API が一般に公開されている (Saas の場合)、あるいは 3scale AMP システムからアクセス可能である (オンプレミスの場合) なら、数分でプロトタイプの 3scale アクセス制御レイヤーを設定することができます。

ここでは、パブリック API の例として Echo API を使用します。これは、任意のパスを受け入れてレスポンスのボディーでリクエストに関する情報 (パス、リクエストパラメーター、ヘッダー等) を返すシンプルな API です。Echo API には https://echo-api.3scale.net の URL からアクセスすることができます。

前項の手順で、認証された呼び出しだけがご自分の API にアクセスできるようにしました。本セクションでは、ポリシーを適用して流量制御を変更します。

3scale では、アプリケーション により API にアクセスするためのクレデンシャルが定義されます。アプリケーションには必ず 1 つ アプリケーションプラン が関連付けられ、アクセスポリシーが定義されます。アプリケーションは、開発者アカウント 内に保管されます。3scale の Basic プランで許可されるアプリケーションは 1 つだけですが、より高度なプランではアカウントごとに複数のアプリケーションが許可されます。

以下の例では、前項で使用した Echo API にポリシーを追加します。

これで、基本プランのすべてのアプリケーションに対して、より制限の厳しいアクセスポリシーが正しく定義されました。

プロトタイプでは、何らかのドキュメントコンテンツを作成する必要はありません。通常は、ワークフローが要求に適合していることを確認するだけで十分です。たとえば、API が開発/テスト段階の間は、完全なセルフサービスワークフローを無効にすることができます。

これで、デベロッパーポータルのワークフローをカスタマイズできるようになりました。

実稼働環境向けの完全な実装のためには、API の設定および 3scale とのインテグレーション方法に関して、基本方針を決定する必要があります。

API トラフィックの認証モードには、いくつかの選択肢があります。利用可能なオプションに関するガイド を確認し、設定を行ってください。

API トラフィックマネージャーレイヤーのデプロイメントにも、いくつかのオプションがあります。設定の容易さとパフォーマンスのバランスから、3scale ユーザーの間では APIcast (NGINX ベースの API ゲートウェイ) が好まれています。Hosted APIcast を使用すればすぐに運用を開始することができますが、ボリュームの制約やレイテンシー増加の問題が生じます。一方、APIcast を専用のサーバーにデプロイすれば、最高のパフォーマンスが得られ、トラフィックボリュームの制約から完全に解放されます。

Hosted APIcast

Self-managed APIcast

デベロッパーポータルの 作成 および 使用 については、関連のドキュメントを参照してください。コンテンツを Textile または Markdown で記述することを検討してください。オプションとして考慮すべき項目を以下に示します。

高度な認証モード: OpenID Connect

OpenID Connect とのインテグレーション を通じた APIcast と Red Hat Single Sign-On (RH-SSO) の組み合わせにより、API を保護します。Red Hat 3scale API Management Platform のアプリケーションは、アイデンティティープロバイダー (IdP) (この場合は RH-SSO) と同期されます。現在、これはエンドツーエンドでサポートされるソリューションです。メインの OAuth 2.0 フロー (認可コード、リソースオーナーパスワード、クライアントクレデンシャル、およびインプリシット付与) に対応します。

コードプラグインのデプロイメント

3scale ユーザーのほとんどは、パフォーマンスに問題はないと感じています。ただし、API の処理を高速化したい場合には、好みのキャッシングライブラリーを使用して 3scale への承認コールをキャッシュすることができます。

前項の操作で、認証された呼び出しだけがご自分の API にアクセスできるようにしました。本セクションでは、ポリシーを適用して流量制御を変更します。

3scale では、アプリケーション により API にアクセスするためのクレデンシャルが定義されます。アプリケーションには必ず 1 つ アプリケーションプラン が関連付けられ、アクセスポリシーが定義されます。アプリケーションは、開発者アカウント 内に保管されます。3scale の Basic プランでは、1 つのアプリケーションしか許可されません。より高度なプランでは、アカウントごとに複数のアプリケーションが許可されます。

アラートを設定して、通知を電子メールで送付したり Web コンソールに表示したりすることができます。API Settings のページに移動します ([Your_API_name] > Integration > Settings)。ページの ALERTS セクションに移動します。ここで、必要なアラートを流量制御値のパーセンテージで設定することができます。

3scale では、流量制御をソフト制御 (上限を超えた呼び出しでも許容する) とするかハード制御 (アプリケーションにアクセスする前に呼び出しを拒否する) とするか、柔軟に設定することができます。コードプラグインでは、実装するタイプを意識的に決める必要があります。一方 APIcast の場合は、デフォルトではハード制御が定義されます。上限を超えた呼び出しが拒否されるのを防ぐために、Lua ファイルでこれらの制御をカスタマイズすることができます。

ベーシックパスの設定を完了している場合、以下の 2 つの項目についてデベロッパーポータルの高度な使用方法を検討することができます。

ここでは、メソッドおよびメトリクスを必要なだけ追加することができます。デフォルトでは、お使いのサービスのすべてのプランで使用することができます。

メソッドおよびメトリクスの追加方法に関する詳細は、3scale での API の定義 に関するドキュメントを参照してください。

ここでのシンプルなテストでは、hits にメソッドを 2 つだけ追加し、システム名を以下のように設定します。

メトリクス/メソッドを作成するのに加えて、それぞれのプランで API の使用メトリクスに制御を追加することもできます。この API の例に、新たなアプリケーションプランを作成します。[your_API_name] > Overview > Create Application Plan の順に移動してください。

表示されるフォームで、希望の名前 (例: HelloEchoTest) およびシステム名を指定します。続いて Create Application Plan ボタンをクリックします。

上記の手順を実施すると、アプリケーションプランのリストが表示されるはずです。プラン HelloEchoTest をクリックし、メトリクスおよびメソッドの制御を作成します。前項の手順で定義したすべてのメトリクスおよびメソッドが表示されているはずです。いずれかのメトリクスまたはメソッドの Limits アイコンをクリックします。Hits メトリクスに制御を追加すると、Hits の全メソッドにルールが適用されます。メソッドに制御を追加した場合には、ルールはそのメソッドにしか適用されません。別途、さまざまな制御を設定した異なるプランを作成することができます。

制御により、このプランのアプリケーションが呼び出すことのできる 1 分/時間/日あたりの API コール数が制限されます。

Audience > Accounts > Listing の順に移動し、Create ボタンをクリックします。

API にアクセスする新しい開発者の情報を入力します。

Create をクリックしたら、リストから新しいアカウントを選択してホームページに移動します。

Accounts エリアには、API の使用をサインアップしたすべての企業および開発者のリストが表示されます。新しい企業は、管理ポータルから、API から、またはデベロッパーポータルのセルフサービスサインアップにより追加することができます。

新たな開発者アカウントを作成すると、そのアカウントに新しいアプリケーションも作成されます。

それぞれのアプリケーションは、API にアクセスするための固有のキーを持ちます。そのキーを知るには、アプリケーション名をクリックして API Credentials セクションを確認します。

これらが、Echo API を呼び出すために Curious Echo アプリが使用するキーです。最後のステップとして、アプリケーションの詳細ページの右側の Change Plan のドロップダウンを使用し (上記のスクリーンショットを参照)、前のステップで作成して名前を設定したプラン (この例では Echo Test) を選択して変更を確認します。これにより、新しいプランがこのアプリケーションに適用されます。

これで、最初のアプリケーションの管理システムの設定が完了しました。