Este post foi escrito por Vijay Menon, Principal Solutions Architect, e Christian Silva, Senior Solutions Architect.

Construa APIs REST escaláveis usando integração privada do Amazon API Gateway com Application Load Balancer

Hoje, anunciamos o suporte da API REST do Amazon API Gateway para integração privada com Application Load Balancers (ALBs). Você pode usar essa nova capacidade para expor com segurança suas aplicações baseadas em VPC através de suas APIs REST sem expor seus ALBs à internet pública.

Antes deste lançamento, se você quisesse conectar o API Gateway a ALBs privados, teria que usar um Network Load Balancer (NLB) como intermediário, aumentando custo e complexidade. Agora, você pode integrar diretamente o API Gateway com ALBs privados sem exigir um NLB, reduzindo a sobrecarga operacional e otimizando custos.

Arquitetura anterior: Conectando API Gateway a ALBs privados

Antes deste lançamento, as APIs REST do API Gateway se conectavam a recursos de ALB privados através de um NLB posicionado na frente do ALB. Muitos clientes construíram e operaram com sucesso cargas de trabalho de produção usando essa arquitetura, demonstrando sua confiabilidade para aplicações críticas de negócios. A arquitetura a seguir demonstra essa configuração.

Figura 1. Arquitetura anterior: API Gateway para ALB privado via NLB intermediário

Em resposta ao feedback dos clientes por uma arquitetura simplificada e custos reduzidos, estendemos o suporte ao VPC link v2 para APIs REST. Este recurso agora permite integração direta com ALB privado para APIs REST, eliminando a necessidade de um NLB intermediário.

Nova arquitetura: Conectando API Gateway a ALBs privados

Com a integração direta com ALB privado, essa arquitetura se torna mais simples e eficiente. A integração remove a necessidade de um NLB intermediário, reduzindo o número de saltos entre o cliente e seus serviços. Essa configuração simplificada otimiza a arquitetura para aplicações, permitindo uso mais eficiente das capacidades de balanceamento de carga de camada 7 do ALB, autenticação e recursos de autorização. Embora esses recursos do ALB fossem tecnicamente acessíveis antes, a nova arquitetura remove a sobrecarga e complexidade de gerenciar um NLB adicional. Veja como a arquitetura simplificada se parece agora:

Figura 2. Integração direta entre API Gateway e ALB privado

Benefícios de uma integração direta entre seu endpoint do API Gateway e seu ALB privado

• Simplificação arquitetural e excelência operacional: Agora que seu API Gateway pode se conectar diretamente ao seu ALB privado, você não precisa mais de um NLB para atuar como uma ponte entre seu API Gateway e seu ALB privado. Isso elimina a necessidade de provisionar, configurar, gerenciar ou monitorar um balanceador de carga intermediário. A redução nos componentes de infraestrutura se traduz em sobrecarga operacional reduzida e menos pontos potenciais de falha. O tráfego flui diretamente do API Gateway para seu ALB dentro da rede Amazon Web Services (AWS), reduzindo saltos de rede e latência.
• Escalabilidade aprimorada: O VPC link v2 suporta um relacionamento de um para muitos com balanceadores de carga. Um único VPC link v2 permite que o API Gateway se integre com múltiplos ALBs ou NLBs dentro de sua VPC. Essa vantagem arquitetural é particularmente valiosa para organizações que gerenciam aplicações complexas com múltiplos microsserviços, cada um potencialmente atrás de seu próprio ALB, ou aquelas executando inúmeras APIs. A capacidade de consolidar múltiplas conexões de balanceador de carga através de um único VPC link não apenas reduz a sobrecarga administrativa, mas também fornece maior flexibilidade no dimensionamento de sua arquitetura. À medida que sua aplicação cresce e você adiciona mais serviços ou balanceadores de carga, você não precisará provisionar VPC links adicionais, facilitando a expansão de sua infraestrutura enquanto mantém a eficiência operacional.
• Otimização de custos: Você pode remover o NLB de sua arquitetura e, assim, eliminar tanto as cobranças por hora de execução do NLB quanto as Network Load Balancer Capacity Units (NLCU) usadas por hora. Para organizações executando múltiplos ambientes ou inúmeras APIs, essas economias podem acumular milhares de dólares anualmente. Além disso, seus padrões de transferência de dados se tornam mais eficientes. O tráfego flui diretamente do API Gateway para seu ALB dentro da rede AWS, o que evita quaisquer saltos desnecessários que poderiam incorrer em mais cobranças de transferência de dados. Esse caminho simplificado não apenas reduz custos, mas também melhora o desempenho ao minimizar a latência de rede.

Primeiros passos

Este tutorial demonstra a configuração usando tanto o AWS Management Console quanto a AWS Command Line Interface (AWS CLI). Antes de começar, certifique-se de ter um ALB interno configurado em sua VPC. Para recursos que precisam de nomenclatura, use nomes apropriados para seu ambiente.

Passo 1: Criar um VPC link v2
O primeiro passo em nosso processo é criar um VPC link v2, que permitirá que o API Gateway roteie tráfego para seu ALB interno. Veja como configurá-lo:

1. Navegue até o console do API Gateway.
2. No painel de navegação à esquerda, escolha VPC links.
3. Escolha Create VPC link.
4. Escolha VPC link v2 como o tipo de VPC link.
5. Forneça um nome descritivo para seu VPC link.
6. Escolha sua VPC e sub-redes onde seu ALB reside. Para alta disponibilidade, escolha sub-redes em múltiplas AWS Availability Zones (AZs) que correspondam à configuração do seu ALB.
7. Atribua um ou mais grupos de segurança ao seu VPC link. Esses grupos de segurança controlarão o fluxo de tráfego entre o API Gateway e sua VPC.
8. Escolha Create e aguarde até que o status do VPC link se torne Available. Este processo pode levar alguns minutos.

Alternativamente, você pode criar um VPC link v2 usando a AWS CLI:

# Create VPC link v2
aws apigatewayv2 create-vpc-link \
    --name "test-vpc-link-v2" \
    --subnet-ids "<your-subnet1-id>" "<your-subnet2-id>" \
    --security-group-ids "<your-security-group-id>" \
    --region <your-AWS-region>

# Check VPC link v2 status
aws apigatewayv2 get-vpc-link \
    --vpc-link-id "<your-vpc-link-v2-id>" \
    --region <your-AWS-region>

Passo 2: Criar uma API REST e configurar a integração
Com seu VPC link v2 agora disponível, o próximo passo é criar uma API REST e configurá-la para usar o VPC Link. Este processo envolve criar a API, configurar recursos e métodos, e configurar a integração com seu ALB interno.

1. No console do API Gateway, escolha Create API.
2. Escolha REST API.
3. Digite um nome de API e escolha Create API.
4. Crie um novo recurso escolhendo Actions, depois escolha Create resource. Este recurso representará o endpoint para sua API.
5. Crie um método escolhendo Actions, depois escolha Create method. O método define o tipo de solicitação que sua API aceitará (GET, POST, etc.).
6. Agora, configure a integração. É aqui que você conectará sua API ao seu ALB interno via VPC link v2:
   1. Escolha VPC link como o tipo de integração.
   2. Escolha o método HTTP para sua integração de backend.
   3. Escolha seu VPC link v2 recém-criado.
   4. Especifique seu ALB como o destino de integração.
   5. Digite a URL do endpoint para sua integração. A porta especificada na URL é usada para rotear solicitações para o backend.
   6. Defina o Integration timeout.

Usando a AWS CLI:

# Create REST API
aws apigateway create-rest-api \
    --name "test-rest-api" \
    --description "REST API integration with internal ALB via VPC link v2" \
    --region <your-AWS-region>

# Get REST API's root resource ID
aws apigateway get-resources \
    --rest-api-id "<your-rest-api-id>" \
    --region <your-AWS-region>

# Create a new resource
aws apigateway create-resource \
    --rest-api-id "<your-rest-api-id>" \
    --parent-id "<your-parent-id>" \
    --path-part "internal-alb" \ 
    --region <your-AWS-region>

# Create a new method
aws apigateway put-method \
    --rest-api-id "<your-rest-api-id>" \
    --resource-id "<your-resource-id>" \
    --http-method ANY \
    --authorization-type NONE \
    --region <your-AWS-region>

# Create the integration
aws apigateway put-integration \
    --rest-api-id "<your-rest-api-id>" \
    --resource-id "<your-resource-id>" \
    --http-method ANY \
    --type HTTP_PROXY \
    --integration-http-method ANY \
    --uri "http://test-internal-alb.com/test" \
    --connection-type VPC_LINK \
    --connection-id "<your-vpc-link-v2-id>" \
    --integration-target "<your-ALB-arn>" \
    --region <your-AWS-region>

Passo 3: Implantar e testar
Com sua API configurada, é hora de implantá-la e verificar se está funcionando corretamente.

1. Escolha Deploy API para criar uma nova implantação de sua API.
2. Crie um novo estágio (por exemplo, “test”). Os estágios permitem que você gerencie múltiplas versões de sua API.
3. Após a implantação, você receberá uma URL de endpoint da API. Copie esta URL, pois você precisará dela para testes.

Teste sua API usando seu cliente de API preferido ou um simples comando curl.

Usando a AWS CLI:

# Create a new deployment to a test stage
aws apigateway create-deployment \
    --rest-api-id "<your-rest-api-id>" \
    --stage-name "test" \
    --region <your-AWS-region>

Teste sua integração de API usando um comando curl:

curl https://<rest-api-id>.execute-api.<your-aws-region>.amazonaws.com/internal-alb
{"message": "Hello from internal ALB"}

Passo 4: Escalar seu VPC link v2
Um único VPC link agora pode se conectar a múltiplos ALBs ou NLBs dentro de sua VPC, simplificando o gerenciamento de infraestrutura. Este trecho da AWS CLI demonstra o API Gateway se integrando com múltiplos serviços internos, por exemplo, serviços de pedidos e pagamentos, cada um atrás de seu próprio ALB, usando um único VPC link v2. Observe como o mesmo ID de VPC link é usado em ambas as integrações.

# Orders service integration (ALB-1)
aws apigateway put-integration \
    --rest-api-id "<your-rest-api-id>" \
    --resource-id "<orders-resource-id>" \
    --http-method ANY \
    --type HTTP_PROXY \
    --integration-http-method ANY \
    --uri "<your-orders-alb-endpoint>" \
    --connection-type VPC_LINK \
    --connection-id "<your-vpc-link-v2-id>" \
    --integration-target "<your-orders-alb-arn>" \
    --region "<your-aws-region>"

# Payments service integration (ALB-2)
aws apigateway put-integration \
    --rest-api-id "<your-rest-api-id>" \
    --resource-id "<payments-resource-id>" \
    --http-method ANY \
    --type HTTP_PROXY \
    --integration-http-method ANY \
    --uri "<your-payments-alb-endpoint>" \
    --connection-type VPC_LINK \
    --connection-id "<your-vpc-link-v2-id>" \
    --integration-target "<your-payments-alb-arn>" \
    --region "<your-aws-region>"

Para um guia detalhado, passo a passo, consulte nossa documentação oficial no Guia do Desenvolvedor do API Gateway.

Casos de uso

A integração privada de ALB com API Gateway permite padrões de arquitetura que resolvem desafios empresariais. Estes são três cenários-chave onde as organizações podem usar essa nova capacidade:

• Microsserviços no Amazon ECS e Amazon EKS: Expor microsserviços executados no Amazon ECS ou Amazon EKS se torna mais simples com essa integração. Permite roteamento seguro baseado em caminho para diferentes serviços sem expor seu ALB à internet pública ou usar padrões complexos de proxy NLB.
• Arquiteturas de nuvem híbrida: Conectividade perfeita e segura entre APIs nativas da nuvem e recursos locais é alcançada via AWS Direct Connect ou AWS Site-to-Site VPN. Essa configuração permite roteamento flexível baseado em métodos HTTP e cabeçalhos para vários sistemas internos.
• Modernização empresarial: A modernização gradual de aplicações é facilitada ao permitir migração em fases de arquiteturas monolíticas para microsserviços. As organizações podem rotear tráfego entre componentes legados e novos enquanto mantêm a continuidade operacional e minimizam riscos.

Conclusão

A integração privada direta entre APIs REST do API Gateway e ALBs aprimora a arquitetura de API na AWS. Ao simplificar a infraestrutura e reduzir a sobrecarga operacional, essa capacidade melhora o desempenho e a eficiência para aplicações orientadas por API.

Este recurso está disponível hoje em todas as Regiões da AWS onde o VPC link v2 e ALBs estão presentes. Mal podemos esperar para ver o que você construirá com ele e como ele transformará suas arquiteturas de API. Comece agora visitando o console do API Gateway e criando seu primeiro VPC link v2 para integração direta com ALB.

Para mais informações, visite a página do produto API Gateway, revise nossos detalhes de preços e explore a documentação abrangente para desenvolvedores para aprender sobre todos os recursos poderosos disponíveis para ajudá-lo a construir APIs de classe mundial na AWS.

Este conteúdo foi traduzido da publicação original do blog, que pode ser encontrado aqui.

Autores

	Christian Silva, Sr. Solutions Architect
	Vijay Menon, Principal SA,  Network

Tradutores

	Rodrigo Peres é Arquiteto de Soluções na AWS, com mais de 20 anos de experiência trabalhando com arquitetura de soluções, desenvolvimento de sistemas e modernização de sistemas legados.
	Daniel Abib é arquiteto de soluções sênior na AWS, com mais de 25 anos trabalhando com gerenciamento de projetos, arquiteturas de soluções escaláveis, desenvolvimento de sistemas e CI/CD, microsserviços, arquitetura Serverless & Containers e segurança. Ele trabalha apoiando clientes corporativos, ajudando-os em sua jornada para a nuvem. https://www.linkedin.com/in/danielabib/