最新のAPI Gatewayアーキテクチャ

API Gateway は単なるプロキシではありません。分散システム全体の重要な「正面玄関」です。

最新の Gateway の役割

エンタープライズ環境では、gateway は個々のマイクロサービスが気にする必要のない、共通の関心事を処理する必要があります。

1. Authentication & Authorization: エッジでの JWT/OIDC トークンの検証。
2. Rate Limiting & Throttling: ダウンストリームサービスを「騒がしい隣人」や DDoS 攻撃から保護。
3. Request Transformation: プロトコルの変換 (例: gRPC-Web から内部 gRPC)。
4. Telemetry: 一元化されたロギング、メトリクス、分散トレーシングの挿入。

実装パターン

セキュリティのベストプラクティス: Token Exchange

大きな OAuth2 アクセストークンを内部サービスに渡す代わりに、gateway は Token Exchange を実行します。

1. Gateway は外部 JWT を受信します。
2. Gateway は IAM サービスでそれを検証します。
3. Gateway は、特定のクレームを持つ軽量な Internal Identity Token を作成します。
4. 内部サービスは、認証のためにこの ID トークンを信頼します。

パフォーマンスの最適化

カスタム Lua/Go フィルターを備えた Envoy Proxy または Nginx を使用すると、ミリ秒以下のオーバーヘッドを実現できます。IDS Indonesia では、同様のパターンを活用して、ユーザーエクスペリエンスを犠牲にすることなく、財務データの安全性を確保しています。