para o target group.

    1. Abra o console do Amazon EC2 no console do Amazon EC2.
    2. No painel de navegação, em Balanceamento de carga, escolha Grupos de destino.
    3. Escolha Criar target group.
    4. Mantenha o tipo de destino como endereços IP
    5. Em Nome do target group, insira um nome para o novo target group.
    6. Em Protocolo, escolha TCP e, em Porta, escolha a porta em que seu aplicativo está sendo executado.
    7. Para VPC, selecione a VPC criada na PARTE A.
    8. Para verificações de saúde, mantenha as configurações padrão.
    9. Escolha Avançar.
    10. Na página Registrar alvos, conclua as seguintes etapas:
      1. Selecione a rede como Outro endereço IP privado e a Zona de disponibilidade como Tudo
      2. Insira os endereços IP e a porta do aplicativo local e escolha Incluir como pendente abaixo.
    11. Escolha Criar target group.

      Figura 4 — O console Amazon EC2 cria um target group

  3. Configure seu balanceador de carga e listener

Para criar um balanceador de carga de rede, você deve primeiro fornecer informações básicas de configuração para seu balanceador de carga, como nome, esquema e tipo de endereço IP. Em seguida, forneça informações sobre sua rede e um ou mais ouvintes (listeners). Um listener é um processo que verifica as solicitações de conexão. Ele é configurado com um protocolo e uma porta para conexões de clientes ao balanceador de carga.

      1. Em Nome do balanceador de carga, insira um nome para seu balanceador de carga.
      2. Para Esquema e tipo de endereço IP, mantenha os valores padrão.
      3. Para mapeamento de rede, selecione a VPC que foi criada anteriormente. Selecione uma sub-rede em pelo menos duas zonas de disponibilidade para obter alta disponibilidade. Por padrão, a AWS atribui um endereço IPv4 a cada nó do balanceador de carga da sub-rede para sua zona de disponibilidade.
      4. Para grupos de segurança, você terá um grupo de segurança padrão associado à sua VPC. Remova o grupo de segurança padrão, pois ele não é necessário para essa configuração. Revise sua configuração e escolha Criar balanceador de carga.
      5. Para listeners e roteamento (listener), selecione o protocolo como TCP e porta do seu aplicativo e selecione o target group na lista. Isso configura um listener que aceita tráfego TCP na porta que você especifica e encaminha o tráfego para o grupo de destino selecionado por padrão.
      6. Revise sua configuração e escolha Criar balanceador

        Figura 5 — O console Amazon EC2 cria um balanceador de carga

4.Desativar a avaliação do grupo de segurança do PrivateLink para seu Network Load Balancer.

        1. Acesse seu Network Load Balancer.
        2. Selecione a guia Segurança.
        3. Escolha Editar.
        4. Desmarque “Aplicar regras de entrada no tráfego do PrivateLink”.
        5. Salvar alterações

          Figura 6 — Console do Amazon EC2 -> Load Balancers -> Segurança; desative a avaliação do grupo de segurança

Etapa 3. Crie o link VPC

Nesta etapa, criamos um link de VPC para conectar sua API e seu Network Load Balancer. Depois de criar um link de VPC, você cria integrações privadas para rotear o tráfego da sua API para os recursos em sua VPC por meio do link de VPC e do Network Load Balancer. Para criar um link de VPC, você precisa fazer o seguinte:

  1. Abra o console do API Gateway no console do Amazon API Gateway
  2. Clique em VPC Links no painel de navegação.
  3. Clique em Criar link de VPC e forneça um nome para o link de VPC.
  4. Selecione o link da VPC para as APIs REST e forneça os seguintes detalhes do link da VPC:
    1. Em Nome, insira o nome do seu link de VPC
    2. Em Descrição (opcional), forneça uma descrição para seu link de VPC.
    3. Para NLB de destino, selecione o NLB criado na etapa anterior no menu suspenso.
  5. Escolha Criar

    Figura 7 — O console do Amazon API Gateway cria um link de VPC

Etapa 4. Criar o API Gateway

Nesta etapa, criamos o API Gateway que terá integração privada com o Network Load Balancer

  1. Volte para o console do API Gateway Console do Amazon API Gateway
  2. Escolha Criar API. Em API REST, escolha Construir.
  3. Crie uma API REST regional.
    1. Para obter detalhes da API, selecione Nova API
    2. Para o nome da API, forneça um nome para sua API
    3. Em Descrição (opcional), forneça uma descrição para sua API.
    4. Para o tipo de endpoint da API, selecione regional na opção suspensa.
  4. Escolha Criar API.

    Figura 8 — O console do Amazon API Gateway cria a API REST

Etapa 5. Crie integração com o link VPC

Nesta etapa, integramos o link de VPC com a API criada na etapa anterior.

  1. Criar recurso
    1. No console do API Gateway, selecione Criar recurso
    2. Em Detalhes do recurso, especifique o caminho e o nome do recurso
    3. Escolha Criar recurso

      Figura 9 — O console do Amazon API Gateway cria um recurso para integração de links VPC

  2. Criar método
    1. No console do API Gateway, selecione Criar método.
    2. Em Tipo de método, selecione o método desejado.
    3. Em Tipo de integração, selecione VPC link.
    4. Ative a integração do proxy VPC.
    5. Para o método HTTP, selecione o método desejado.
    6. Para VPC link, selecione o link VPC no menu suspenso que foi criado nas etapas anteriores.
    7. Em Endpoint URL, insira um URL para o NLB criado nas etapas anteriores junto com o número da porta. Por exemplo: http://nlb-api-integration-xxxxxxxxxxxxxxxx.elb.us-east-1.amazonaws.com:80/on-prem. Supondo que o endpoint recupere o recurso /on-prem.
    8. Escolha Criar método. Com a integração do proxy, a API está pronta para implantação. Caso contrário, você precisará continuar configurando as respostas apropriadas do método e as respostas de integração.

      Figura 10 — O console do Amazon API Gateway cria o método e fornece detalhes do método

      Figura 11 — O console do Amazon API Gateway cria o método e fornece detalhes do método

Etapa 6. Implantar a API

A etapa final é implantar a API. Você pode fazer isso usando as seguintes etapas:

  1. Escolha Deploy API
  2. Em Estágio, selecione Novo estágio.
  3. Em Nome do estágio, insira um nome para o estágio.
  4. Em Descrição (opcional), insira uma descrição.
  5. Escolha Implantar

Figura 12 — O console do Amazon API Gateway implementa a API criada

Segurança

A segurança é a principal prioridade na AWS e opera em um modelo de responsabilidade compartilhada entre a AWS e seus clientes. Ao gerenciar APIs híbridas, implementar medidas de segurança robustas é essencial, pois essas APIs servem como gateways essenciais para dados e serviços confidenciais. Para obter orientações detalhadas sobre como proteger suas APIs REST usando o API Gateway, consulte nossa documentação

Limpeza

Para evitar cobranças adicionais, remova os recursos que foram criados durante este passo a passo

  1. Abra o console do API Gateway.
  2. Selecione as APIs que você criou e selecione excluir.
  3. Acesse os links da VPC no painel de navegação e selecione o link da VPC criado. Exclua o link da VPC.
  4. No console do EC2, acesse balanceadores de carga no painel de navegação e exclua o target group e o NLB.

Conclusão

Esta postagem demonstra como configurar o API Gateway como um ponto de entrada para seus recursos locais, fornecendo uma interface de API unificada para seus clientes.

Você pode ler mais sobre como trabalhar com o API Gateway na documentação da AWS e usar esses recursos para criar arquiteturas que atendam às suas necessidades específicas. Para obter mais recursos de aprendizado sem servidor, visite Serverless Land.

Este conteúdo foi traduzido da postagem original do blog, que pode ser encontrada aqui.

Autores

Mankaran Singh é Arquteto de Soluções Senior na Amazon Web Services (AWS).
Amit Singh é Arquteto de Soluções Senior na Amazon Web Services (AWS).

Biografia do tradutor

Daniel Abib é Arquiteto de Soluções Sênior e Especialista em Amazon Bedrock na AWS, com mais de 25 anos trabalhando com gerenciamento de projetos, arquiteturas de soluções escaláveis, desenvolvimento de sistemas e CI/CD, microsserviços, arquitetura Serverless & Containers e especialização em Machine Learning. Ele trabalha apoiando Startups, ajudando-os em sua jornada para a nuvem.

https://www.linkedin.com/in/danielabib/

Biografia do Revisor

Rodrigo Peres é arquiteto de soluções na AWS, com mais de 20 anos de experiência trabalhando com arquitetura de soluções, desenvolvimento de sistemas e modernização de sistemas legados.