Bagikan melalui

Manajemen API federasi dengan ruang kerja

  • Artikel

BERLAKU UNTUK: Premium

Artikel ini memberikan gambaran umum tentang ruang kerja API Management dan bagaimana mereka memberdayakan tim pengembangan API terdesentralisasi untuk mengelola dan mengolah API mereka dalam infrastruktur layanan umum.

Mengapa organisasi harus menggabungkan manajemen API?

Saat ini, organisasi semakin menghadapi tantangan dalam mengelola proliferasi API. Seiring bertambahnya jumlah API dan tim pengembangan API, begitu juga kompleksitas pengelolaannya. Kompleksitas ini dapat menyebabkan peningkatan overhead operasional, risiko keamanan, dan mengurangi kelincahan. Di satu sisi, organisasi ingin membuat infrastruktur API terpusat untuk memastikan tata kelola API, keamanan, dan kepatuhan. Di sisi lain, mereka ingin tim API mereka berinovasi dan merespons kebutuhan bisnis dengan cepat, tanpa overhead mengelola platform API.

Model federasi manajemen API memenuhi kebutuhan ini. Manajemen API federasi memungkinkan manajemen API terdesentralisasi oleh tim pengembangan dengan isolasi kontrol dan sarana data yang sesuai, sambil mempertahankan tata kelola, pemantauan, dan penemuan API terpusat yang dikelola oleh tim platform API. Model ini mengatasi keterbatasan pendekatan alternatif seperti manajemen API yang sepenuhnya terpusat oleh tim platform atau manajemen API yang di-siloed oleh setiap tim pengembangan.

Manajemen API federasi menyediakan:

  • Tata kelola dan pengamatan API terpusat
  • Portal pengembang terpadu untuk penemuan dan onboarding API yang efektif
  • Izin administratif yang dipisahkan antara tim API, meningkatkan produktivitas dan keamanan
  • Runtime API yang dipisahkan antara tim API, meningkatkan keandalan, ketahanan, dan keamanan

Cara ruang kerja mengaktifkan manajemen API federasi

Di Azure API Management, gunakan ruang kerja untuk menerapkan manajemen API federasi. Ruang kerja berfungsi seperti "folder" dalam layanan API Management:

  • Setiap ruang kerja berisi API, produk, langganan, nilai bernama, dan sumber daya terkait. Lihat referensi API Management REST API untuk daftar lengkap sumber daya dan operasi yang didukung di ruang kerja.
  • Akses Teams ke sumber daya dalam ruang kerja dikelola melalui kontrol akses berbasis peran (RBAC) Azure dengan peran bawaan atau kustom yang dapat ditetapkan ke akun Microsoft Entra dan dilingkup ke ruang kerja.
  • Setiap ruang kerja dikaitkan dengan satu atau beberapa gateway ruang kerja untuk merutekan lalu lintas API ke layanan backend API di ruang kerja.
  • Tim platform dapat menerapkan kebijakan API yang mencakup API di ruang kerja, memantau platform dengan melihat log untuk semua ruang kerja, dan menerapkan pengalaman penemuan API terpusat dengan portal pengembang.

Diagram konseptual layanan API Management dengan ruang kerja.

Catatan

  • Fitur ruang kerja terbaru didukung dalam API Management REST API versi 2023-09-01-preview atau yang lebih baru.
  • Untuk pertimbangan harga, lihat Harga API Management.

Meskipun ruang kerja dikelola secara independen dari layanan API Management dan ruang kerja lainnya, secara desain ruang kerja dapat mereferensikan sumber daya tingkat layanan yang dipilih. Lihat Ruang kerja dan fitur API Management lainnya, nanti di artikel ini.

Gambaran umum skenario contoh

Organisasi yang mengelola API menggunakan Azure API Management mungkin memiliki beberapa tim pengembangan yang mengembangkan, menentukan, memelihara, dan mengolah kumpulan API yang berbeda. Ruang kerja memungkinkan tim ini menggunakan API Management untuk mengelola, mengakses, dan mengamankan API mereka secara terpisah, dan secara independen mengelola infrastruktur layanan.

Berikut ini adalah contoh alur kerja untuk membuat dan menggunakan ruang kerja.

  1. Tim platform API pusat yang mengelola instans API Management membuat ruang kerja dan menetapkan izin kepada kolaborator ruang kerja menggunakan peran RBAC - misalnya, izin untuk membuat atau membaca sumber daya di ruang kerja. Gateway API dengan cakupan ruang kerja juga dibuat untuk ruang kerja.

  2. Tim platform API pusat menggunakan alat DevOps untuk membuat alur DevOps untuk API di ruang kerja tersebut.

  3. Anggota ruang kerja mengembangkan, menerbitkan, menghasilkan, dan memelihara API di ruang kerja.

  4. Tim platform API pusat mengelola infrastruktur layanan, seperti pemantauan, ketahanan, dan penerapan kebijakan semua API.

Gateway ruang kerja

Setiap ruang kerja dikaitkan dengan satu atau beberapa gateway ruang kerja untuk mengaktifkan runtime API yang dikelola dalam ruang kerja. Gateway ruang kerja adalah sumber daya Azure mandiri dengan fungsionalitas inti yang sama dengan gateway yang disertakan dalam layanan API Management Anda.

Gateway ruang kerja dikelola secara independen dari layanan API Management dan satu sama lain. Mereka memungkinkan isolasi runtime antara ruang kerja atau kasus penggunaan, meningkatkan keandalan API, ketahanan, dan keamanan dan memungkinkan atribusi masalah runtime ke ruang kerja.

  • Untuk informasi tentang biaya gateway ruang kerja, lihat Harga API Management.
  • Untuk perbandingan terperinci gateway API Management, lihat Gambaran umum gateway API Management.

Catatan

Kami memperkenalkan kemampuan untuk mengaitkan beberapa ruang kerja dengan gateway ruang kerja, membantu organisasi mengelola API dengan ruang kerja dengan biaya yang lebih rendah. Fitur ini sedang diluncurkan mulai Desember 2024 dan mungkin tidak tersedia untuk semua layanan yang memenuhi syarat sebelum Januari. Pelajari lebih lanjut

Nama host gateway

Setiap asosiasi ruang kerja ke gateway ruang kerja membuat nama host unik untuk API yang dikelola di ruang kerja tersebut. Nama host default mengikuti pola <workspace-name>-<hash>.gateway.<region>.azure-api.net. Saat ini, nama host kustom tidak didukung untuk gateway ruang kerja.

Isolasi jaringan

Gateway ruang kerja dapat dikonfigurasi secara opsional di jaringan virtual privat untuk mengisolasi lalu lintas masuk dan/atau keluar. Jika dikonfigurasi, gateway ruang kerja harus menggunakan subnet khusus di jaringan virtual.

Untuk persyaratan terperinci, lihat Persyaratan sumber daya jaringan untuk gateway ruang kerja.

Catatan

  • Konfigurasi jaringan gateway ruang kerja tidak bergantung pada konfigurasi jaringan instans API Management.
  • Saat ini, gateway ruang kerja hanya dapat dikonfigurasi di jaringan virtual saat gateway dibuat. Anda tidak dapat mengubah konfigurasi atau pengaturan jaringan gateway nanti.

Kapasitas Skala

Kelola kapasitas gateway dengan menambahkan atau menghapus unit skala secara manual, mirip dengan unit yang dapat ditambahkan ke instans API Management di tingkat layanan tertentu. Biaya gateway ruang kerja didasarkan pada jumlah unit yang Anda pilih.

Ketersediaan regional

Untuk daftar wilayah saat ini tempat gateway ruang kerja tersedia, lihat Ketersediaan tingkat v2 dan gateway ruang kerja.

Batasan gateway

Batasan berikut saat ini berlaku untuk gateway ruang kerja:

  • Gateway ruang kerja harus berada di wilayah yang sama dengan wilayah Azure utama instans API Management dan dalam langganan yang sama.
  • Ruang kerja tidak dapat dikaitkan dengan gateway yang dihost sendiri
  • Gateway ruang kerja tidak mendukung titik akhir privat masuk
  • API di gateway ruang kerja tidak dapat ditetapkan nama host kustom
  • API di ruang kerja tidak dicakup oleh Defender untuk API
  • Gateway ruang kerja tidak mendukung pengelola kredensial layanan API Management
  • Gateway ruang kerja hanya mendukung cache internal; cache eksternal tidak didukung
  • Gateway ruang kerja tidak mendukung API GraphQL sintetis dan API WebSocket
  • Gateway ruang kerja tidak mendukung pembuatan API langsung dari sumber daya Azure seperti Azure OpenAI Service, App Service, Function Apps, dan sebagainya
  • Metrik permintaan tidak dapat dibagi berdasarkan ruang kerja di Azure Monitor; semua metrik ruang kerja diagregasi di tingkat layanan
  • Log Azure Monitor diagregasi di tingkat layanan; log tingkat ruang kerja tidak tersedia
  • Gateway ruang kerja tidak mendukung sertifikat CA
  • Gateway ruang kerja tidak mendukung penskalaan otomatis
  • Gateway ruang kerja tidak mendukung identitas terkelola, termasuk fitur terkait seperti menyimpan rahasia di Azure Key Vault dan menggunakan authentication-managed-identity kebijakan

Peran RBAC untuk ruang kerja

Azure RBAC digunakan untuk mengonfigurasi izin kolaborator ruang kerja untuk membaca dan mengedit entitas di ruang kerja. Untuk daftar peran, lihat Cara menggunakan kontrol akses berbasis peran di API Management.

Untuk mengelola API dan sumber daya lain di ruang kerja, anggota ruang kerja harus diberi peran (atau izin yang setara menggunakan peran kustom) yang dilingkupkan ke layanan API Management, ruang kerja, dan gateway ruang kerja. Peran cakupan layanan memungkinkan referensi sumber daya tingkat layanan tertentu dari sumber daya tingkat ruang kerja. Misalnya, atur pengguna ke dalam grup tingkat ruang kerja untuk mengontrol API dan visibilitas produk.

Catatan

Untuk manajemen yang lebih mudah, siapkan grup Microsoft Entra untuk menetapkan izin ruang kerja ke beberapa pengguna.

Ruang kerja dan fitur API Management lainnya

Ruang kerja dirancang untuk mandiri untuk memaksimalkan pemisahan akses administratif dan runtime API. Ada beberapa pengecualian untuk memastikan produktivitas yang lebih tinggi dan memungkinkan tata kelola, pengamatan, penggunaan kembali, dan penemuan API di seluruh platform.

  • Referensi sumber daya - Sumber daya di ruang kerja dapat mereferensikan sumber daya lain di ruang kerja dan sumber daya yang dipilih dari tingkat layanan, seperti pengguna, server otorisasi, atau grup pengguna bawaan. Mereka tidak dapat mereferensikan sumber daya dari ruang kerja lain.

    Untuk alasan keamanan, tidak dimungkinkan untuk mereferensikan sumber daya tingkat layanan dari kebijakan tingkat ruang kerja (misalnya, nilai bernama) atau berdasarkan nama sumber daya, seperti backend-id dalam kebijakan layanan set-backend.

    Penting

    Semua sumber daya dalam layanan API Management (misalnya, API, produk, tag, atau langganan) harus memiliki nama unik, bahkan jika berada di ruang kerja yang berbeda. Tidak boleh ada sumber daya dengan jenis yang sama dan dengan nama sumber daya Azure yang sama di ruang kerja yang sama, di ruang kerja lain, atau di tingkat layanan.

  • Portal pengembang - Ruang kerja adalah konsep administratif dan tidak muncul seperti itu ke konsumen portal pengembang, termasuk melalui UI portal pengembang dan API yang mendasar. API dan produk dalam ruang kerja dapat diterbitkan ke portal pengembang, sama seperti API dan produk di tingkat layanan.

    Catatan

    API Management mendukung penetapan server otorisasi yang ditentukan pada tingkat layanan ke API dalam ruang kerja.

Bermigrasi dari ruang kerja pratinjau

Jika Anda membuat ruang kerja pratinjau di Azure API Management dan ingin terus menggunakannya, migrasikan ruang kerja Anda ke versi yang tersedia secara umum dengan mengaitkan gateway ruang kerja dengan setiap ruang kerja.

Untuk detail dan untuk mempelajari tentang perubahan lain yang dapat memengaruhi ruang kerja pratinjau Anda, lihat Perubahan pemutusan ruang kerja (Maret 2025).

Menghapus ruang kerja

Menghapus ruang kerja akan menghapus semua sumber daya anaknya (API, produk, dan sebagainya) dan gateway terkait, jika Anda menghapus ruang kerja menggunakan antarmuka portal Azure. Ini tidak menghapus instans API Management atau ruang kerja lainnya.

Konten terkait