Как связать админку на Angular с множеством сторонних сервисов?

Question

[igorkovalenko]

Добрый день.
Имеем фронт на ангулар.
Имеем развернутые приложения: proxmox (управление сервером), billmanager(управление оплатами и поддержкой), zabbix(мониторинг серверов) итд..

Вопрос собственно в построении связи между этим всем. Мне кажется, что логично должна быть API прокладка (к примеру django, laravel) с которой будет общаться фронт. А эта прокладка уже будет распределять запросы на proxmox, zabbix, billmanager итд… Либо эта прокладка не нужна? И связывать фронт на ангулар напрямую со всеми сервисами (proxmox, zabbix итд)?

Простой пример. Если пользователь регистрируется на сайте (Angular) он должен быть зарегистрирован одновременно и в zabbix, proxmox, billmanager и еще с пяток приложений которые нужны для предоставления услуги хостинга.

И тут есть два варианта (может больше).
1) Ангулар будет по очереди делать запросы к каждому приложению и регистрировать там аккаунт пользователю. Всего 7 запросов
2) Ангулар делает один запрос к какому-то промежуточному API (к примеру на laravel). А это промежуточное API уже регистрирует аккаунты во всех остальных API.

Для наглядности прикреплю изображение со схемой.



Возможно есть третий вариант, о котором я не знаю)

Буду признателен за советы.

Answer 1

[Иван Шумов]

Лучше всегда иметь gateway хотябы для безопасности и управления доступами. А при необходимости для асинхронных или параллельных операций и много чего ещё

Comments

[igorkovalenko]

Спасибо за ответ. Т.Е. Вы бы поступали по сценарию с промежуточными API?

[Иван Шумов]

igorkovalenko, конечно. Надо же понимать что пользовательские операции куда проще чем операции над API. "Дайте мне 5 виртуалок" и "создать сеть, интерфейсы, запустить виртуальные машины из нужных образов" это разные процессы)

[Иван Шумов]

igorkovalenko, Для примера могу посоветовать посмотреть на панели кладов и сравнить их с API

[igorkovalenko]

Полностью согласен с вами. Еще из плюсов, которые бы я выделил: сторонние сервисы (prox, bill итд) можно будет закрыть в мир. Сделать цепочки запросов, добавить фоновые задачи..

Но тут еще один вопрос. Возможно ответ на поверхности, но все же задам,
Стоит ли регистрировать учетные записи пользователя во всех внутренних сервисах, либо действовать единой учетной записью администратора при обращению gateway к сторонним сервисам. П.С. каждый сервис позволяет регистрировать пользователей.

[Иван Шумов]

igorkovalenko, оооо, ответ лежит на поверхности, но я сам к нему долго приходил. Важно понять кто в вашей системе выполняет операции над какой частью системы. Если все управление API закрыто через гейтвей то не нужно. Если нет, то придется. Лично мне больше импонирует наличие централизованного Identity через Auth0 или Keycloak и с этим уже проще решать такие вопросы

[igorkovalenko]

Иван Шумов, Ага, т.е. условно, если юзер регистрирует контейнер через админку, наш gateway под учеткой админа идет в proxmox, делает контейнер и все данные о контейнере которые вернул proxmox мы сохраняем в БД gateway. Правильно? Но тут есть обратная сторона медали. По сути если произойдет сбой (или вмешательство) gateway сможет манипулировать любым контейнером от имени админа. А если бы был отдельный пользователь в proxmox для каждой учетной записи, нанести вред он бы смог только в пределах доступа этой учетки.

Так же к примеру billmanager, который должен рассылать письма (о задолженности итд) не будет знать кому отправлять письмо, если учетная запись будет единая для всех. Либо перенос системы оповещений на gateway, но это уже теряет смысл в сервисе.

Я думаю, что вариант с отдельной учеткой в сервисах для каждого пользователя будет самым правильным, нужно узнать только юридическую сторону. Я же получается регистрирую пользователя в сторонних приложениях без его согласия. Думаю это надо озвучить в соглашении.

Учитывая вышеизложенное вы согласны с тем, что нужна отдельная учетка?

[Иван Шумов]

igorkovalenko, вместо согласия я приведу пример близкий к реальности. У нас есть девопс, который пишет скрипт на терраформе и запускает его. Кто создал инфраструктуру?

[igorkovalenko]

Иван Шумов, Боюсь моих технических знаний не хватит, что бы правильно ответить (не сталкивался с терраформ).

[Иван Шумов]

igorkovalenko, тут не надо таких знаний) кто выполняет команды тот и прав. Если человек сидит и настраивает сервер ручками то он выполнил операцию, если это делал робот то соответственно человек не при чем. НО! надо понимать что человек инициировалась процесс.

А вообще с учетом изначально задачи обязательно познакомиться с такими инструментами как terraform, ansible и т.п. вещами хотябы факультативно

[igorkovalenko]

Иван Шумов, Теперь понял. Спасибо огромное. Ансибл используем на проекте, терраформ пока нет.

Answer 2

[krakaka]

второй вариант на картинке плох тем, что нестабильное интернет соединение на клиенте не гарантирует атомарность операции, то есть на три сервиса запрос произойдет, а на 4-ом соединение упадет.

мне кажется, и в первом и во втором случае у вас появляется проблема с атомарностью операции, с транзакционностью, и вам наверное нужно посмотреть на saga паттерн из микросервисной архитектуры, но я на практике его не реализовывал

Comments

[igorkovalenko]

Спасибо за ответ, обязательно посмотрю в сторону saga

Answer 3

[igorkovalenko]

Всем спасибо за ответы.
Исходя из полученных рекомендаций (не только на этом ресурсе) я пришел к выводу, что Вариант 1 (с API Gateway) и есть единственный правильный.

Однако возник не менее важный вопрос. Как быть с авторизацией пользователей?
Думаю было бы логично в том же proxmox и тем более в billmanager автоматически создавать нового пользователя при регистрации нового аккаунта. Иначе как billmanager будет отправлять email уведомления о задолженности, а proxmox будет вести логи под одной учеткой администратора, что усложнит поиск ошибок.

И если остановиться на том, что все таки необходимо создавать отдельную учетную запись в некоторых сервисах, как быть с паролями? Я не смогу использовать пароль, который пользователь задал при регистрации, так как он хранится в зашифрованном виде. С emailом проблем нет. Соответственно нужен новый пароль. И тут снова несколько вариантов развития событий:

1) Генерировать случайный пароль для каждого сервиса, сохранять его в бд и регистрировать учетные записи с этим паролем. Однако для возможности аутентификации нам придется хранить пароль в бд в открытом виде, что не особо хорошая идея.
2) Использовать один универсальный пароль для всех учетных записей. Есть ли в этом варианте какие-то слабые стороны?
3) Использование LDAP? Но не уверен, что есть решение для prox, billmanager и laravel которое не требует больших доработако для решения задачи
Уверен, что с этой задачей уже сталкивались люди на ресурсе, буду рад если подскажете best practice в этом деле.