STRATEGIE20. Mai 2020

Apigee, 3Scale, Kong, WSO2: Vier API-Management-Plattformen im FIS-Praxisvergleich

adesso

APIs sind der Klebstoff für verteilte Prozesse und somit auch Erfolgsfaktor für Digitali­sierungs­projekte: Gartner schätzt, dass jeden Monat mehrere Hundert neue öffentliche APIs publiziert werden. Diese rasant wachsende Vielfalt und die steigende Bedeutung von APIs für die interne und externe Zusammenarbeit bedarf einer zentralen Steuerung hinsichtlich Sicherheit, Analyse und Veröffentlichung. Vor diesem Hintergrund muss einem erfolgreichen API-Management im Zusammenhang mit dem digitalen Wandel besondere Beachtung geschenkt werden. Adesso hat vier Lösungen (Kong Inc., WSO2 API Manager, Apigee von Google, 3Scale von Red Hat) geprüft. 

von Hüseyin Öztas, Paul Lemech und Volkan Basaran, adesso

Die Autoren: Hüseyin Öztas, Paul Lemech und Volkan Basaran, adesso
Hüseyin Öztas, Leiter Competence Center für Business Integration, ist mit seinen Team für EAI / ESB und API-Management-Themen verantwortlich. Er verfügt über 30 Jahre Projekterfahrung als Architekt und Projektleiter. Er verwendet agile Techniken für robuste und skalierbare Lösungen in Integrationsarchitekturen.

Paul Lemech arbeitet seit 2019 bei adesso SE und ist unter anderem dafür verantwortlich, Themen wie Microservice-basierte Integration von Unternehmensanwendungen, API-Management und AIOps voranzutreiben. Konzeptionierung und Entwicklung von APIs zählt zu seinen Hauptaufgaben. Er verwendet agile Techniken und Cloud-native Ansätze, um robuste, performante und skalierbare Lösungen zu entwickeln.

Volkan Basaran arbeitet seit 2019 bei adesso SE und beschäftigt sich mit Themen wie der agilen Entwicklung und Integration von Microservices, CI/CD und API-Management-Lösungen. Cloud-basierte Lösungsansätze für performante und skalierbare Lösungen für Unternehmensarchitekturen gehören ebenfalls zu seinen Aufgaben.

Mit APIs lassen sich Prozesse automatisieren und neue Geschäftsfelder erschließen – sowohl für Kreditinstitute als auch für Versicherer. Doch Design, Entwicklung, Überwachung und Optimierung von Schnittstellen sind sehr komplex und dementsprechend zeitaufwändig.

Mit API-Management-Lösungen kann der damit einhergehende enorme Aufwand deutlich reduziert werden. Insbesondere lassen sich auch spätere Veränderungen schneller anpassen und die Abläufe optimieren. Die erfolgreiche Implementierung hängt jedoch von vielen Faktoren ab.

Die Automatisierung von Prozessen für die Konfiguration, die Traffic-Analyse und die Erstellung von Dokumentationen helfen den Unternehmen, deren Effizienz, Verwaltung, Zuverlässigkeit und Sicherheit zu verbessern. Durch die Nutzung von API-Management-Tools entsteht eine „Landkarte“ von Services und Routen. Dies erleichtert das Verständnis für die gesamte Architektur und hilft bei der Fehlersuche, da die Fehler und Risiken visuell dargestellt werden und so leichter identifiziert werden können. Mit Hilfe von Machine Learning (ML) können Anomalien identifiziert und bei Bedarf auch Alert-Events eingerichtet werden.

Mit der Zielsetzung, diese Themen ausführlich zu betrachten, wurden im Rahmen eines Projektes bei der adesso die vier großen API-Management Lösungen aus dem Open-Source-Bereich von adesso unter die Lupe genommen und ausgiebig geprüft und evaluiert.

Untersucht wurden folgende Lösungen:

  1. Kong Inc.
  2. WSO2 API Manager
  3. Apigee von Google
  4. 3Scale von Red Hat

All diese Lösungen versprechen, den gesamten API-Lebenszyklus abzudecken. Aber wie sieht das jeweils in der Praxis aus? In der Praxis-Beurteilung von adesso wurde der Fokus vor allem auf folgende Aspekte gelegt:

  • Funktionale Abdeckung
  • Handhabbarkeit
  • Deployment-Möglichkeiten
  • Performance
  • Erweiterbarkeit
  • Kosten/Lizenz

Technologie- und Szenariobeschreibung

Um die vier genannten Lösungen effizient prüfen zu können, wurde ein Umfeld mit Anwendungen und Services aufgebaut. Es sollte Anwendungen enthalten, die sowohl für den internen als auch für den externen Gebrauch gedacht sind. In den Szenarien wurden interne Kommunikation zwischen Services wie auch externe Kommunikation mit der Partnerorganisation mit Security-Anforderungen implementiert. Anforderungen auf die API-Management-Plattformen waren einfache Szenarien, wie Request/Response aus einer Datenquelle wie auch komplexe Verbundservices, die mehrere Services nach außen vereinen.

Besonderes Augenmerk wurde auf Funktionen wie Traffic-Management oder Security-Anforderungen gelegt, da diese bestimmte Ansprüche erfüllen sollten. Zwar gibt es keine einheitlichen Regelungen für die Finanzwirtschaft, aber einige Standardisierungsrahmen wie zum Beispiel OpenBanking (UK), Berlin Group oder OpenID. Die Services wurden in Java mithilfe des SpringBoot-Frameworks entwickelt, mit Docker containerisiert und anschließend sowohl in Kubernetes sowie auf die Openshift Container Platform deployed. Die Entwicklung der Services und APIs wurde mittels des API-First-Ansatzes realisiert. Für die Schnittstellenbeschreibung wurden OAS 3.0 und Swagger 2.0 verwendet. Service Mesh Istio wurde einbezogen, um Service-zu-Service-Kommunikation mit TLS zu sichern und die Observability der Microservices zu gewährleisten.

Ein Überblick über die vier API-Management-Lösungen

Kong Inc.

Kong Inc. (früher Mashape) bot in der früheren Aufstellung einen Marktplatz für APIs und Web-Services an. Jetzt bietet Kong eine Komplettlösung für das API-Management. Das API Gateway ist komplett Open Source, die anderen Komponenten wie Developer Portal, UI, Analytics und AI Komponenten sind kostenpflichtig.

Laut Gartner Quadrant von 2019 zählt Kong zu den aufstrebenden Visionären, wenn es um Full-Life-Cycle API-Management geht.

Kong-Bewertungs- und Funktionsmatrix
Kong-Bewertungs- und Funktionsmatrixadesso

 

WSO2 API Manager

WSO2 steht für agile Integration von Unternehmensanwendungen und bietet auch diverse Lösungen für eine erfolgreiche Integration des Produktportfolios an. Dazu zählen unter anderem Enterprise Integrator (ESB-Tool), API Manager, Identity & Access Management und Analytics & Stream Processing. Bedeutet: WSO2 deckt alle nötigen Komponenten ab, die für eine erfolgreiche Integration von Anwendungen notwendig ist.

Die Lösung wurde auf Docker, Kubernetes, Openshift und On-Premises unter Windows 10 ausprobiert. Alle Arten der Installation sind sehr gut beschrieben und so konnten alle oben genannten Möglichkeiten schnell und ohne Hindernisse ausprobiert werden.

WSo2-Bewertungs- und Funktionsmatrix
WSo2-Bewertungs- und Funktionsmatrixadesso

 

3scale by Red Hat

Ebenfalls zu den führenden API-Management Plattformen zählt laut dem Gartner Magic Quadrant von 2019 3scale von Red Hat. Wir haben untersucht, wie 3scale im Vergleich zu den anderen Lösungen abschneidet. Sie bietet umfangreiche Funktionen wie Teilen, Sichern, Verteilen, Kontrollieren und Monetarisieren zur Verwaltung der APIs an. 3scale-Komponenten können lokal, in Cloud-Umgebungen oder in einer Kombination aus beiden integriert werden.

3scale-Bewertungs- und Funktionsmatrix
3scale-Bewertungs- und Funktionsmatrixadesso

Abbildung: 3scale-Bewertungs- und Funktionsmatrix (Quelle: adesso SE)

Apigee

Apigee Edge (folgend nur noch Apigee genannt) ist eine API-Management-Plattform von Apigee Corp, welches von Google übernommen wurde. Mit Apigee können ganz einfach API-Proxys konfiguriert oder API-Richtlinien als visuelle Schritte im API-Ablauf programmiert werden. Der Funktionsumfang des Produktportfolios ist mit viele Funktionen wie Security, Analytics und Monitoring breit aufgestellt. Apigee bündelt Lösungen für die Branchen Health und Banking wie beispielsweise vorkonfigurierte API-Proxys für die Authentifizierung und den Schutz der Finanzkommunikation.

apigee-Bewertungs- und Funktionsmatrix
apigee-Bewertungs- und Funktionsmatrixadesso

API-Gateways

Die Gateways werden bei allen Produkten über eine Admin Console beziehungsweise Admin-API gesteuert und konfiguriert. Die API Calls werden mit Services, Routen und weitere Funktionalitäten festgelegt. Wenn die Konfiguration über die Admin-API abgeschlossen ist, kann anschließend über die Proxys auf die zuvor definierten Endpunkte zugegriffen und alle indizierten Funktionen verwirklicht werden.

Zunächst muss ein Service erstellt werden. Dieser wird dann mit einem Pfad versehen und kann mit weiteren Funktionalitäten angereichert werden, wie beispielsweise Authentifizierung, Monitoring, Caching, Logging oder Transformation. Die Funktionalitäten werden mittels Plugins hinzugefügt, welche über die jeweiligen Portale der API-Management-Lösungen heruntergeladen werden können. Bei Bedarf stehen kostenpflichtige Plugins ebenfalls zur Verfügung.

Punkteinbußen im Gateway-Vergleich muss 3scale hinnehmen, da die Monitoring- und Logging-Funktionen nicht so ausgeprägt sind wie bei den anderen Lösungen. Kong wiederum bietet hier gar keine SOAP-Integration an, weswegen keine Wertung vergeben werden kann. WSO2 und Apigee erhielten in diese Kategorie volle Punktzahl.

Monitoring und Logging

Kong Vitals ist für das Monitoring und Logging zuständig. Hier hat man die Möglichkeit, auf bestimmte Metriken beziehungsweise Logs zuzugreifen und diese auch visuell darzustellen. Standard-Metriken sind rudimentär dargestellt und müssen erweitert werden, um eine gute Observability für APIs oder Services zu erreichen. Die Logs und Metriken sind fest vorgegeben und können in Vitals nicht verändert werden. Nach Traces sucht man bei Kong vergeblich.

In Sachen Traces kann Apigee mit seinem Tracingtool sehr gut punkten. Bei der Fehlersuche und Performance-Verbesserung kann auf das Tracingtool zugegriffen werden. Nach der Aktivierung werden die Nachrichten, Verarbeitungs- und Übertragungszeiten anzeigt. So können die Fehler oder die Verarbeitungszeiten mit dem Tracing zielgerichtet optimiert werden.

Die sogenannte Transaction Map zeigt grafisch den Request- und Response-Verlauf an und welche Policies aktiviert sind. Dazu werden die Details des Request und Response Headers mit angezeigt.

Wichtige Analysetools werden von Apigee ebenfalls überzeugend angeboten. Als Administrator werden zahlreiche Reports zur Performance, Cache und Aktivitäten der Entwickler angeboten. Alle Daten können als CSV-Datei exportiert werden. Zusätzlich ist eine Anomalie-Erkennung zu den Grafiken mit implementiert. Unter Analyse können Informationen dazu gewonnen werden, mit welchen Geräten und von wo aus der Welt auf die APIs zugegriffen wurde. In den Logs werden alle Aktionen der Benutzer mit Datum aufgezeichnet, so dass ersichtlich ist, welche Änderungen wann und von wem vorgenommen wurden. Zudem bietet Apigee einen Custom Report Generator an, um eigene Reports erstellen zu können. Somit können eigene Kriterien zur Analyse der Daten festgelegt werden.

Tools zur Überwachung von APIs werden ebenfalls von 3scale angeboten, unter anderem Nutzung der APIs, täglicher Durchschnitt und Warnmeldungen. Falls diese nicht ausreichen, können externe Monitoringtools eingebunden werden.

Die Überwachung und Analyse wird bei WSO2 mit der Analysekomponente WSO2 API Manager Analytics ermöglicht. Diese Komponente bietet eine Vielzahl an statistischen Diagrammen und einen Alerting-Mechanismus für vorher festgelegte Ereignisse. Die gesammelten Metriken und Traces können dann auch an andere Drittanbieter (Grafana, Prometheus, ELK) übertragen und visualisiert werden.

Der Traffic Manager des WSO2 hilft Anwendern, den API-Verkehr zu regulieren, APIs und Anwendungen für Verbraucher auf verschiedenen Service-Levels verfügbar zu machen und APIs gegen Sicherheitsangriffe zu wappnen. Der Traffic Manager verfügt über eine dynamische Throttling-Engine zur Verarbeitung von Throttling-Richtlinien in Echtzeit, einschließlich der Ratenbegrenzung von API-Anfragen.

Developer-Portal

Developer-Portale haben bei dieser Betrachtung einen hohen Stellenwert, da sie wichtige Prozesse des Designs, Testing, Bereitstellung sowie Registrierungsverfahren eines API-Nutzers unterstützen. Die API-Management-Lösungen sollten laut Bewertungen folgende Funktionen bieten:

  • API-Design + Mock und Test
  • RBAC (Role Based Access Control), welche sich leicht und intuitiv einrichten und verändern lassen
  • API-Katalogisierung
  • Interaktive Doku, welche sich mittels Swagger2.0 oder OAS integrieren lässt
  • Möglichkeit von Kommentaren und Bewertungen der APIs
  • Diverse Templates (HTML, CSS, JS), die individuell angepasst werden können
  • Leichte Bedienbarkeit

Die Portale aller vier untersuchten Anbieter verfügen über alle wichtigen Funktionalitäten und sind leicht zu konfigurieren. Es gibt diverse Templates und Erweiterungen wie beispielsweise in Github und mit nötigen HTML-, JS- und CSS-Kenntnissen sind dem Nutzer fast keine Grenzen gesetzt, das Developer-Portal nach seinen Wünschen und Ansprüchen zu gestalten.

In Punkto API-Design, Mock und Test schwächeln hier Kong und 3scale. Letzteres überzeugt im Vergleich insgesamt weniger, so dass 3scale in diesem Vergleich in Bezug auf das Developer-Portal abgeschlagen ist.

Nur bei WSO2 haben externe Entwickler die Möglichkeit, Kommentare und Bewertungen zu den angebotenen APIs abzugeben, daher schneidet in dieser Kategorie WSO2 am besten ab.

Performance

Organisationen, die stark von APIs und Mikrodiensten abhängig sind, benötigen eine gute Verwaltung und Steuerung sowie hohe Leistung und Verfügbarkeit. Für Unternehmen, die laufend Arbeitslasten von mehr als 1.000 Transaktionen pro Sekunde auf ihren API-Endpunkten zählen, ist ein API-Management mit robusten Funktionen ohne Leistungseinbußen unabdingbar.

Im Vergleich haben die Produkte Kong, WSO2 und 3scale ähnliche Werte für den Service Antwortzeitverhalten geliefert. Die Implementierung Apigee war auf der gleich skalierten Cloud-Environment langsamer. Der GIGAOM API Management Benchmark Report (hier) belegt diese Ergebnisse im Leistungsvergleich zwischen Kong und Apigee.

Kosten-Lizenz

Der Gateway ist bei allen Anbietern Open Source, wenn man jedoch weitere Komponenten wie Developer Portal, Analytics, AI-Komponenten oder Integrationstools benötigt, agieren Unternehmen mit unterschiedlichen Preismodellen. Die Preise sind meist nicht als Liste ersichtlich und müssen bei Unternehmen für das Nutzungsszenario erfragt werden. Ein Preisindikator wird meistens durch die Anzahl der erwarteten API-Aufrufe gebildet. Produkte wie WSO2 und 3scale sind im vollen Umfang Open Source (siehe Lizenzbedingungen), sollten aber nur mit einer Open-Source-üblichen Subskription für Support und Wartung eingesetzt werden. Wegen des Umfangs der Open-Source-Produkte sind in dieser Kategorie WSO2 und 3scale führend.

Installationsanforderungen

Obwohl die vier Plattformen eine gute Cloud-Lösung anbieten, muss berücksichtigt werden, dass besonders im Finanzsektor sensible Daten nicht nach außen dringen dürfen. Daher sollte die Software On-Premises installiert werden.

Wenn es um On-Premises-Installationen geht, bieten Kong, WSO2 und 3scale leichtgewichtige Container oder Installationspakete, die einfach zu installieren und somit auch ressourcenschonend sind. Hingegen sind die Systemanforderungen von Apigee, im Vergleich zu den anderen drei Plattformen, riesig. Letzteres fordert regelrecht eine Architektur mit mehreren Knoten, die miteinander kommunizieren sollen. Näheres zu dessen Systemanforderungen können unter www.docs.apigee.com (hier) gefunden werden.

In dieser Kategorie schneidet Apigee eindeutig schlechter ab, da die On-Premises-Installation sehr aufwändig ist.

Fazit

Als eine API-Management-Plattform ist Googles Apigee zurecht eine der führenden Plattformen auf dem Markt. Es überzeugt mit seiner einfachen Bedienung, Nutzerfreundlichkeit und vielseitigen Funktionen. Auch die Hilfsmöglichkeiten durch Dokumentation, Tutorials und Community sind unschlagbar. So geschieht das Lernen der Bedienung recht schnell.

Ein Minuspunkt ist die aufwändige Installation und der Hunger nach Ressourcen, falls es erwünscht ist, Apigee lokal zu installieren – im Vergleich zu den anderen API-Management-Plattformen.

Für ein Unternehmen, das von einer API-Management-Lösung in der Cloud Gebrauch machen möchte, ist Apigee hingegen zu empfehlen. Mit der Nutzung dieses Tools ist jeder – technisch gesehen – auf der sicheren Seite, da die Plattform von Google verwaltet wird.

Kong überzeugt besonders mit dem Open-Source-Gateway, der sehr leichtgewichtig, schnell einsatzbereit und skalierbar ist. Das Gateway kann individuell angepasst und eingerichtet werden. Die Performance ist überdurchschnittlich gut, da das Gateway auf NGNIX aufgesetzt ist. Die Enterprise-Komponenten haben zwar gut abgeschnitten, sind aber lizenz- und damit auch kostenpflichtig.

Die API-Management-Plattform von Red Hat ist wegen einiger Mängel des Developer-Portals in diesem Vergleich schwächer bewertet, jedoch sind die Unterschiede zu den anderen Plattformen nicht gravierend. Funktionalitäten wie Monitoring, Logging und Erweiterbarkeit werden von den Vergleichs-Lösungen besser umgesetzt,

Der-WSO2-API-Manager deckt einen großen Funktionsumfang ab und kann individuell erweitert werden. Die wichtigsten Kriterien, die wir vor der Evaluation aufgestellt haben, wurden im vollen Umfang erfüllt. Zudem ist auch positiv, dass WSO2 zusätzliche Produkte anbietet, wie beispielsweise den Identity Server und den ESB Produkt Enterprise Integrator. Auch die Unterstützung von SOAP, GraphQL und Websocket APIs ist positiv zu vermerken. Das Produkt selbst und die Informationsquellen sind zwar komplex aufgebaut, aber nach einer längeren Einarbeitungszeit wird der Umgang intuitiver. Auch andere Produkte aus dem WSO2-Portfolio wie Enterprise Integrator sind Open Source. Insgesamt konnte WSO2 mit seinen Funktionalitäten überzeugen und ist in diesem Vergleich knapp führend.

Letztendlich aber gibt es sicherlich viele Faktoren, die beachtet werden müssen, um für sich eine passende API-Management-Plattform zu finden. Dieser Vergleich kann lediglich eine Entscheidungshilfe sein.Hüseyin Öztas, Paul Lemech und Volkan Basaran, adesso

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert