APIOps 是一種方法,可將 GitOps 和 DevOps 的概念套用至 API 部署。 如同 DevOps,APIOps 可協助小組成員輕鬆地進行變更,並以反覆且自動化的方式加以部署。 此架構示範如何使用 APIOps 改善整個 API 生命週期和 API 品質。
架構
下載此架構的 Visio 檔案。
工作流程
API 操作員會執行擷取器管線,以同步處理 Git 存放庫與 API 管理 實例,並以所需的格式填入 git 存放庫 API 管理 物件。
如果在 API 管理 實例中偵測到 API 變更,則會建立提取要求 (PR),讓操作員檢閱。 操作員會將變更合併至 Git 存放庫。
API 開發人員會複製 Git 存放庫、建立分支,以及使用其選擇的 OpenAPI 規格或工具來建立 API 定義。
如果開發人員將變更推送至存放庫,則會建立PR以供檢閱。
根據所需的控制層級而定,PR 可以自動核准或檢閱。
在核准和合併變更之後,發佈管線會將最新的變更部署到 API 管理 實例。
API 操作員會建立和修改 API 管理 原則、診斷、產品和其他相關物件,然後認可變更。
變更會經過檢閱,並在核准後合併。
合併變更之後,發佈管線會使用 API 定義程式來部署變更。
元件
Azure API 管理為後端服務建立一致的新式 API 閘道。 除了將 API 呼叫路由傳送至後端之外,此平臺也會驗證認證、強制執行使用量配額,以及記錄元數據。
Azure DevOps 是一項服務,可讓您端對端管理開發生命週期,包括規劃和專案管理、程式代碼管理,以及繼續建置和發行。
Azure Pipelines 提供持續整合 (CI) 與持續傳遞 (CD),可測試及建置程式碼,並將其傳送至任何目標。
Azure Repos 是一組版本控制工具,包括標準 Git,可用來管理程序代碼。
替代項目
此解決方案會使用 Azure Repos 提供 Git 功能,而 Azure Pipelines 提供管線。 您可以使用任何可比較的技術。
案例詳細資料
APIOps 使用版本控制來管理 API,並建立 API、原則和作業變更的稽核線索。
使用 APIOps 方法的 API 開發人員會較早且更頻繁地檢閱和稽核 API,以更快捕捉和解決 API 標準的偏差,以改善規格和 API 品質。 您使用 APIOps 方法建置和部署的 API 越多,API 之間的一致性就越大。
此 APIOps 架構會使用 Azure API 管理 作為 API 管理平臺。 Azure DevOps 會組織 API 管理。 Azure Repos 提供 Git 功能,而 Azure Pipelines 會建立 CI/CD 管線。
潛在使用案例
- 任何開發和管理 API 的組織
- 高管制行業:保險、銀行、金融、政府
考量
這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構。
安全性
安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀。
此解決方案提供數個安全性相關優點。 個別開發人員,甚至是操作員,不會直接存取 API 管理 實例以套用變更或更新。 相反地,用戶會將變更推送至 Git 存放庫,以及擷取器和發佈管線的讀取,並將其套用至 API 管理 實例。 此方法遵循最低許可權的安全性最佳做法,方法是不授與小組 API 管理 服務實例的寫入許可權。 在診斷或疑難解答案例中,您可以依案例來授與提高的許可權一段時間。
若要確定 API 管理 實例使用安全性的最佳做法,您可以擴充此解決方案,使用第三方工具和單元測試來強制執行 API 最佳做法。 如果 API 或原則的建議變更違反標準,Teams 可以透過PR檢閱提供早期意見反應。
除了設定存放庫許可權的工作之外,請考慮在 Git 存放庫中實作下列安全性措施,以同步處理至 API 管理 實例:
- 提取要求 (PR) 檢閱:使用分支,並保護代表 API 管理 實例狀態的分支,使其無法直接推送變更。 要求PR至少有一個檢閱者強制執行四眼原則。
- 不可變的歷程記錄:只允許在現有變更之上的新認可。 不可變的歷程記錄對於稽核目的特別重要。
- 多重要素驗證:要求使用者啟用雙因素驗證。
- 已簽署的認可:只允許在事實之後無法改變的已簽署認可。
成本最佳化
成本最佳化是關於減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本最佳化支柱的概觀。
使用 Azure 定價計算機來預估成本。
API 管理 提供下列層級:取用、開發人員、基本、標準和進階。
GitHub 提供免費服務。 不過,若要使用進階安全性相關功能,例如程式代碼擁有者或必要的檢閱者,您需要Team方案。 如需詳細資訊,請參閱 GitHub 定價。
卓越營運
卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊,請參閱卓越營運支柱的概觀 (部分機器翻譯)。
APIOps 可以提升 API 開發和部署的 DevOps 生產力。 其中一項最實用的功能是能夠使用 Git 作業來快速回復非預期行為的變更。 認可圖表包含所有認可,因此有助於進行事後分析。
API 操作員通常會針對同一組 API 管理多個環境。 在共用 API 管理 實例中,通常會有數個階段將 API 部署到不同的 API 管理 實例。 Git 存放庫是單一事實來源,會顯示目前部署至叢集的應用程式版本。
當有人在 Git 存放庫中建立 PR 時,API 操作員知道他們有要檢閱的新程式代碼。 例如,當開發人員採用OpenAPI規格並建置API實作時,他們會將此新程式代碼新增至存放庫。 操作員可以檢閱PR,並確定提交以供檢閱的API符合最佳做法和標準。
效能效益
效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 如需詳細資訊,請參閱效能效率支柱概觀。
APIOps 有許多優點,但隨著 API 管理 環境成長,管理它們的複雜性也是如此。 此解決方案可協助解決下列挑戰:
- 保留所有環境和 API 管理 實例的概觀。
- 追蹤 API 和原則的重要變更。
- 為所有已部署的變更建立稽核線索。
部署此案例
部署此解決方案牽涉到下列步驟:
在入口網站中開發 API,或使用您選擇的工具來變更 OpenAPI 規格。
如果您在入口網站中進行變更,您可以執行擷取器,從 API 管理 自動擷取所有 API 和其他相關原則、作業和組態。 您可以將此資訊同步處理至 Git 存放庫。
或者,使用 Azure DevOps CLI 來 建立新的提取要求。
擷取器工作流程包含您採取下列步驟:
執行管線,將入口網站中的變更下載至 API 管理 實例。
輸入分支的名稱、APIM成品存放庫、API 管理 實例和資源群組。
在我們的案例中,將入口網站中的變更下載至 API 管理 實例的管線具有下列階段:建置擷取器、從入口網站建立成品,以及建立範本分支。
檢閱者移至 提取要求 ,以檢視更新的提取要求。 您也可以設定自動核准,將此步驟自動化。
核准PR之後,它會觸發另一個從API 管理 發佈至入口網站的管線。 在我們的範例中, 它有下列階段: 建置建立者、 建置終止符和 發佈APIM實例。
- 組建 建立者 階段會處理新 API 的建立。
- 組建 終止符 階段會處理任何刪除。
- 發佈APIM實例階段會將變更發佈至 API 管理 實例。
成功執行此管線之後,它會在 API 管理 實例中發佈變更。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Rishabh Saha | 首席解決方案架構師
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
- Azure Pipelines
- 適用於 Azure API 管理 的 APIOps
- 使用 Azure Resource Manager 範本的 API 管理 CI/CD
- GitOps 概觀
- 編織 GitOps
- 教學課程:在已啟用 Azure Arc 的 Kubernetes 叢集上使用 GitOps 部署設定