我们审视了2023年的发展,并确定了几个可能主导明年API管理领域的关键趋势。
译自 What Will Be the API Management Trends for 2024?,作者 Kenn Hussey 是 Ambassador Labs 的副总裁。他是一位经验丰富的工程领导者,热衷于与业务和技术团队合作,推动产品交付的可见性、对齐性、责任性和执行力,致力于 DevOps 领域。
API 管理市场预计在本十年结束时将增长六倍,其推动力源于一个核心理念:API 完全掌控着数字世界。
随着越来越多的公司转向 API 优先架构,对 API 管理的需求变得至关重要。一个组织可能在其部署中管理着数百甚至数千个微服务,因此他们需要工具来有效地编排和监控这些 API。
因此,随着这种增长的起飞,API 管理的即时未来将会带来什么?我们已经审视了 2023 年的发展,并确定了在 2024 年可能主导 API 管理领域的几个关键趋势。
随着 API 的不断蔓延,安全漏洞、黑客攻击以及与 API 有关的问题也在增加。在 API 策略中实施零信任安全概念倡导一种安全模型,其中不论交互是在网络边界内还是外部,都不会假设信任。
这种方法要求对试图访问网络内资源的每个个体和设备进行严格的身份验证,有效地消除了传统的对内部网络的信任的观念。在数据泄露和恶意行为越来越复杂的时代,采用零信任框架对于在技术的各个方面,包括 API、云服务和网络基础设施的全面安全至关重要。
API 网关在 API 管理领域内实施零信任架构中发挥着至关重要的作用。作为第一道防线,这些网关强制执行对每个 API 请求的严格身份验证和授权策略。它们负责验证凭据、管理访问令牌,并确保每个请求,无论是来自组织内部还是外部,都要经过同样严格的安全检查。
在这个框架内,API 网关不仅仅是流量管理器;它们是安全架构的重要组成部分,将零信任原则嵌入到 API 交互的核心。它们帮助构建动态安全策略,适应持续的风险评估、上下文感知的访问控制以及对 API 使用模式的深度监控。
在零信任模型中,API 网关演变为安全执行者,对于维护通过 API 流动的数据的完整性和机密性至关重要。这种演变强调了先进的 API 管理工具在维护零信任原则、确保安全和具有弹性的基础设施方面的重要性。
在2024年,随着Gartner提出的“多体验架构(multiexperience architecture)”概念日益普及,API管理的复杂性将不断升级。组织不再仅仅处理单一类型的API;他们需要在同一应用生态系统中同时处理多种协议和架构。这种情况源于现代应用的多样性,不仅包括基于Web的门户和原生移动应用,还包括扩展,如手表应用、实时对话界面和人工智能集成。
每个组件都需要采用特定的API方法。由于其在外部通信中的简单性和通用性,通常会选择REST API;而由于其高效性和速度,可能会选择gRPC用于内部服务通信。与此同时,GraphQL由于其能够创建联合图和子图,提供高度灵活和高效的数据检索,在复杂的面向客户的应用程序中变得越来越受欢迎。此外,对于需要即时数据更新和交互的应用程序,消息代理在促进实时通信方面至关重要。
在这个环境中,API管理面临着多方面的挑战。它涉及编排不同类型的API,并确保在这些各异的架构中实现无缝集成、一致的安全执行和有效的性能监控。解决方案在于先进的API管理工具和网关,它们能够处理这种多样性。这些工具必须提供复杂的功能,如协议转换、统一的安全策略和能够适应每种API类型的独特要求的分析功能。
2024年的API管理将致力于拥抱和管理这种复杂性,提供一个有凝聚力且高效的框架,以支持多体验架构的各种需求。
关于亚马逊云服务(AWS)的前工程师Steve Yegge有一个著名的故事,讲述了杰夫·贝索斯在2002年在AWS中实施的一个核心任务:
- 所有团队从此以后都将通过服务接口展示其数据和功能。
- 团队必须通过这些接口相互通信。
- 将不允许任何其他形式的进程间通信:不允许直接链接,不允许直接读取另一个团队的数据存储,不允许共享内存模型,也不允许任何后门。唯一允许的通信是通过网络上的服务接口调用。
- 使用的技术不重要。HTTP、Corba、Pubsub、自定义协议——都无关紧要。贝索斯不关心。
- 所有的服务接口,没有例外,都必须从一开始就设计成可外部化。也就是说,团队必须计划和设计能够向外部开发人员公开接口。没有例外。
- 任何不这样做的人将被解雇。
贝索斯正在为亚马逊的面向服务的架构奠定基础。二十二年后,这个框架在科技行业中无处不在。这意味着API管理实际上是团队在组织内部进行沟通和操作的方式。
API已经成为组织流程的命脉,体现了从孤立功能到集成系统的转变。这种变革将API管理从一个技术任务转变为组织领导的核心方面。这带来了一些具体的变化:
- 战略对齐。API管理与业务战略密切对齐。它涉及了解API如何能够支持业务目标,例如进入新市场、提升客户体验或优化运营。这种战略对齐要求API倡议与组织的方向和目标同步。
- 跨职能协作。API不再仅仅是IT部门的责任。它们需要跨足多个职能领域的协作,包括市场营销、销售、客户服务和业务发展。这种协作确保API以支持多样化组织需求和机会的方式开发和管理。
- 将API视为产品的思维。API越来越被视为产品,专门的团队负责从概念到淘汰的整个生命周期。这种方法包括定期更新、用户反馈整合和持续改进,类似公司提供的任何其他产品或服务。
- 性能指标和分析。API的成功不仅通过技术性能来衡量,还通过其对业务结果的影响。API使用趋势、用户参与度和对营收增长的贡献等指标成为API有效性的重要标志。
因此,API的管理不再仅限于技术规范或协议,而是涉及到对整个组织中信息共享和服务交付方式的管理。这种方法促进了敏捷性、可扩展性和创新性,在当今快速演变的技术景观中变得至关重要。
将 GitOps 集成到 API 管理中标志着 API 的开发、部署和维护方式发生了重大变化。GitOps 是一种将 Git 版本控制原则应用于运营工作流的方法,对于以更高效、透明和可靠的方式管理 API 的生命周期变得至关重要。
在这个框架中,API 的每个方面 — 从设计文档和配置到代码和部署清单 — 都存储在 Git 仓库中。这种方法确保整个 API 生命周期都经过版本控制,允许对变更进行详细跟踪,在出现问题时轻松回滚,并增强团队成员之间的协作。
自动化部署流程是使用 GitOps 进行 API 管理的关键优势。通过利用 Git 作为唯一的真相源,可以建立自动化流水线,以在提交变更时部署 API。这种自动化不仅仅限于简单的部署,还包括对配置和策略的更新,确保 API 的所有方面都得到一致可靠的更新。团队可以创建分散化、声明式的工作流,与 GitOps 工作流集成以进行复杂的自定义配置。
GitOps 还为 API 管理带来了更高层次的安全性。对于变更的拉取请求鼓励同行审查和批准,创造了一个更为健壮的引入修改的流程。此外,git 仓库的不可变性增加了额外的安全层,因为每个更改都被跟踪和可审计。
GitOps 在 2024 年及以后有望通过引入版本控制、自动化、安全和协作原则,从而彻底改变 API 管理。其采用确保 API 的开发和管理更加与现代敏捷实践相符,提高了效率和可靠性。
在 2024 年,提供卓越的开发者体验(DevX)将不再是奢侈品;它将是一种必要。没有将 DevX 置于优先位置的 API 管理系统越来越面临被淘汰的风险,因为以开发者为中心的模式变得普遍。
这一转变的基石在于认识到开发者需要与其工作流程相一致并提高生产力的工具和系统。这其中的关键因素之一是采用基础架构即代码(IaC)的实践。IaC 允许开发者通过代码而不是手动流程来管理和配置基础架构。
另一个关键因素是 API 管理系统能够支持各种部署环境。随着部署模型的日益多样化,从本地到云原生,一个灵活的 API 管理解决方案能够适应不同的环境变得至关重要。
API 管理系统必须不断演进,以满足现代软件开发实践的需求。那些未能提供以开发者为中心的体验的系统,即基于基础架构即代码(IaC)、与标准工具集成、易用性、灵活性和强大分析的系统,在开发者体验至上的环境中将难以保持相关性。
API 管理工具的演进正在目睹一种回归到绑定解决方案,而不是最近解决方案拆分的趋势。与老一代企业专注的绑定方案不同,这些新一代绑定方案面向更广泛的组织,提供了综合、集成的解决方案。
API 生态系统的日益复杂和庞大推动了这一转变。现代 API 管理需要一种整体方法,包括强大的身份验证机制、严格的安全协议和自助式开发者工具。通过将这些功能整合到一个统一的包中,绑定解决方案提供了一种更加简化和高效的管理 API 的方式。
在这些绑定方案中包含网关对于流量管理至关重要,提供诸如速率限制、请求路由和协议转换等功能。身份验证是另一个关键组件,通过 OAuth 和 JSON Web Tokens(JWTs)等机制确保对 API 的安全访问。这些绑定方案中的安全功能不仅限于身份验证,还提供了全面的保护,抵御 SQL 注入、DDoS 攻击和数据泄露等威胁。
自助式开发者工具是这些绑定方案的重要组成部分。它们赋予开发者独立创建、测试和部署 API 的能力,减少对 IT 团队的依赖,加速开发。这些工具必须包括用户友好的界面、详细的文档和自动化测试功能。
API 管理中绑定解决方案的重新出现代表着对现代 API 景观需求的一种适应。通过在统一的包中提供网关、身份验证、安全和开发者工具,这些绑定方案为各种组织需求提供了灵活而高效的解决方案。
人工智能正在颠覆数十个行业的规则,并以无法预测的方式重塑它们。
“无法预测”是描述 AI/ML 技术将如何扰乱 API 管理生态系统的一种好方式。KubeCon North America 2023 与 OpenAI Dev Day 同日举行,但两者似乎相去甚远。在 KubeCon 上只轻描淡写地提到了人工智能,使得看起来 DevOps 和 API 管理行业在人工智能方面没有太多(尚未!)发言。
但将人工智能从这个列表中剔除将严重低估人工智能发展的范围和速度。去年这个时候,ChatGPT 刚刚两周大。当时没人知道它将如何彻底改变科技的各个方面。
因此,AI/ML 与 API 策略的融合是不可避免的,并有可能彻底改变 API 的开发、管理和优化方式。
- 人工智能驱动的分析可以更深入地了解 API 使用模式,实现对资源的更有效管理和优化。
- 人工智能可以自动化并增强安全协议,比传统方法更高效地检测异常和潜在威胁。
- 人工智能可以显著简化 API 开发过程。通过使用机器学习算法,API 可以变得更具适应性和智能,能够更准确、高效地处理复杂请求。这种整合可能导致自优化的 API,根据实时反馈调整其行为。
人工智能与 API 管理的交叉是即将到来的现实。随着人工智能在各个领域的渗透,其融入 API 生态系统将提供前所未有的效率、安全性和适应性水平,预示着 API 管理和使用方式的新时代。
未来还有什么?在技术进步的极快速度和 API 已经主宰世界的背景下,预测 API 管理的未来就像试图绘制未知领域的地图。
这个领域正在迅速演变,受新兴技术和范式转变的推动,这使得很难预见前方变化的全部范围。正如 API 已经改变了数字基础设施一样,未来的创新和方法将进一步重新定义我们今天对 API 管理的理解。
请告诉我们您认为 2024 年 API 管理将带来什么,以及您认为我们明年将使用哪些令人兴奋的技术。