Мы проанализировали, как сложился 2023 г., и определили несколько ключевых тенденций, которые, вероятно, будут доминировать в сфере управления прикладными программными интерфейсами (API) в следующем году, пишет на портале The New Stack Кенн Хасси, вице-президент Ambassador Labs по инженерным вопросам.
Согласно прогнозам, к концу этого десятилетия рынок API-менеджмента вырастет в шесть раз, что будет обусловлено одной идеей: API будут полностью контролировать цифровой мир.
По мере того как все больше компаний переходят на архитектуру «API-first», потребность в управлении API становится критически важной. Организация может управлять сотнями или тысячами микросервисов в рамках своих развертываний, и ей нужны инструменты для эффективной организации и мониторинга этих API.
Итак, в то время как этот рост набирает обороты, что ждет API-менеджмент в ближайшем будущем?
Пришло время Zero Trust (это не плохо!)
С распространением API растет и риск нарушений безопасности, появления хакеров и проблем с API. Реализация концепции безопасности с нулевым доверием (zero trust) в рамках API-стратегии поддерживает модель безопасности, в которой никогда не предполагается доверие, независимо от того, происходит ли взаимодействие внутри или за пределами сетевого периметра.
Такой подход требует тщательной проверки идентичности каждого человека и устройства, пытающегося получить доступ к ресурсам в сети, что фактически исключает традиционное понятие доверенной внутренней сети. В эпоху, когда утечки данных и злоумышленники становятся все более изощренными, внедрение системы нулевого доверия необходимо для обеспечения комплексной безопасности всех технологических аспектов, включая API, облачные сервисы и сетевую инфраструктуру.
API-шлюзы играют решающую роль в реализации архитектуры нулевого доверия в сфере управления API. Выступая в качестве первой линии обороны, эти шлюзы применяют строгие политики аутентификации и авторизации для каждого API-запроса. Они отвечают за проверку учетных данных, управление маркерами доступа и обеспечение того, чтобы каждый запрос, как внутри организации, так и извне, подвергался одинаково строгим проверкам безопасности.
В этой системе API-шлюзы становятся не просто менеджерами трафика, а неотъемлемой частью системы безопасности, внедряя принципы нулевого доверия в основу взаимодействия с API. Они помогают выстраивать динамические политики безопасности, которые адаптируются к непрерывной оценке рисков, контекстно-зависимому контролю доступа и углубленному мониторингу моделей использования API.
В рамках модели нулевого доверия API-шлюзы превращаются в механизмы обеспечения безопасности, играющие центральную роль в поддержании целостности и конфиденциальности данных, проходящих через API. Эта эволюция подчеркивает важность передовых инструментов управления API для поддержания принципов нулевого доверия и обеспечения безопасной и устойчивой инфраструктуры.
Архитектура «мультиопыта» станет нормой
В 2024 г., когда концепция «multiexperience architecture», предложенная Gartner, станет более распространенной, сложность управления API возрастет. Организации уже не просто имеют дело с одним типом API; они жонглируют множеством протоколов и архитектур в рамках одной экосистемы приложений. Такая ситуация возникает из-за многообразия современных приложений, которые включают в себя не только веб-порталы и нативные мобильные приложения, но и такие расширения, как приложения для часов, разговорные интерфейсы реального времени и интеграции искусственного интеллекта.
Каждый из этих компонентов требует особого подхода к API. REST API часто предпочитают за их простоту и универсальность для внешних коммуникаций, в то время как gRPC может быть выбран для внутренних коммуникаций сервисов из-за его эффективности и скорости. В то же время GraphQL находит все большее применение благодаря своей способности создавать объединенные графы и подграфы, обеспечивающие гибкий и эффективный поиск данных, что очень важно для сложных приложений, ориентированных на клиента. Кроме того, брокеры сообщений играют важнейшую роль в обеспечении связи в реальном времени для приложений, требующих немедленного обновления данных и взаимодействия.
Задача API-менеджмента в этой среде многогранна. Она включает в себя управление различными типами API и обеспечение бесшовной интеграции, последовательного обеспечения безопасности и эффективного мониторинга производительности в этих разнообразных архитектурах. Решением проблемы являются передовые инструменты управления API и шлюзы, способные справиться с этим разнообразием. Эти инструменты должны предлагать такие сложные функции, как трансляция протоколов, единые политики безопасности и аналитика, способные адаптироваться к уникальным требованиям каждого типа API.
Управление API в 2024 г. будет заключаться в принятии и управлении этой сложностью, обеспечивая целостную и эффективную структуру, которая поддерживает разнообразные потребности архитектур мультиопыта.
Управление API превращается в управление организацией
По словам бывшего инженера Amazon и Google Стива Йегге, в 2002 г. Джефф Безос ввел в Amazon Web Services (AWS) следующие основополагающие правила:
1. Все команды отныне будут предоставлять свои данные и функциональность через сервисные интерфейсы.
2. Команды должны общаться друг с другом через эти интерфейсы.
3. Никакие другие формы межпроцессного взаимодействия не допускаются: ни прямое связывание, ни прямое чтение хранилища данных другой команды, ни модель общей памяти, ни какие-либо бэкдоры. Единственное, что разрешено — это взаимодействие через вызовы сервисных интерфейсов по сети.
4. Неважно, какую технологию они используют. HTTP, Corba, Pubsub, собственные протоколы — неважно. Безосу все равно.
5. Все без исключения интерфейсы сервисов должны быть разработаны с нуля, чтобы быть внешними. То есть команда должна планировать и проектировать так, чтобы иметь возможность открыть интерфейс для разработчиков во внешнем мире. Никаких исключений.
6. Любой, кто этого не сделает, будет уволен.
Тогда Безос закладывал фундамент сервисно-ориентированной архитектуры Amazon. Двадцать два года спустя этот фреймворк стал повсеместным в технологической сфере. Это означает, что управление API действительно определяет то, как команды общаются и работают в организации.
API стали жизненной силой организационных процессов, олицетворяя переход от разрозненных функций к интегрированным системам. Этот переход превратил API-менеджмент из технической задачи в ключевой аспект руководства организацией. Это влечет за собой ряд специфических изменений:
— Стратегическое согласование. Управление API тесно связано с бизнес-стратегиями. Это предполагает понимание того, как API могут способствовать достижению бизнес-целей, таких как выход на новые рынки, повышение уровня клиентского опыта или оптимизация операций. Стратегическое согласование требует, чтобы инициативы в области API были синхронизированы с направлением развития и целями организации.
— Межфункциональное сотрудничество. API больше не являются прерогативой исключительно ИТ-отделов. Они требуют сотрудничества между различными функциональными областями, включая маркетинг, продажи, обслуживание клиентов и развитие бизнеса. Такое сотрудничество гарантирует, что API будут разрабатываться и управляться таким образом, чтобы поддерживать различные потребности и возможности организации.
— Мышление «API как продукт». API все чаще рассматриваются как продукты, и специальные команды отвечают за их жизненный цикл — от концепции до вывода из эксплуатации. Такой подход предполагает регулярные обновления, интеграцию обратной связи с пользователями и постоянное совершенствование, как и для любого другого продукта или услуги, предлагаемой компанией.
— Показатели эффективности и аналитика. Успех API измеряется не только техническими характеристиками, но и их влиянием на бизнес-результаты. Такие показатели, как тенденции использования API, вовлеченность пользователей и вклад в рост доходов, становятся важнейшими индикаторами эффективности API.
Таким образом, управление API — это уже не просто технические спецификации или протоколы, а управление способами обмена информацией и предоставления услуг в рамках всей организации. Такой подход способствует гибкости, масштабируемости и инновациям, что крайне важно в современном быстро развивающемся технологическом ландшафте.
GitOps для API
Интеграция GitOps в управление API знаменует собой значительный сдвиг в способах разработки, развертывания и поддержки API. GitOps, методология, применяющая принципы контроля версий git к рабочим процессам, становится необходимой для управления жизненным циклом API более эффективным, прозрачным и надежным способом.
В этой системе все аспекты API — от проектной документации и конфигураций до кода и манифестов развертывания — хранятся в git-репозиториях. Такой подход обеспечивает версионный контроль всего жизненного цикла API, что позволяет детально отслеживать изменения, легко откатываться назад в случае возникновения проблем и улучшать взаимодействие между членами команды.
Автоматизация процессов развертывания — важнейшее преимущество использования GitOps для управления API. Используя git в качестве единого источника истины, можно настроить автоматизированные конвейеры для развертывания API при каждой фиксации изменений. Эта автоматизация выходит за рамки простого развертывания и включает в себя обновление конфигураций и политик, обеспечивая последовательное и надежное обновление всех аспектов API. Команды могут создавать децентрализованные, декларативные рабочие процессы, которые напрямую интегрируются с рабочими процессами GitOps для создания сложных пользовательских конфигураций.
GitOps также обеспечивает повышенный уровень безопасности при управлении API. Pull-запросы на изменения поощряют коллегиальные проверки и утверждения, создавая более надежный процесс внедрения модификаций. Кроме того, неизменяемая природа git-репозиториев добавляет дополнительный уровень безопасности, поскольку каждое изменение отслеживается и подвергается аудиту.
GitOps должна произвести революцию в управлении API в
Ставка на опыт разработчиков
В 2024 г. предоставление исключительного опыта для разработчиков (DevX) перестанет быть роскошью, а станет необходимостью. Системы управления API, не уделяющие DevX должного внимания, все больше рискуют устареть, поскольку модели, ориентированные на разработчиков, становятся стандартом.
Краеугольным камнем этого сдвига является признание того, что разработчикам нужны инструменты и системы, которые соответствуют их рабочим процессам и повышают производительность. Ключевым аспектом этого является внедрение практики «инфраструктура как код» (Infrastructure as Code, IaC). IaC позволяет разработчикам управлять и предоставлять инфраструктуру с помощью кода, а не ручных процессов.
Еще одним важным фактором является способность системы управления API поддерживать широкий спектр сред развертывания. В условиях растущего разнообразия моделей развертывания — от локальных до нативных облачных — очень важно иметь гибкое решение для управления API, способное адаптироваться к различным средам.
Системы управления API должны развиваться, чтобы соответствовать требованиям современной практики разработки ПО. Системам, не обеспечивающим ориентированный на разработчика IaC-опыт, интеграцию со стандартными инструментами, простоту использования, гибкую и надежную аналитикой, будет трудно сохранять свою актуальность в условиях, когда опыт разработчиков имеет первостепенное значение.
Пакетирование после разукрупнения
В процессе эволюции инструментов управления API наблюдается возврат к пакетным решениям, что является отходом от недавней тенденции точечных решений. В отличие от старых комплектов, ориентированных на крупные предприятия, эти комплекты нового поколения ориентированы на более широкий круг организаций и предлагают комплексные интегрированные решения.
Этот сдвиг обуславливают растущая сложность и масштабы экосистем API. Современный API-менеджмент требует целостного подхода, включающего надежные механизмы аутентификации, строгие протоколы безопасности и инструменты самообслуживания разработчиков. Благодаря объединению этих функций в единый, целостный пакет, комплексные решения предлагают более рациональный и эффективный способ управления API.
Включение в такие пакеты шлюзов очень важно для управления трафиком, поскольку они предлагают такие функции, как ограничение скорости, маршрутизация запросов и трансляция протоколов. Аутентификация — еще один важный компонент, обеспечивающий безопасный доступ к API с помощью таких механизмов, как OAuth и JSON Web Tokens (JWTs). Функции безопасности в этих пакетах выходят за рамки аутентификации, обеспечивая комплексную защиту от таких угроз, как SQL-инъекции, DDoS-атаки и утечка данных.
Существенным дополнением к этим пакетам являются инструменты для разработки в режиме самообслуживания. Они позволяют разработчикам самостоятельно создавать, тестировать и развертывать API, снижая зависимость от ИТ-команд и ускоряя разработку. Эти инструменты должны включать в себя удобные интерфейсы, подробную документацию и возможности автоматизированного тестирования.
Возрождение комплексных решений для управления API представляет собой адаптацию к потребностям современных API-ландшафтов. Предлагая шлюзы, средства аутентификации, безопасности и инструменты для разработчиков в едином пакете, они обеспечивают универсальное и эффективное решение, подходящее для различных организационных потребностей.
Непредсказуемый ИИ
ИИ меняет правила в десятках отраслей и делает это непредсказуемым образом.
«Непредсказуемость» — это хороший способ описать, как технологии ИИ/МО изменят экосистему управления API. Конференция «KubeCon North America 2023» прошла в тот же день, что и «OpenAI Dev Day», но эти два мероприятия показались совершенно разными. ИИ был лишь слегка упомянут на KubeCon, что создает впечатление, что индустрия DevOps и API-менеджмента не так много (пока!) может сказать об ИИ.
Но не упомянуть ИИ в этом контексте было бы серьезной недооценкой масштабов и скорости его развития. В это время в прошлом году ChatGPT было две недели от роду. Тогда никто и не подозревал, что он произведет революцию во всех сферах технологий.
Слияние ИИ/MО со стратегиями API неизбежно и потенциально может произвести революцию в разработке, управлении и оптимизации API:
— Аналитика на основе ИИ может обеспечить более глубокое понимание моделей использования API, позволяя более эффективно управлять и оптимизировать ресурсы.
— ИИ может автоматизировать и усовершенствовать протоколы безопасности, обнаруживая аномалии и потенциальные угрозы более эффективно, чем традиционные методы.
— ИИ может значительно упростить процесс разработки API. Благодаря использованию алгоритмов машинного обучения API могут стать более адаптивными и интеллектуальными, способными обрабатывать сложные запросы с большей точностью и эффективностью. Такая интеграция может привести к созданию самооптимизирующихся API, которые будут корректировать свое поведение на основе обратной связи в режиме реального времени.
Сочетание ИИ и API-менеджмента — это грядущая реальность. По мере того как ИИ будет проникать в различные отрасли, его интеграция в экосистемы API обеспечит беспрецедентный уровень эффективности, безопасности и адаптивности, предвещая новую эру в управлении и использовании API.
Неизвестные неизвестные
Что еще ждет нас на горизонте? Учитывая огромные темпы технологического прогресса и то, как API уже съели мир, предсказывать будущее API-менеджмента — все равно что пытаться нанести на карту неизведанную территорию.
Ландшафт быстро развивается под влиянием новых технологий и меняющихся парадигм, поэтому сложно предугадать весь масштаб грядущих изменений. Так же как API изменили цифровую инфраструктуру, будущие инновации и методологии еще больше пересмотрят наше сегодняшнее представление об управлении API.
