本文译自:What Will Be the API Management Trends for 2024?
原文链接:https://thenewstack.io/what-will-be-the-api-management-trends-for-2024/
原文作者:Kenn Hussey
预计到 2030 年末,API 管理 市场的规模将增长六倍,这一增长主要受到一个核心理念的推动:API 完全控制了数字世界。
随着越来越多的企业采用 API 优先的架构,强化对 API 的管理变得至关重要。一家组织可能需要管理数百甚至数千个微服务,这就要求他们使用有效的工具来进行 API 的编排和监控工作。
那么,在目前市场不断扩大的背景下,API 管理领域未来会有怎样的发展呢?我们基于对 2023 年发展情况的分析,确定了几个可能将在 2024 年成为 API 管理领域的主导趋势。
是时候实行零信任了(这并非坏事)
随着 API 数量的快速增长,与之伴随的是更多的安全隐患,如安全漏洞、网络攻击及 API 本身的缺陷。因此,在制定 API 策略时,应当采取 零信任(Zero Trust) 安全原则,这一原则要求不自动信任任何网络交互行为,不论这些交互是在组织的内网还是外网中进行,这样做可以帮助提高整个系统的安全性。
这种方法要求对每个试图访问网络内资源的个人和设备进行严格的身份验证,从而有效地消除了传统上对于内部网络的信任。在面临日益复杂的数据泄露和恶意行为者的时代,采用零信任架构对于全面保障包括 API、云服务和网络基础设施在内的所有技术领域的安全至关重要。
API 网关 在实施零信任安全模型的 API 管理中扮演着一个关键角色。作为第一道防线,这些网关对所有进入的 API 请求都进行严密的身份验证与授权检查,它们负责验证凭据、管理访问令牌,并确保对于来自组织内部或外部的每个请求,都施加同等级别的安全审查。
在这种架构下,API 网关的作用远超过简单的流量调节。它们是构建安全防护系统不可缺失的一环,把零信任原则嵌入到 API 交互的核心。这些网关帮助我们形成可以动态调整的安全策略,它们能够根据持续的风险评估来调整,执行基于上下文的访问控制,并对 API 使用模式进行持续的详细监控。
在零信任模型中,API 网关演变为安全执行者,对于保护经由 API 流动的数据的完整性和机密性至关重要。这种演变凸显了先进 API 管理工具在保持零信任安全原则和确保我们拥有一个安全、稳固的网络基础架构方面的关键地位。
“多元体验架构” 将成为常态
到 2024 年,随着 Gartner 提出的多元体验架构(Multiexperience Architecture)概念越来越普遍,API 管理的复杂性将会升级。组织将不再只是管理单一类型的 API,相反,他们将在同一个应用程序生态系统内同时处理多种协议和架构。这主要是因为现代应用程序的多样化,这些应用程序不仅包括传统的基于 Web 的门户网站和手机原生应用,还包括智能手表应用、即时通讯界面、以及与 AI 集成等多种形式。
这些组件每个都需要适合它们功能的特定 API 方法。REST API 通常因其在外部通信中的简单性和通用性而受到青睐,而 gRPC 可能会被选择用于内部服务通信,因为其效率和速度。同时,GraphQL 因其能够构建所谓的联合图(federated graphs)和子图(subgraphs),这使得数据检索非常灵活和高效,对那些有着复杂界面的客户端程序来说非常关键。此外,消息代理对于促进需要即时数据更新和实时通信的应用程序至关重要。
在这样的环境中,API 管理面临的挑战是多方面的。它涉及到协调不同类型的 API 并确保无缝集成,在这些多样化的架构中确保一致的安全实施和有效的性能监控,解决方案在于能够处理这种多样性的先进 API 管理工具和网关。这些工具必须提供复杂的功能,例如协议转换、统一的安全策略以及可以适应每种 API 类型的独特需求的分析。
2024 年的 API 管理将致力于拥抱和管理这种复杂性,提供一个连贯且高效的框架,以支持“多元体验架构”的各种需求。
API 管理正在成为组织管理
前亚马逊和谷歌工程师 Steve Yegge 分享了一个众所周知的故事,讲述了 Jeff Bezos 在 2002 年对于亚马逊云计算服务(AWS)确立了几条关键准则:
- 所有团队都需要把他们的数据和功能以服务接口的形式提供出来。
- 团队间必须通过这些接口互相通信。
- 禁止使用除服务接口外的任何其他进程间通信方式:比如不能直接链接到别的服务,不能直接访问其他团队的数据,不能使用共享内存,也不允许任何后门。唯一允许的通信是通过网络上的服务接口调用。
- 技术选择不受限制,团队可以使用 HTTP、Corba、Pubsub 或者是自定义协议等等,Bezos 对此不做具体要求。
- 所有的服务接口都必须设计得能够对外公开,也就是说,它们应该能够让外部开发者使用,没有例外。
- 不遵守这些规则的员工会面临被解雇的风险。
Bezos 这么做的目的是为亚马逊打造一个面向服务的基础架构。22 年后的今天,这种模式在技术界已非常普遍。这就意味着,API 管理基本上成为团队之间在组织内部交流和协作的标准方式。
- 战略一致性:API 管理与企业的商业战略紧密相连。这需要对 API 如何帮助实现商业目标有清晰的认识,比如开拓新市场、提升顾客体验或者简化业务流程。这种战略一致性要求确保 API 的发展方向与公司的总体目标保持一致。
- 跨部门合作:API 不再仅是 IT 部门的责任。它们需要跨越市场营销、销售、客户服务和业务发展等多个部门共同协作。这样的合作能保证 API 在开发和管理上能满足组织的各种需求和捕捉到新的机会。
- 把 API 当作产品:API 越来越常被当作是产品来对待,它们由专门的团队负责管理,覆盖从设计到最终退出市场的整个生命周期。这种管理方式包含了定期的更新、收集用户反馈及持续改进的过程,就如同公司的其他产品或服务一样。
- 性能分析和评估:衡量 API 的成功不仅仅局限于技术性能方面,还包括其对商业成果的贡献。API 的使用趋势、用户参与程度以及对收入增长的影响等数据指标,成了衡量 API 有效性的关键。
因此,如何管理 API 不仅仅是关于遵循技术标准或遵守协议,更关乎于这些 API 如何在整个组织中促进信息共享和服务的交付。这种做法推动了企业的灵活性、扩展性和创新能力,在现今这个快速变化的技术环境中显得尤为重要。
GitOps 集成在 API 中使用
将 GitOps 集成到 API 管理中标志着 API 开发、部署和维护方式的重大转变。GitOps 是一种将 Git 的版本控制原理应用于操作工作流的方法,它对于以更高效、透明和可靠的方式管理 API 的生命周期而言,正变得越来越重要。
在 GitOps 的管理模式下,API 的各个组成部分(包括设计文档、配置项、代码和部署脚本)都会被存储在 Git 仓库中。这样做的好处是,API 的任何阶段都会受到版本控制的保护。这意味着,我们可以对变更进行精确追踪,发生问题时能够快速回溯以前的版本,并且促进团队成员之间更有效的合作。
采用 GitOps,我们可以体验到自动化部署带来的显著优势。通过利用 Git 作为单一真实源,可以建立自动化的流水线,以在提交更改时部署 API。这种自动化不仅限于简单的部署,还扩展到配置和策略的持续更新,确保 API 的各个方面都以一致和可靠的方式得到更新。此外,团队还可以设计分布式和声明式的工作流,它们可以融入到 GitOps 的流程中,从而处理更为复杂的定制配置需求。
安全性也是 GitOps 在 API 管理中的一个关键优势。通过使用变更合并请求来引导同行评审和审批步骤,可以建立一个更加稳固的流程来引入修改。此外,由于 Git 仓库具有不可变性的特点,这为更改带来了另一层保障,因为每次变动都会被跟踪和审核。
随着版本控制、自动化、安全性和协作原则的引入,GitOps 在 2024 年及未来的时间里将彻底改造 API 管理的面貌。GitOps 的实践使得 API 的开发和管理更加契合现代敏捷流程的需要,这无疑将提高整个生命周期的效率和可靠性。
开发者体验将成为基本要求
到 2024 年,良好的开发者体验(Developer Experience, DevX)将成为必备要求,不再仅是一项增值服务。随着以开发者为中心的实践变得普及,那些未将开发者体验放在首位的 API 管理系统将面临被市场淘汰的危险。
这种转变的关键在于认识到开发者需要那些能与他们的工作流程无缝对接并提升效率的工具和系统。基础设施即代码(Infrastructure as Code, IaC)的实施是促成这一点的关键措施之一。通过 IaC,开发者可以用代码来自动管理和配置基础设施,而不是手动操作。
API 管理系统还必须能够支持多样化的部署环境。随着部署模型从传统的本地部署到更现代的云原生环境等不断演进,只有能够轻松适应各种环境的灵活、强大的 API 管理方案才能立足于市场。
一个能持续适应现代软件开发需求的 API 管理系统是必不可少的。系统需要围绕开发者体验来设计,包括实施 IaC、与标准化工具链集成、用户友好性、灵活性以及提供深入分析等特点。没有着眼于开发者需求的 API 管理平台,将难以在越来越看重开发者体验的市场中占有一席之地。
解绑后的再捆绑
API 管理工具正转向集成式(捆绑式)解决方案,这与最近的单点解决方案的趋势相反。与过往专为大企业设计的捆绑产品不同,新一代捆绑方案面向更多类型的组织,它们提供更为全面和一体化的解决方案。
API 生态系统不断增长的复杂性和规模正是推动这一变化的动力。现代 API 管理需要一种全面的方法,包括强大的身份验证机制、严格的安全协议和自助开发者工具(Self-serve developer tools)。通过将这些功能整合到单一、连贯的包中,捆绑式解决方案提供了一种更简化、更高效的 API 管理方式。
这些捆绑方案中包含的 API 网关对管理网络流量至关重要,它提供了诸如流量限制、请求路由和协议转换等功能。此外,身份认证机制,例如 OAuth 和 JSON Web Tokens (JWT),是确保 API 安全访问的关键要素。这些捆绑包中的安全功能不仅限于身份验证,还提供针对 SQL 注入、DDoS 攻击和数据泄露等威胁的全面保护。
自助开发者工具是这些捆绑解决方案的重要组成部分。它们使开发者能够独立创建、测试和部署 API,从而减少对 IT 团队的依赖,并提升开发流程的速度。这些工具的设计需要包括对用户友好的界面、详细的文档和自动化测试功能。
捆绑式解决方案在 API 管理领域的回归,标志着业界对现代 API 挑战的响应和适应。通过在统一的包中提供网关、身份验证、安全性和开发者工具,这些捆绑包提供了适合各种组织需求的多功能且高效的解决方案。
未知的人工智能
AI 正在撕毁许多行业的规则手册,并以意想不到的方式重塑它们。
“意想不到”这个词很适合用来描述 AI/ML 技术将如何打破 API 管理生态系统的现状。“2023 年北美 KubeCon 大会”与“OpenAI 开发者大会”同一天举行,但两者似乎相距甚远。在 KubeCon 上,AI 仅被轻描淡写地提及了一下,这让人觉得 DevOps 和 API 管理领域对于人工智能还没有太多深入探讨(至少目前是这样)。
因此,AI/ML 与 API 策略的融合是不可避免的,并且有可能彻底改变 API 的开发、管理和优化方式。
- AI 驱动的分析可以提供更深入的 API 使用模式见解,能够更有效地管理和优化资源。
- AI 可以自动化并增强安全协议,比传统方法更有效地检测异常和潜在威胁。
- AI 可以显著简化 API 开发流程。通过使用机器学习算法,API 可以变得更具适应性和智能,能够更准确、更高效地处理复杂请求。这种集成可能会导致 API 的自我优化,根据实时反馈来调整其行为。
AI 和 API 管理的结合即将成为现实。
随着 AI 不断渗透到各个领域,其在 API 生态系统中的集成将带来前所未有的效率、安全性和适应性水平,预示着 API 管理和使用方式的新时代。
未知中的未知
还有什么可能即将出现呢?在技术进步高速发展的今天,API 已经无处不在,试图预测 API 管理的未来就像是在探索一片未知的新领域。
这个领域正在迅速演变,受到新兴技术和不断变化的范式的推动,因此很难预测未来将会发生的全部变化。正如 API 已经转变了数字基础设施,未来的创新和方法论将进一步重新定义我们今天对 API 管理的理解。
请告诉我们,到 2024 年,你认为将有哪些新的趋势或变化影响到 API 管理?你又期待有哪些令人激动的技术会出现并被我们采用?
