freshidea - Fotolia

Management von API-Portfolios: Das sollte man beachten

Anwendungen werden heute mit API-Portfolios gebaut. Aufbau und Management dieser Portfolios ist allerdings mit mehreren Herausforderungen verbunden.

In einer Entwicklungsumgebung, die von Services auf Microservices und von Rechenzentren auf Hybrid Clouds umstellt, ist es klar, dass Anwendungen auf Basis von wiederverwendbaren und agilen Komponenten gebaut und in virtuellen Ressourcen gehostet werden müssen. Kurz gesagt: Diese Anwendungen werden mit Hilfe von API-Portfolios entwickelt. Diese Tatsache macht das Management Ihres API-Inventars zum entscheidenden Erfolgs- und Effizienzfaktor für Entwicklung und Compliance. Es ist deshalb wichtig, dass Treibern für das API-Management Vorrang eingeräumt wird; Entwicklung, Application Lifecycle Management (ALM) und Compliance-Ziele getrennt gehalten werden; und die Implementierung integriert wird, um sicherzustellen, dass alle API-Standpunkte zusammenlaufen.

Mehr als die Hälfte der Unternehmen berichten, dass zumindest ein Teil ihrer Anwendungsdienste – egal ob im Haus entwickelt oder extern – unkontrolliert ist. Fast alle sagen, dass selbst dort, wo API-Kontrollen eingeführt wurden, sie allenfalls einen Teil ihrer IT-Ziele unterstützen. Es liegt auf der Hand, dass die Probleme eines Unternehmens mit dem API-Management vor allem daran liegen, dass sie ihre Ziele nicht richtig setzen. APIs gehen grundsätzlich in drei verschiedene organisatorische Richtungen: Entwicklung, Applikationsbetrieb und ALM sowie interne Audits und Compliance. All diese Ziele müssen explizit gemacht und unterstützt werden.

Wer ist verantwortlich?

Die Entwicklungsabteilung baut die APIs und in den meisten Fällen ist sie auch der Teil der Organisation, der die Services von Drittanbietern – repräsentiert durch APIs – erwirbt. Es ist bequem, wenn die Entwicklungsabteilung das ausschließliche Recht hat, das API-Portfolio des Unternehmens zu bauen. Die erste Voraussetzung für das Portfolio ist dabei, dass es die benötigten Eigenschaften der APIs liefert, zum Beispiel Sequenz aufrufen, Parameter, Abhängigkeiten von anderen Services und Datenbanken, Stateful und Stateless Behavior und die Ausführungsanforderungen.

Ein Fehler, den viele Unternehmen beim API-Management machen, ist, dass es operativen Bereichen erlaubt wird, Cloud-APIs direkt in das Portfolio zu integrieren. Dabei sollte bedacht werden: APIs sind Entwicklungsressourcen, und bei diesen muss man immer davon ausgehen, dass sie das Anwendungsdesign beeinflussen – auch für spätere Entwicklungen. Es ist daher wichtig, dass alle Drittanbieter-APIs, einschließlich der Cloud-APIs, von Entwicklern eingeführt werden, die diesen Prozess verstehen und welche die API-Eigenschaften richtig definieren können.

Die operativen Verantwortlichen für den Rechenzentrumsbetrieb sollten für die Auswirkungen des Application Lifecycle Managements jeder Anwendung zuständig sein – und damit auch für die APIs, die diese benutzen. Diese Anwendergruppe sollte damit Schluss machen, APIs ungeprüft in den Bestand aufzunehmen und die Dienste für den produktiven Einsatz ohne Kontrolle freizugegeben. Wenn mehrere Versionen einer API bedingt durch die Evolution einer Software erstellt wurden, ist das operative Team zuständig, die Versionen zu trennen und zu kontrollieren, wenn sie verwendet werden können.

Compliance und internes Auditing verantworten sowohl die Inbetriebnahme von neuen APIs als auch deren Lifecycle Management. Deshalb müssen sie beim Aufbau von API-Portfolios mit beiden zusammenarbeiten – dem Entwicklungs- und dem operativen Personal. Eine wichtige Funktion, die diese Gruppe ausüben muss, ist die Fähigkeit, eine API oder einen Service im Falle eines Sicherheitsproblems aus dem produktiven Zustand herauszulösen. Dieser Prozess sollte sowohl in Entwicklungs- als auch ALM-Prozesse integriert werden, um sicherzustellen, dass jeder, der eine verdächtige API nutzt, auf den Status aufmerksam gemacht wird.

Diese drei Treiber für das API-Management sind wahrscheinlich in jedem großen Unternehmen vorhanden. In den meisten Fällen wird allerdings einer von ihnen dominieren. Wenn Sie in Ihrem Betrieb eine Menge an selbst entwickelter Software einsetzen, dann sollten Sie nach API-Management-Tools und Konzepten Ausschau halten, die auf Entwickler zugeschnitten sind. In den meisten Unternehmen werden aber operativ-gesteuerte API-Management-Strategien gut funktionieren, selbst wenn eine große Anzahl an APIs von Drittanbietern eingeführt wurde. Stark regulierte Unternehmen müssen sich auf interne Audit- und Compliance-Fähigkeiten konzentrieren.

Die Werkzeuge für den Aufbau von API-Portfolios

Die große Herausforderung, damit alles funktioniert, ist der Status der Werkzeuge. Das moderne API-Management hat sich aus der Service-Bus-Nutzung entwickelt. Anbieter wie Tibco (Mashery) und MuleSoft (AnyPoint) haben die drei erwähnten Ziele umgesetzt und arbeiten mit SOA und RESTful APIs. Deren Verankerung auf Entwicklerseite bedeutet allerdings, dass sie für viele operative Gruppen und interne Audit-Gruppen schwierig zu nutzen sind. Für Unternehmen, die keinen Service-Bus planen, können sie zudem ungeeignet sein.

Operative und interne Audit-Mitarbeiter bevorzugen in der Regel Cloud-basiertes API-Management, wie es von Dienstleistern wie Microsoft, Oracle, Hewlett Packard Enterprise und IBM angeboten wird. Bei diesen Services ist die ALM-Integration Bestandteil des Pakets und der Service-Bus-Bias ist weniger sichtbar. Apigee ist beliebt bei Benutzern, die auf Governance wert legen und für breite API-Management-Aufgaben geeignet – insbesondere solche, die verschiedene Architekturen (Java, .NET) überspannen.

Sogar Entwicklungsabteilungen, die nicht vollständig an einen Service-Bus gebunden sind, können diese Tools der IT-Anbieter geeignet finden. Werkzeuge für aktuelle Microservice- und Cloud-Umgebungen wie WSO2’s API-Manager sind für das Multirole-Portfolio-Management gut geeignet, vor allem, wenn der Rest ihres breiten Anwendungs- und Middleware-Portfolios berücksichtigt wird.

Mehr zum Thema API-Management:

Offene APIs sind der Schlüssel für eine erfolgreiche Collaboration-Plattform.

Wie sich ein JSON-Framework per API mit Apple iOS integrieren lässt.

Warum sichere APIs zur obersten Priorität werden müssen.

AWS-Programmierschnittstellen in Amazon API Gateway absichern.

Wie sich REST API-Endpunkte für Cloud-Anwendungen absichern lassen.

In der Cloud hat Amazon mit API Gateway den großen Auftritt, aber dieses Tool ist weniger umfangreich als andere Tools und in erster Linie dann nützlich, wenn andere API-Management-Tools um den Cloud-Teil einer Anwendung erweitert werden sollen. Die Angebote von AWS ergänzen API Gateway, aber das Produkt-Set eignet sich aufgrund des Lizenzmodells am besten für Public-Cloud-Nutzer.

Die Tatsache, dass verschiedene Bereiche verschiedene Werkzeuge bevorzugen, kann zu einem ungünstigen und oft unabsichtlichen Verlust der Fokussierung und Konsistenz beim Management führen. Wo immer möglich, ist der beste Ansatz, ein API-Portfolio zu bauen, nur ein Produkt oder Toolset zu verwenden und jeder Abteilung eine andere Sicht oder Rolle anzubieten. Dies lässt sich einfacher bewerkstelligen, wenn man die Anzahl der Werkzeuge minimiert. Dazu muss sichergestellt sein, dass alle Werkzeuge, die man auswählt, über die verschiedenen Bereitstellungsoptionen hinweg funktionieren, die man vorgeschlagen hat. Außerdem sollten die Tools die Evolution der Anwendungen unterstützen, die ein Unternehmen für die Zukunft erwartet.

Der gleiche Ansatz wird für den gesamten API-Building-Prozess benötigt. Eine gute Strategie sollte Fragen beantworten können, wo man sich gerade befindet, wohin man geht, und wie man dorthin kommt – und das alles, während man die Eigenschaften bereitstellt, die für die drei kritischen API-Management-Rollen benötigt werden. Das API-Management sollte in Bezug auf die API-Evolution geplant werden, was ein besseres Ergebnis mit weniger Aufwand und Risiko erzeugt.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+ und Facebook

Erfahren Sie mehr über Cloud Computing

ComputerWeekly.de
Close