[資訊] API伺服器改變與趨勢

API 閘道的選型和持續集成
https://segmentfault.com/a/1190000020773604

零信任閘道：
近年安全領域裡很火的概念就是零信任，即zero trust。在傳統的安全領域裡面，我們認為邊界防護非常重要，所以會用防火牆對進來的流量做一層校驗，這個校驗其實是命中規則的校驗，如果是黑的就把它拒絕掉。那麼這個時候就會有一個問題：如果一些規則更新不及時，它就可以穿越防火牆，以前的安全更多是基於邊界的防護，過了邊界內網是可以暢通無阻的。

但是零信任閘道可以徹底解決這個問題，它認為所有的流量都是不安全的，以前的邊界防護是非黑即白。現在的零信任安全閘道則是非白即黑，你不是白的，那麼你就是黑的，所以它是完全基於身份來認證的。一個 API 的請求過來會到身份認證的伺服器，協力廠商的身份認證廠商比如 Author0、OKTA 的身份認證伺服器認證你的身份，身份認證過了，請求才可以通過，不然就直接拒絕掉，這是是安全領域的一個趨勢。

動態閘道：
Kong 或 APISIX，動態的都是最基本的點，相比 Nginx 修改任何一個設定檔，都需要 reload 之後才能生效的。我們設想一個場景，用 Nginx 做最前面的路由，做負載均衡，突發的流量來了，此時需要快速地增加很多上游伺服器，就要不停地修改 Nginx 設定檔，然後 reload，等突發流量過了之後再把上游的服務摘掉，那麼這時候還要再改 Nginx 檔並 reload 。這個代價是很大的，但是你如果用 Kong、APISIX 這種 Web 伺服器，就不會有這樣的問題，通過 API 可以很輕鬆地即時修改整個集群裡面所有機器上游的配置、動態證書的配置，當然性能會比 Nginx 稍微低一點，但是這個低也是可以接受的，因為它帶來了很大的靈活性。現在很多的廠商都是在做這樣的替換，不僅互聯網公司，還有一些傳統企業都在把 Nginx 慢慢地拿掉。

身份認證方式改變：
在傳統的 Nginx 裡面，一般是流量進來後根據路由的規則去做反向代理、負載均衡，很少對發流量的用戶端的身份做認證。但是在雲原生裡面就不一樣，因為很多是在微服務裡的流量，這裡面需要做嚴格的身份認證，包括加密、OpenID 之類的身份認證。這塊就是一些新的功能，可以把自己企業裡面需要做身份認證相關的東西放到協力廠商的外部認證的廠商去做。


#Nginx, Kong, APISIX, 零信任閘道, 動態閘道, 閘道, 外部身份認證, 選型, 趨勢