API Gateway và Single Sign On Microservice

Chú ý đây chỉ là một số ghi chép vội vàng. Sẽ tiếp tục bổ xung khi học hỏi được điều hay ho mới.
 

Khi chuyển từ monolithic sang microservice, hệ thống cần thêm:

1- API Gateway để điều phối các request đến từ trình duyệt (dạng HTTP REST request hay request đến URL một trang web). Từ những request này API sẽ điều hướng đến các REST Server hoặc Web Application bên trong.

API Gateway làm nhiệm vụ tổng đài phân luồng, điều hướng cuộc gọi.
 

Có mấy lựa chọn để làm gateway:
+ Nginx : demo ví dụ đây https://github.com/TechMaster/DemoMicroservice
+ API Gateway chuyên dụng như Kong API, Tik.... và gần đây có Traefik https://traefik.io/.io . 
Traefik.io viết bằng Golang, tốc độ chậm hơn Nginx khoảng 85% nhưng dễ cấu hình hơn, hỗ trợ http2, grpc, và có giao diện dash board rất thân thiện.
+ Envoyproxy.io cũng rất hay. Do Lyft dịch vụ đặt xe qua di động ở Bắc Mỹ phát triển

2- Single Sign On: đăng nhập một lần đối với các microservice. 

Hiện hầu hết các tài liệu trên mạng đều khuyến cáo sử dụng JWT (JSON Web Token)  với một Microservice chuyên biệt cho Authentication.
Nếu đã chuyên biệt thì sẽ có 1 cái chết một điểm (Single Point of Failure), có nghĩa là nếu Authentication Service chết thì cả hệ thống dừng hoạt động.

Kubernetes sẽ hữu dụng trong việc tạo ra nhiều replica của Authentication Service. Authentication Service thường gồm có phần code (authentication logic) và phần dữ liệu người dùng, password, thông tin cá nhân. Dữ liệu thường lưu trong cơ sở dữ liệu quan hệ như MySQL hay Postgresql.
Kubernetes có giải pháp replicate stateful application kiểu như MySQL - Postgresql.

Như vậy các bạn đã thấy việc nâng lên Kubernetes không phải chạy đua theo hình thức mà là yêu cầu sẵn sàng cao (high availability).

Khi đã có API Gateway việc Authentication có thể tập trung ở API Gateway. API Gateway + Authentication giống cổng bảo vệ sân golf chỉ cho phép thành viên đăng ký với thẻ thành viên còn giá trị vào. Trong sân golf có nhiều dịch vụ đặc biệt tuỳ vào mức phí thành viên đó đóng, họ có được sử dụng hay không.

Ảnh dưới là mô hình API Gateway của Amazon.

Bài tham khảo
0- Phân biệt reverse proxy với forward-proxy
https://www.incapsula.com/cdn-guide/glossary/reverse-proxy.html

1- https://initiate.andela.com/how-we-solved-authentication-and-authorization-in-our-microservice-architecture-994539d1b6e6

2- https://sdtimes.com/apis/securing-microservices-the-api-gateway-authentication-and-authorization/

3- http://blog.leanix.net/en/authorization-authentication-with-microservices

 

4- https://kubernetes.io/docs/admin/high-availability/building/

5- https://kubernetes.io/docs/tasks/run-application/run-replicated-stateful-application/