API Gatewayクラスタリングのセキュリティに関する考慮事項RESTfulなAPIに対してHTTPSでAPIゲートウェイを経由しての単一のエントリポイントに対して通信

Question

1. クライアント
2. APIゲートウェイ：APIプラットフォーム認証のための追跡および分析のためのAPIキー、OAuthの
3. ユーザーマイクロサービスは、ユーザーの認証と認可を提供し、署名されて暗号化されたJWTを生成します（JWS、JWE）
4. その他のマイクロサービスは、JWT内のクレームに基づいてアクセス許可を決定します。
5. マイクロサービスcesはメッセージやその他の情報の中でJWTを使ってPUB/SUB経由で内部的に通信します。各マイクロサービスは、複数のインスタンス（ロードバランサを持つクラスタ）でスケールアウトすることができます。

質問：私はAPIゲートウェイをクラスタ化し、その前にロードバランサを持つことができます。認証の管理に関して考慮する必要があるのは何ですか？つまり、APIゲートウェイクラスタ全体でのAPIキーの共有ですか？

エクストラノートは、私は、ゲートウェイとDBにおけるパスワードのbcryptのを使用することで、SSLを終了することを計画しています。

すべてのフィードバックは素晴らしいことだ、ありがとうございました。

Answer 1

APIゲートウェイをクラスタ化し、その前にロードバランサを配置することはできますか。

はい、可能です。優れたApiゲートウェイソリューションのほとんどは、クラスタリングを実行する機能を提供します。例えばhttps://getkong.org/docs/0.9.x/clustering/を使用するか、クラウドベースのAPIを使用することができます。Azure API ManagementまたはAWS API Gateway

認証の管理に関して考慮する必要があるのは何ですか？

これらの詳細は、API Gatewayソリューションのあなたの選択に依存します。