[AWS] API Gateway

아키텍쳐 패턴에서의 API Gateway 패턴을 구현, 제공하는 AWS의 간판 서비스 중 하나다.

기본적으로는 로드밸런서처럼 다른 서버들의 앞단 프록시 역할을 하는데, 로드밸런서에 비하면 기능이 좀더 다양한 편이다.
경로를 다양하게 설정할 수 있고, 여러가지 종류의 서버를 가리키게 만들 수 있다.

여기에서는 Rest API 모드를 주로 다룬다.
Websocket 모드에 대해서는 아래 포스트를 참고한다.
https://blog.naver.com/sssang97?Redirect=Log&logNo=222923857318&from=postView

아키텍쳐 패턴으로서의 API Gateway는 다음 포스트를 참고한다.
https://blog.naver.com/sssang97/223042627693

비용

사용한 만큼만 비용을 부과하는 서버리스 서비스다.
HTTP 모드는 딱 사용한 만큼만 비용을 내고, REST API 모드는 거기에 더해 캐싱 시간당 비용이 조금 추가된다.
https://aws.amazon.com/ko/api-gateway/pricing/

HTTP API는 이렇게 요청 단위로만 요금을 물고

Reist API은 이건 캐시가 떠있는 시간 단위로도 요금을 낸다.

테스트 환경 구성

일반 원본 서버를 간단하게 마련해놨다.

이런게 있다.

게이트웨이 만들기

간단한 예제를 구현해도록 하겠다.

나는 이미 존재하던 Lambda Function URL 기반의 서버를 API Gateway로 프록싱하려고 한다.
이를 통해 rate limit과 도메인 연동 등을 달성하려는게 목적이다.

우선 게이트웨이를 만든다.

일반적인 사용사례에서는 세번째의 Rest API가 가장 적절한 편이다.

고르고

이름 짓고, 적절히 만들어준다.

그래서 이런식으로 뜨면 성공이다.

리소스 관리

게이트웨이를 막 생성한 참이라면, 안에 들어있는 게 아무것도 없고 호출할 수 있는 것도 없을 것이다.
가장 먼저 "리소스" 단위를 추가해줘야 다른 서버를 프록싱하게 할 수 있다.

나는 기존에 존재하던 서버를 "api/v1" 경로의 하위 URI로 매핑하고 싶다.
한번 해보겠다.

"리소스 생성"을 누르고

먼저 상위 URI인 api를 생성한다.

그리고 그 아래에 또 v1을 생성한다.

그리고 와일드패턴을 적용하기 위해 "proxy" 리소스를 추가한다.

이렇게 해야 "/api/v1"로 시작하는 모든 패턴을 매칭시켜줄 수 있다.

그러면 ANY 메서드가 자동으로 생길텐데

저기다가 프록싱할 원본 서버의 경로를
"https://도메인/{proxy}"의 형태로 넣어준다.
여기서는 HTTP 프록시 타입으로 해서 URL을 그대로 넣었는데, Lambda를 바로 가리키게 할 수도 있다. 그래서 Lambda 기반으로 서버리스 서버를 운용할때 저걸 많이 사용했다.

그리고 저게 끝이 아니다.
"https://도메인/{proxy}" 형태의 프록시 리소스는 "https://도메인/foo"나 "https://도메인/bar" 같은 것에는 매칭이 잘 되는데, "https://도메인/" 같은 루트 URI에는 매칭되지 않는다.
그래서 상위 레벨에 메서드를 하나 더 추가해준다.

그리고 이번에는 엔드포인트를 저렇게 "https://도메인"으로만 넣어줬다.

됐다.

이런식으로 하나의 게이트웨이에 여러가지 서버의 API를 라우팅할 수 있다.

그래서 MSA에서 가장 중요한 중심축 중 하나이기도 하다. 서버를 잘게잘게 썰어서 게이트웨이에 물릴 수가 있기 때문이다.

API 배포하기: Stage 만들기

저기서 리소스를 수정하는건 사실 그냥 개발용 편집창일 뿐이고, "스테이지" 단위로 배포를 해야 실질적인 기능을 하기 시작한다.

API 배포를 누르고

스테이지 이름을 적절히 골라 배포한다.

그럼 이렇게 배포 스테이지가 뜨고

생성된 엔드포인트를 기반으로 동작도 확인해볼 수 있을 것이다.

도메인 달기

도메인 연동은 별도 포스트를 참고한다.
https://blog.naver.com/sssang97/222883393010

canary 배포

API Gateway는 안정적인 배포를 위해 canary 배포 전략을 제공한다.

만약 API gateway 단위의 변경이 생겨서 특정 API가 가리키는 서버를 바꾸고 state 배포를 해야하는데, 변경사항으로 인해서 과부하로 뻗지 않을까, 아니면 오류가 터지지 않을까 걱정스러울 수 있다.
canary는 그런 스테이지 변경사항을 안정적으로 제어할 수 있게 해주는 도구다.

먼저 스테이지의 canary 탭에서 canary 설정을 활성화한다.

이렇게 뜨면 된다.

그리고 스테이지 변경사항을 배포하면 되는데

그럼 이제 이런식으로 canary라고 뜰 것이다 .

canary를 켰기 때문에, 스테이지를 새로 배포하더라도 실제 스테이지에 바로 적용되지 않는다.
대신 canary 버전에만 배포된다.

그러면 저기서

canary로 몰리는 트래픽을 조금씩 늘려보면서 모니터링을 해보고,

문제없다면 canary를 끝내면 된다.

그러면 완전히 적용이 끝날 것이다.

Rate Limit 걸기

API Gateway는 자체적으로 API에 대한 Rate limit 기능을 제공한다.

이건 모든 사용자에 대해 전역적으로 동작하고, 요청자의 IP별로 rate limit을 거는건 따로 없다.
그런걸 원한다면 WAF를 사용해야 한다.

rate limit은 게이트웨이 전체에 대해서 걸 수도 있고

특정 API 단위로도 걸 수 있다.

여기서 버스트는 동시에 병렬로 처리할 수 있는 한도고, 요율(rate)은 초당 받을 수 있는 최대치다.

만약 /health API에 대해서만 rate limit을 빡세게 걸고 싶다면, 이런식으로 해볼 수 있다.
리소스와 메서드를 구체적으로 추가한 뒤에, 다음과 같이 걸면 된다.

이러면 1초에 2개씩만 받을 수 있다는 뜻이다.

그래서 1초에 2번을 초과하게 무식하게 접속을 반복해보면

일시적으로 차단을 먹일 것이다.

로그 구성하기

문서화

완전하지는 않지만, API Gateway는 Swagger의 import/export 기능을 제공한다.

나는 리소스 정의를 프록시로 때려박아서 쓸만한 구성은 아니지만, 하나하나 등록한 경우에는 유용할 것 같다.

권한 부여자(Authorizer)

API Gateway는 자체적으로 인증에 대한 부분도 제어가 가능하다.
인증 처리에는 Cognito와 Lambda를 사용할 수 있는데, 여기서는 확장성이 높은 Lambda를 활용해서 구축을 해보겠다.

이런식으로, 최종 목적지 서버에 넘기기 전에 Lambda를 호출해서 마저 진행할지 여부를 검사하는 것이다.

먼저 저 용도로 사용할 인증 함수를 구현하겠다.

이름은 적당히 짓고, 코드를 다음과 같은 형태로 구성한다.

export const handler = function(event, context, callback) {
    console.log('Received event:', JSON.stringify(event, null, 2));

    // A simple request-based authorizer example to demonstrate how to use request 
    // parameters to allow or deny a request. In this example, a request is  
    // authorized if the client-supplied headerauth1 header, QueryString1
    // query parameter, and stage variable of StageVar1 all match
    // specified values of 'headerValue1', 'queryValue1', and 'stageValue1',
    // respectively.

    // Retrieve request parameters from the Lambda function input:
    var headers = event.headers;
    var queryStringParameters = event.queryStringParameters;
    var pathParameters = event.pathParameters;
    var stageVariables = event.stageVariables;

    // Parse the input for the parameter values
    var tmp = event.methodArn.split(':');
    var apiGatewayArnTmp = tmp[5].split('/');
    var awsAccountId = tmp[4];
    var region = tmp[3];
    var restApiId = apiGatewayArnTmp[0];
    var stage = apiGatewayArnTmp[1];
    var method = apiGatewayArnTmp[2];
    var resource = '/'; // root resource
    if (apiGatewayArnTmp[3]) {
        resource += apiGatewayArnTmp[3];
    }

    // Perform authorization to return the Allow policy for correct parameters and 
    // the 'Unauthorized' error, otherwise.
    var authResponse = {};
    var condition = {};
    condition.IpAddress = {};

    // 여기서 인가 여부를 처리함!!
    // 인가 성공
    if (queryStringParameters.key === "q1w2e3r4") {
        callback(null, generateAllow('me', event.methodArn));
    }  
    // 인가 실패. 401 상태코드 반환
    else {
        callback("Unauthorized");
    }
}

// Help function to generate an IAM policy
var generatePolicy = function(principalId, effect, resource) {
    // Required output:
    var authResponse = {};
    authResponse.principalId = principalId;
    if (effect && resource) {
        var policyDocument = {};
        policyDocument.Version = '2012-10-17'; // default version
        policyDocument.Statement = [];
        var statementOne = {};
        statementOne.Action = 'execute-api:Invoke'; // default action
        statementOne.Effect = effect;
        statementOne.Resource = resource;
        policyDocument.Statement[0] = statementOne;
        authResponse.policyDocument = policyDocument;
    }
    // Optional output with custom properties of the String, Number or Boolean type.
    authResponse.context = {
        "stringKey": "stringval",
        "numberKey": 123,
        "booleanKey": true
    };
    return authResponse;
}

var generateAllow = function(principalId, resource) {
    return generatePolicy(principalId, 'Allow', resource);
}

var generateDeny = function(principalId, resource) {
    return generatePolicy(principalId, 'Deny', resource);
}

좀 긴데, 중간에 이부분만 보면 된다.

    // 여기서 인가 여부를 처리함!!
    // 인가 성공
    if (queryStringParameters.key === "q1w2e3r4") {
        callback(null, generateAllow('me', event.methodArn));
    }  
    // 인가 실패. 401 상태코드 반환
    else {
        callback("Unauthorized");
    }

쿼리파라미터에 key란 값이 q1w2e3r4일 때만 허용을 해주도록 했다.
예제의 간결함을 위해서 하드코딩을 했지만, 실제로는 헤더값을 주로 사용할테고, 저런 인증 관련값도 데이터베이스에 넣고 사용할 것이다.

함수를 배포하고, 다시 API Gateway로 돌아와서 "권한 부여자" 탭으로 이동, 생성을 해준다.

역할은 필요없고, 함수를 고른다.
그리고 Lambda를 호출할때 event로 넘길 항목을 정해준다.
이 경우에는 쿼리파라미터 key다.

그리고 잘 동작하는지 테스트해본다.

이상한걸 넣으면 튕기고

잘 넣으면 통과되어야 한다.

마지막으로 저걸 리로스에 적용만 해주면 된다.
리소스 편집에서 특정 메서드 정의를 선택하고 "메서드 실행"으로 이동

승인에 그걸 집이넣어주고 배포를 하면 끝이다.

그러면

기대한대로 잘 동작할 것이다.

참조
https://docs.aws.amazon.com/ko_kr/apigateway/latest/developerguide/set-up-logging.html
https://docs.aws.amazon.com/ko_kr/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html