API Gateway: Swagger, Caching, Usage Plans, Logging, CORS

Question 1

Как API Gateway интегрируется с OpenAPi?
Какие форматы кода поддерживаются?

Answer 1

• Можно импортировать описание API endpoint’ов в API Gateway в виде Open API кода.
• Можно - наоборот - экспортировать существующие API Gateway endpoint’ы в код.

Форматы Open API кода - Yaml / JSON.

Question 2

Как можно использовать OpenAPI интерфейс в уже созданном API Gateway?

Answer 2

API Gateway может использовать Open API код для валидации тела запроса.
Соответствует ли payload описанной API schema’е.
За счёт этой предварительной валидации можно снизить нагрузку на back-end.

В коде Open API schema’ы нужно указать
атрибут x-amazon-apigateway-request-validator

Question 3

API Gateway поддерживает кэширование запросов.
Какие характеристики есть у этого кэша?
Когда его нужно использовать?

Answer 3

• Cache TTL: От нуля до часа. По-умолчанию 5 минут.
• Cache Size: 0.5GB - 237 GB

API Gateway Cache дорого стоит ($$$). Имеет смысл только для PROD.

Question 4

Какие способы инвалидации кэша есть в API Gateway?
Что про них нужно знать?

Answer 4

• Полная инвалидация кэша
• Клиенты могут указывать длительность кэша
  в заголовке запроса Cache-Control: max-age=0

Клиентам нужен соответствующий IAM Policy.
Если дать каждому клиенту возможность инвалидировать кэш, то очень плохо.

Question 5

Какие есть security features в API Gateway Cache?

Answer 5

• Клиентам нужен IAM Policy для инвалидации кэша
• Кэш можно шифровать encryption

Question 6

Что такое Usage Plans в API Gateway?
Что можно регулировать в рамках каждого Usage Plan?

Answer 6

Это концепт, благодаря которому мы можем предоставлять свои API Gateway endpoint’ы нашим клиентам платно за деньги.

В рамках Usage Plan каждому клиенту можно определить
- какой доступ к endpoint’ам и HTTP методам
- частота запросов
- количество запросов в месяц

Question 7

Зачем нужны API Keys в API Gateway?
Как клиент должен их передавать?

Answer 7

API Key - это просто рандомная строка, у каждого клиента своя.
API Keys используются для идентификации клиентов,
чтобы проверять доступ индивидуально.

Клиенты должны передавать свой API Key в HTTP заголовке x-api-key

Question 8

В CloudWatch
- Можно логировать ….
- Логирование активируют на уровне …

Answer 8

request / response body
API Gateway Stage

Question 9

Какие метрики есть для оценки эффективности API Gateway Cache?

Answer 9

• Cache Hit Count
• Cache Miss Count

Question 10

Какие метрики есть для оценки Latency API Gateway?

Answer 10

• Integration Latency - время, которое берёт back-end на обработку запроса
• Latency - время, которое берёт back-end + API Gateway на обработку запроса

Question 11

Что нужно знать про лимит Latency в API Gateway?

Answer 11

Лимит времени обработки запроса в API Gateway = 29 sec
Если дольше, то будет timeout

Question 12

Какие виды HTTP ошибок бывают?

Answer 12

• 4XXError - ошибки на стороне клиента
• 5XXError - ошибки на стороне сервера

Question 13

Каков лимит API Gateway Throttling?
Что если мы нарушили этот лимит?
Какая у него есть особенность? На что это похоже?

Answer 13

• Account Limit = 10_000 запросов в секунда на ВСЕ endpoint’ы в API Gateway.
• “Soft Limit”, т.е. можно увеличить по нашему запросу

Как и с Lambda функциями: один API endpoint может “съесть” весь лимит запросов.
Best Practice
Устанавливать лимит на уровне API Gateway Stage или Method

Question 14

Какой HTTP код ошибки в случае Тротлинга?

Answer 14

429

Question 15

Что нужно знать про CORS в контексте API Gateway?

Answer 15

API Gateway - также, как и S3 - может регулировать запросы,
перенаправленные от других Origin’ов.

Question 16

Что нужно знать про CORS headers в контексте API Gateway?

Answer 16

Предварительный OPTIONS запрос должен содержать заголовки
Access-Control-Allow-Methods

Access-Control-Allow-Headers
Access-Control-Allow-Origin,
чтобы понять, может ли он слать полноценный запрос.