整体发现策略,应对API蔓延

云云众生s
57 阅读5分钟

本文探讨了API发现的重要性,强调了开发者门户和服务目录的双重需求。门户服务于API使用者,提供查找和使用API的便捷方式,而服务目录则为生产者提供API的完整上下文,包括运营数据、合规性状态和服务历史记录。结合两者可实现全面的API发现,提高开发效率、安全性和治理水平。

译自:Tackle API Sprawl with a Holistic Discovery Strategy

作者:Saju Pillai

在当今的企业中,API 无处不在 —— REST、SOAP、GraphQL 以及更多,以惊人的速度遍布各种环境和平台。这种爆炸式增长带来了一个隐藏的成本:API 蔓延。当团队无法看到哪些 API 存在、它们位于何处或归谁所有时,开发速度会减慢,安全风险会成倍增加,工程师会浪费时间构建已经存在的东西。

解决方案不是更好的文档,而是重新思考你的 API 发现策略以及支持它的工具。

API 发现中缺失的一半

大多数组织使用 开发者门户 管理 API 发现,这些门户只是可搜索的目录,工程师可以在其中查找、测试和集成可用的 API。这些门户擅长为 API 使用者提供服务,但它们只讲述了一半的故事。

那么,构建和运营这些 API 的团队呢?当 API 抛出错误时,你该联系谁?哪个团队拥有关键的支付服务?它是否符合安全标准?上次更新是什么时候?

这就是过时的 API 发现方法不足的地方。门户可以告诉你哪些 API 存在,但不能告诉你有效使用它们或正确管理它们所需的完整上下文。有效的 API 发现必须同时服务于使用者和生产者。

例如,使用者需要:

  • 快速、直观地访问可用的 API。
  • 清晰的文档和测试功能。
  • 自助式入门。

本质上,我们需要为 API 使用者提供他们需要的,以便发现 API 以进行重用和应用程序开发。

生产者需要:

  • 了解谁拥有什么。
  • 治理和合规性跟踪。
  • 运营上下文和依赖关系。

相反,生产者和所有者需要构建安全、可靠和受监管的内部 API 清单所需的上下文。

这种双重需求是领先组织采用内部开发者平台的原因。虽然门户处理使用者体验,但服务目录捕获生产者端的元数据,从而使 API 真正可发现和可管理。

它在实践中是如何运作的

假设一个欺诈检测团队发布了一个用于交易评分的内部 API。他们在开发者门户中记录了它,其中包含清晰的规范和示例。几周后,移动支付团队开始构建点对点欺诈检查。

他们没有从头开始构建,而是搜索门户并发现现有的欺诈 API。他们查看其文档,测试一些端点,并以完全自助的方式请求访问。

但在集成之前,他们需要更深入的了解。这个 API 对于支付处理是否足够可靠?谁维护它?它是否符合合规性要求?

这就是服务目录变得不可或缺的地方。它提供了对组织所有关键服务的强大、360 度的视图。例如:

  • 实时运营数据:来自 Kong 网关的当前错误率、来自 PagerDuty 的活动事件以及来自 GitHub 的过期拉取请求。
  • 合规性状态:记分卡结果显示 API 规范符合 OWASP Top 10 linting 规则、可接受的 P95 延迟以及启用了正确的身份验证插件。
  • 完整的服务历史记录:跟踪跨所有集成工具的每一次部署、事件、配置更改和所有权转移。
  • 团队上下文:不仅包括谁拥有它,还包括他们的 GitHub 存储库、Slack 频道和随叫随到轮换。

移动团队看到欺诈 API 具有低延迟,通过所有安全检查,并且具有响应迅速的维护人员。他们通过 Slack 直接向团队发送消息,并开始充满信心地进行集成。

原本可能是数周的冗余开发 —— 或者更糟糕的是,与不可靠的 API 集成 —— 变成了一个由真实数据支持的明智决策。

采用整体方法进行 API 发现的重要性

关键是能够将 API 发现的两方面结合在一起,以获得 API 环境的整体视图。

强大的开发者门户将通过品牌化、可定制的门户为 API 使用者提供服务。然后,开发人员可以浏览 API、访问文档、直接测试端点和注册应用程序。它是任何希望使用 API 的人的前门。

现代服务目录通过捕获每个 API 和服务的完整上下文来补充这一点。合适的工具将聚合来自你的工具链的元数据和实时运营数据,例如 GitHub 存储库、PagerDuty 轮换、Slack 频道和部署详细信息,从而创建 API 生态系统的实时清单。

为了确保质量和合规性,你需要一个服务目录,其中包含根据你的组织标准自动评估服务的记分卡。这使平台团队能够跟踪其整个 API 组合中的安全合规性、文档质量和运营准备情况,从而将治理从手动审计转变为持续监控。

它们共同创造了完整的发现体验。开发人员可以更快地查找和使用 API。平台团队保持可见性和控制力。安全团队可以更安心地入睡,因为每个 API 都有记录。

投资于全面 API 发现的组织将在未来避免蔓延陷阱,从而释放其 API 投资的全部价值。

在此处了解有关 Kong 的 API 发现整体方法的更多信息 这里 并安排 演示 以探索 Kong Konnect 如何帮助你的团队提高 API 可见性、治理和重用。

avatar
文章
阅读
粉丝