发布于: Aug 12, 2022
企业应用上云有效提高了企业的工作效率以及信息安全。企业应用(如 ERP、CRM、OA 和 HR 等)是企业信息系统的核心资产,支撑企业的生产、经营与管理。随着移动互联网的蓬勃发展,这些企业应用迫切需要向移动设备提供便捷、高效的访问,实现丰富的用户体验。例如,销售人员通过手机 App 管理客户信息、拜访记录和订单等;差旅途中的管理人员在平板电脑上浏览财务报表或审批公文等。此外,集团型的企业客户日益注重 IT 服务能力的输出与共享,以促进各业务板块及生态圈的协同发展。例如,构建统一的身份认证平台为所有的第三方应用提供认证与授权服务。
一般来说,企业应用通过开放 API (Application programming interfaces)的方式实现应用集成与能力共享。例如,SAP 应用(如 ERP / CRM / SRM / SCM / PLM 等)发布的是基于 OData (Open Data Protocol) 协议封装的API,而且满足 REST 设计风格(关于 OData 协议的更多介绍,请参见 SAP 官方博客)。这些 API 为企业应用在云上的微服务化提供了机会。此外,还需要 API 管理平台对 API 进行统一的管理,包括发布与部署、安全认证、流量控制和监控告警等。Amazon API Gateway 是实现 API 管理平台的托管式服务,它提供了统一、安全、敏捷及可扩展的 API 生产与消费方式。API Gateway 可以创建 API 直接与后台的各类企业应用集成;也可以结合 Amazon Web Services Lambda,实现定制化的业务逻辑与管理功能,构建轻量级、松耦合的无服务器式微服务。利用 API Gateway 和 Lambda 实现微服务的另外一个显著优势是,可以充分发挥无服务器架构中缓存和动态扩容的特性,降低前端应用对后台企业应用的访问压力,并优化用户体验。
我的同事 KK Ramamoorthy 在近期的一篇文章中介绍了利用 API Gateway 部署 SAP API 的方法,移动 App 和 Web 应用可以通过 API Gateway 直接访问 SAP 开放的 OData API endpoints,轻松实现 API 的调用。
根据企业对云上环境的安全分区要求及 Amazon Web Services 最佳实践,SAP 应用一般是部署在 VPC 的私有子网,不允许被公网直接访问,因此,API Gateway 无法创建 API 直接调用位于私有子网的 OData API endpoints。此外, OData API 采用了安全令牌机制防范 CSRF (Cross-site request forgery) 攻击(即在调用 POST 方法之前必须先请求获得 X-CSRF-Token),这一机制也限制了 API Gateway 直接对 SAP 应用进行微服务化。针对上述两个问题,本文将介绍通过 Lambda 函数结合 API Gateway 实现安全、灵活的 SAP 应用微服务。Lambda 函数完成的工作机制如下:
- 作为 API Gateway 的代理,将调用请求转发到位于私有子网的 OData API endpoint;
- 对于 API Gateway的 GET 方法,直接提交 GET 请求;
- 对于 API Gateway的 POST 方法,先请求 CSRF 令牌,再提交 POST 请求;
- 实现基本的身份认证(用户名与密码)。