概要
Kong Gateway Enterpriseは、最も高速で、最も採用されているAPIゲートウェイであるKong Gatewayを拡張する、スケーラブルで安全かつ柔軟なAPIマネジメントソリューションです。Enterpriseプラグイン、高度なセキュリティ機能、GUI、24時間年中無休のサポートを追加します。ハイブリッドクラウドとマルチクラウドのアーキテクチャにわたるアプリケーション間の接続を管理、保護、監視することで、クラウドへの移行を加速し、より迅速な拡張と開発者の生産性向上を支援する唯一のソリューションです。
Enterpriseプラグイン
Kong Gateway Enterprise は、すぐに利用可能の 400 を超える Enterprise プラグインとコミュニティプラグインへのアクセスを提供します。 これには、Rate Limiting Advanced プラグインなどの OSS プラグインの特別バージョンが含まれ、コンシューマグループの使用やデータベース固有のストラテジなどの追加機能を備えています。また、OpenID Connect を使用した認証といった Enterprise 特別機能も提供しており、これにより ID プロバイダー(IdP)の統合を標準化できます。
Kong Gateway Enterpriseは、gRPC と REST、WebSocketをネイティブにサポートし、Apollo GraphQLサーバーおよび Apache Kafkaサービスと統合します。これらのプラグインを活用すると、次のような高度な接続機能とソリューションをKong Gatewayに提供できます。
- OpenID Connect (OIDC)
- Kafka を使用したイベント ゲートウェイ
- GraphQL
- Mocking
- 高度なデータ変換
- OPA Policy駆動型トラフィック管理
- API プロダクトティア プラグインを使い始める →
ロールベースのアクセス制御 (RBAC)
Kong Gateway Enterpriseでは、組み込みのロールベースのアクセス制御 (RBAC) を使用して、ユーザー、ロール、および権限を構成できます。RBAC を使用すると、開発者のオンボーディングを効率化し、 Admin APIまたはKong Managerを使用してきめ細かいセキュリティおよびトラフィック ポリシーを作成して適用できます。
シークレット管理
Kong Gateway Enterprise は、次のバックエンドを使用してすぐに使用できるシークレット管理を提供します。
シークレット管理を構成するには、Kong Gateway はバックエンドプロバイダーでキーを使用し、バックエンドプロバイダーで認証し、バックエンドを使用してアプリケーションシークレット、機密データ、パスワード、キー、証明書、トークン、およびその他の項目を一元管理および保存します。
キーリングとデータ暗号化
キーリングとデータ暗号化機能は、保存中の機密データフィールドを透過的かつ対称的に暗号化できるようにします。有効にすると、Kong Gatewayはデータベースへの書き込み直前、またはデータベースからの読み取り直後にデータを暗号化・復号化します。機密フィールドを含むAdmin APIによって生成された応答データは引き続きプレーンテキストとして表示され、機密フィールドへのアクセスを必要とするKong Gatewayのランタイム要素(プラグインなど)は、追加の構成を必要とせずに透過的にアクセスします。
Kong Gatewayを使用すると、コンシューマのシークレットなどの機密データフィールドを、暗号化された形式でデータベース内に保存できます。 これにより、Kong Gatewayクラスタでの保存時の暗号化セキュリティ制御を実現します。
監査ログ
Kong Gateway は Admin API の詳細なログ取得を実現します。コンプライアンスへの取り組みのため、およびフォレンジック調査中に貴重なデータポイントを提供するために、クラスタ構成に対して行われた変更をその有効期間全体にわたって詳細に追跡できます。生成された監査ログ証跡はワークスペースおよび RBAC に対応しているため、Kong Gateway のオペレータはクラスタ内で発生した変更を詳細かつ広範に調べることができます。
FIPS のサポート
Kong Gateway Enterpriseは自己管理型のFIPS140-2 ゲートウェイパッケージを備えており、厳格なコンプライアンスとセキュリティを考慮する規制の厳しい業界に最適です。 通常、米国連邦政府機関およびその請負業者と連携する場合には、この規格に準拠する必要があります。
ワークスペース
ワークスペースは、Kong Gatewayエンティティをセグメント化またはグループ化する方法を提供します。ワークスペース内のエンティティは、他のワークスペース内のエンティティから分離されます。
Kong Gateway (OSS)は、1つのワークスペースに制限されています。Kong Gateway Enterpriseを使用すると、複数のワークスペースを活用して、開発者がプロジェクト間を簡単に移行したり、異なるアップストリームに属するサービスとルートを分離したりできるようになります。
動的プラグイン順序付け
動的プラグイン順序付けでは、各プラグインの ordering
フィールドを使用して、任意の Kong Gateway プラグインの優先順位を上書きできます。
これにより、access
フェーズ中のプラグインの順序が決まり、
プラグイン間の 動的な 依存関係を作成できます。
イベントフック
イベントフックは Kong Gateway からのアウトバウンドコールです。イベントフックを使用すると、Kong Gateway はターゲットのサービスやリソースと通信して、イベントがトリガーされたことをターゲットに知らせます。Kong Gateway でイベントがトリガーされると、そのイベントに関する情報を含む URL が呼び出されます。イベントフックは、管理インターフェースを使用してワーカーイベントを購読するための構成レイヤーを追加します。
Kong Gatewayでは、これらのコールバックは次のいずれかのハンドラを使用して定義できます。
- webhook
- webhook-custom
- ログ
- lambda
Admin APIを通じてイベントフックを構成できます。
コンシューマグループ
コンシューマグループを使用すると、API エコシステム内のコンシューマ(ユーザーまたはアプリケーション)を組織化して分類できます。コンシューマをグループ化すると、コンシューマを個別に管理する必要がなくなり、構成を管理するためのスケーラブルで効率的なアプローチが実現できます。
例えば、コンシューマグループを使用して流量制限の階層を定義し、各コンシューマを個別に管理する代わりに、コンシューマのサブセットに適用することができます。
コントロールプレーン(CP)が停止した場合に新しいデータプレーン(DP)をプロビジョニング
バージョン3.2以降、Kong Gatewayを設定して、コントロールプレーン(CP)が停止した場合に新しいデータプレーン(DP)を構成するのをサポートできます。詳細については、「コントロールプレーンの停止時に新しいデータプレーンを管理する方法」ドキュメントまたはコントロールプレーン(CP)の停止管理に関するFAQを参照してください。
Dockerコンテナイメージの署名
Kong Gateway Enterprise 3.5.0.2以降では、Dockerコンテナイメージは署名されており、Docker Hubリポジトリに公開された署名の付いたcosign
を使用して検証できます。詳細については、署名されたKongイメージの署名の検証ドキュメントをお読みください。
Dockerコンテナイメージのビルドの来歴
KongはDockerコンテナイメージのビルドの由来を生成します。これは、Docker Hubリポジトリに公開された来歴証明とcosign
/ slsa-verifier
を使用して検証できます。詳細については、署名済みのKongイメージのビルド来歴証明を検証ドキュメントをご覧ください。
その他の情報
Enterprise 専用プラグインの詳細については、 プラグインの互換性を参照してください。