【日本語訳ブログ】Kong Gateway 2.7 Is Here and Ready!

本日、Kong Gatewayの注目すべき進歩、バージョンである2.7の一般提供を発表できることをうれしく思います。 KongGatewayとKongGateway OSSバージョン2.7の両方のダウンロードは、皆さまのお気に入りに環境で利用できます。

Kong Gatewayのこのリリースには、3つの主要な領域に対処するための基盤として機能する、いくつかの重要な機能が含まれています。

• スケール：APIコンシューマのグループを大規模に管理し、これらのグループを「API tiers」として公開します。
• セキュリティ：（ゲートウェイ操作とプラグイン全体で使用される）シークレットを安全に保存して、非常に重要なキーを不正使用から保護します。
• コンプライアンス：組織がFIPS (Federal Information Processing Standard(s) 米連邦情報処理標準) コンプライアンスを達成するために、将来性のあるテクノロジとしてKongを活用できるようにします。

Kong Gateway 2.7のこのリリースでは、これら3つの領域すべてでAPIゲートウェイを大幅に前進させる新機能が導入されています。この投稿の残りの部分では、これらの各領域について説明し、このKong Gateway2.7リリースの新機能について説明します。また、最も人気のあるプラグインであるKong OpenID Connect（OIDC）プラグインを構成するためにKong ManagerUIに導入された新しい生産性の向上についても説明します。

スケール：APIコンシューマグループ（エンタープライズ）

多くのユーザは、APIを保護するためにKong Gatewayをデプロイしています。保護には、認証、認可、レートリミット、IP範囲制限、その他のメカニズムなど、さまざまな形態があります。このような保護をグループベースで実施する機能は、私たちが求められている一貫性のある要求の1つです。

たとえば、開発者は、「ゴールド」、「シルバー」、「ブロンズ」など、それぞれ異なるレートリミットを持つユーザ（または「コンシューマ」）の「tiers（層）」を作成したい場合があります。これは、特定の層の各コンシューマに特定のレートリミット構成をアタッチすることにより、Kong Gatewayで可能ではありましたが、このアプローチはその機能に制約がありました。

Kong Gateway 2.7から、グループにコンシューマを、または「コンシューマグループ」の正式な概念が導入されました。これで、コンシューマを「ゴールド層」グループまたは「シルバー層」グループに割り当て、それらの各層に「1秒あたり10リクエスト」などのレートリミット構成を与えることができます。これによりコンシューマのコレクション/グループにレート制限を効果的に適用できるようにします。

コンシューマを複数のグループに割り当てることもできます。例えばQRコード生成サービスの場合などに「ゴールドは1秒あたり10リクエスト」（”gold_limited_light_cpu”）のようなグループに、OCRの場合などは「シルバーは1分あたり2リクエスト」のようなグループ（”gold_limited_heavy_cpu”）にユーザを割り当てることができます。 このようにAPIをグループに分けて使用できます。下の図を確認してください。

図1：レートリミットアドバンストプラグインのコンシューマグループ

この新機能は、関連するコンシューマを1つの場所に集中化することで構成を簡素化し、データベースまたは宣言型構成に関連するコンシューマグループを作成することでKongGatewayのパフォーマンスを向上させます。 詳細については、コンシューマグループの例をご覧ください。 レートリミットの高度なプラグインインスタンスは、コンシューマグループの方向性の最初のステップです。 将来的には、この機能を他のプラグインにも拡張する予定ですのでご期待ください。

セキュリティ：シークレットの管理（エンタープライズ）

シークレットとは、Kong Gatewayの操作またはプラグイン構成の認証と認可のための一連の資格情報として使用するものです。シークレットの例としては、ユーザー名/パスワード、APIトークン、データベースクレデンシャル、秘密鍵などがあります。オペレータの観点からは、このような機密情報は不正使用から保護し、必要に応じて暗号化された形式で保存する必要があります。 Kong Gateway 2.7では、この分野で次のようないくつかの追加を行いました。

• キーリングとデータ暗号化メカニズムを拡張して、より多くのプラグインとそれに関連する構成（シークレットを含む場合があります）が、保存されているデータのメカニズムの暗号化を利用できるようにしました。言い換えれば、より多くのプラグインがその秘密を保護することができます。
• Kongのハイブリッドモードでデータプレーンの保存時に “config.cache.json.gz” コンフィグレーションキャッシュを暗号化する機能。”data_plane_config_cache_mode” と呼ばれるkong.confの新しい設定を確認してください。これを「暗号化」に設定すると、構成キャッシュが安全に保存され、オプトインできます。

コンプライアンス：FIPS (Federal Information Processing Standard(s) 米連邦情報処理標準) コンプライアンスへの道（エンタープライズ）

KongGatewayの暗号化基盤の置き換えを開始しました。ゲートウェイ（OpenSSL）のプライマリライブラリをFIPS 140-2検証済みのライブラリ（BoringCrypto、別名BoringSSL）と交換することにより、エンタープライズ専用ビルドとしての配布が新年に開始されます。これはFIPS140-2に準拠するためのステップであり、さらに多くのことが計画されています。

そしてもう一つの追加！（エンタープライズ）

OpenID Connectの使用を開始するために必要な最小限の構成セットを特定することは、特にプロトコルに不慣れな開発者にとっては、非常に困難な作業になる可能性があります。 バージョン2.7では、Kong Managerは、Kong Gatewayを使用してOIDCプラグインを構成するために、より合理化され組織化されたアプローチを提供するようになりました。 OIDCをセットアップして実行するための最も一般的な方法を紹介することで（必要に応じてカスタム構成を追加する機能もあります）IDプロバイダを使用してシングルサインオンをより迅速に構築できます。 OpenID ConnectとKongのOIDCプラグインの操作の詳細については、こちらのドキュメントをご覧ください。

図2：新しく改善されたOIDCプラグイン構成

さらなる新しいリリース

• SNIに基づくTLSトラフィックのルーティングを新しくサポート：SNIプロキシとも呼ばれます
• Kong GatewayがDebian 10および11で利用可能になりました
• OpenID Connectを使用してKong Managerを保護する場合、管理者は最初のログイン時に作成され、グループメンバーシップに基づいてロールが割り当てられます。
• このリリースでは、プラグインイテレータを改善し、Kongコアコンテキストの読み取り/書き込みを簡素化し、DBなしの構成をリロードする際のレイテンシを低減することで、パフォーマンス改善に取り組みました。

Kongプラグインの機能、修正、および更新の完全なリストは、Kong Gatewayではこちら、およびKong Gateway OSSではこちらのCHANGELOGで入手できます。

Kong Gateway 2.7は、フレッシュ/クリーンインストール用に無料でダウンロードできます。 Kong Nation（ディスカッションボード）でご意見をお聞かせください。 Kong Gatewayがすでにインストールされている場合は、アップグレードガイドに従って2.7にアップグレードできます。このリリースの詳細については、次回のウェビナーにご参加ください。

新しいKong Gatewayのリリースは、Kongの従業員、顧客、およびコミュニティメンバーからの宇宙的な量のコラボレーションによってのみ可能になります。このリリースを成功させるための積極的なサポートは、大いに感謝するに値します！

記事参照：2021年12月16日
Paul Fischer
© Kong Inc. 2021
Kong Gateway 2.7 Is Here and Ready!
Note: Shane Connellyもこの記事に貢献しました

Share Post: