Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Se você usa o Amazon API Gateway e deseja migrar sua carga de trabalho para o Azure, este guia ajuda a entender os mapeamentos de recursos, as práticas recomendadas e o processo de migração. No Azure, o Gerenciamento de API do Azure fornece recursos de gateway de API. Esses recursos incluem roteamento de solicitação e resposta de API, autorização e controle de acesso, monitoramento e governança e gerenciamento de versão de API.
O que você vai realizar
Neste guia, você:
- Avalie sua implantação atual do Amazon API Gateway.
- Mapeie os recursos do Amazon API Gateway para os recursos do Azure API Management.
- Prepare seus ambientes Amazon e Azure para uma migração bem-sucedida.
- Planeje e execute uma migração com o mínimo de tempo de inatividade.
- Valide se a carga de trabalho migrada atende aos requisitos de desempenho e confiabilidade.
- Saiba como iterar na arquitetura para aprimoramentos futuros.
Cenário de exemplo: sistema de registros de saúde de múltiplos back-end
Uma organização de serviços de saúde usa o Amazon API Gateway para acessar um sistema de registros de saúde que tem vários back-ends. Este cenário de exemplo apresenta uma configuração comum do Amazon API Gateway em um ambiente da Amazon Web Services (AWS). Ele mostra integrações típicas com serviços relacionados da Amazon e vários back-ends de API comuns, incluindo funções do Lambda por proxy e APIs HTTP ou REST.
Esta arquitetura inclui:
Autenticação de usuários via Amazon Cognito com JSON Web Tokens (JWTs).
Filtragem de segurança de solicitações por meio do Amazon Web Application Firewall (WAF) antes que elas cheguem ao Amazon API Gateway.
Amazon API Gateway configurado com um domínio personalizado por meio de um certificado armazenado no Certificate Manager.
Monitoramento via Amazon CloudWatch.
Conectividade privada por meio de endpoints da Amazon Virtual Private Cloud (VPC) para três sub-redes privadas.
Serviços de back-end, incluindo:
- Lambda para acionar atualizações de registros de pacientes.
- Amazon Elastic Compute Cloud (EC2), que hospeda serviços legados por trás de um balanceador de carga de aplicativos.
- Amazon Elastic Kubernetes Service (EKS) por trás de um balanceador de carga de aplicação para processamento de dados via microsserviços.
Aqui está um exemplo de arquitetura da carga de trabalho migrada para o Azure. Nesse cenário, o Gerenciamento de API do Azure é implantado na camada Premium.
Esta arquitetura inclui:
Acesso seguro por meio do Azure Application Gateway com o firewall de aplicativo Web (WAF). O firewall encaminha solicitações com um JWT adicionado para autenticação.
Gerenciamento de API do Azure configurado dentro de uma rede virtual. Ele utiliza o Microsoft Entra ID para validar JWTs.
Um balanceador de carga interno que roteia o tráfego para o Serviço Kubernetes do Azure (AKS) para back-ends baseados em microsserviços.
Ligações seguras através de endpoints privados para aplicações do Azure Functions e backends Microsoft Foundry.
Monitoramento tratado pelo Azure Monitor.
Certificados e um domínio gerido através do Azure Key Vault e de uma zona DNS do Azure. Um certificado também é configurado no Application Gateway para terminação TLS.
Visão geral da arquitetura
Este exemplo de arquitetura mostra recursos comuns no Amazon API Gateway e no Azure API Management. Esses recursos incluem isolamento de rede, gerenciamento de tráfego e roteamento para várias APIs de back-end, autorização e controle de acesso e monitoramento.
Ambas as arquiteturas oferecem funcionalidade comparável:
Implantação de alta disponibilidade: os recursos são distribuídos em várias zonas de disponibilidade em uma região para tolerância a falhas, com opções para maior disponibilidade por implantação em várias regiões.
Domínios e certificados personalizados: As plataformas suportam nomes de domínio personalizados com terminação TLS/SSL para comunicação API segura.
Isolamento de rede: o tráfego para APIs de back-end é isolado em uma rede virtual.
Filtragem de tráfego: um firewall de aplicativo Web na borda filtra e ajuda a proteger o tráfego de entrada.
Suporte à carga de trabalho da API: os gateways atuam como proxies para solicitações para diversos sistemas de back-end, incluindo serviços de computação em nuvem, microsserviços baseados em Kubernetes e back-ends personalizados.
Monitoramento de API: os serviços de plataforma integrados registram a atividade da API e expõem as métricas de serviço.
Modulação de API: os serviços suportam cache de resposta, cotas de solicitação e limites de taxa, configuração de compartilhamento de recursos entre origens (CORS) e transformações de solicitação/resposta.
Autenticação e autorização de API: os gateways suportam vários métodos de acesso, incluindo chaves, acesso baseado em token OAuth e políticas baseadas em API.
Passo 1: Avaliação
Antes de migrar do Amazon API Gateway para o Azure API Management, avalie os recursos de infraestrutura, as cargas de trabalho e as configurações de API existentes. Identificar capacidades para mapear ou substituir. Essa avaliação ajuda a garantir uma migração suave e mantém a funcionalidade de seus aplicativos.
Observação
Os recursos do Amazon API Gateway podem variar dependendo se você expõe suas APIs como uma API REST ou um tipo de produto HTTP API. No Gerenciamento de API do Azure, os recursos variam por camada de serviço, não por designação de tipo de API.
Avaliar os recursos da infraestrutura
| Capacidade do Amazon API Gateway | Equivalente ao Gerenciamento de API do Azure | Abordagem da migração |
|---|---|---|
| Pontos finais privados VPC |
Implantação do Gerenciamento de API do Azure em uma rede virtual interna Integração do Gerenciamento de API com uma rede virtual privada para conexões de saída |
Configure sub-redes dedicadas para backends numa rede virtual onde o serviço de Gerenciamento de API do Azure é injetado ou integrado, ou alcance backends por meio do Azure Private Link. |
| Firewall de aplicativos Web da AWS | Firewall de Aplicativo Web do Azure; por exemplo, no Gateway de Aplicativo do Azure (um serviço regional) ou no Azure Front Door (um serviço global) | Mapeie as regras WAF aplicadas em estágios de API no Amazon API Gateway para regras de nível de serviço no Azure Web Application Firewall. |
| Domínios personalizados | Domínios personalizados configurados no Gerenciamento de API do Azure e um ponto de entrada upstream, como o Application Gateway ou o Azure Front Door | Utilize os mesmos nomes de domínio e certificados existentes para uma transição externa do Sistema de Nomes de Domínio (DNS). Se a migração usar nomes de domínio diferentes, você precisará obter novos certificados. |
| Pontos de extremidade otimizados para a Edge | Implantação em várias regiões | Configure gateways do Azure API Management em várias regiões, dependendo dos requisitos de acesso dos clientes. Essa topologia costuma ser associada ao local de presença global no Azure Front Door. |
| Zonas de disponibilidade por padrão | Zonas de disponibilidade por padrão (nível Premium) | Implante o Gerenciamento de API do Azure na camada Premium, em uma região que ofereça suporte a zonas de disponibilidade. Use a configuração automática padrão de zonas de disponibilidade. |
| Métricas do CloudWatch | Métricas do Azure Monitor | Configure métricas de solicitação de gateway para dar suporte à comparação do desempenho do Gerenciamento de API do Azure com uma linha de base no Amazon API Gateway. |
| Logs do CloudWatch e logs do CloudTrail | Registos do Azure Monitor | Configure as configurações de diagnóstico para enviar logs de Gerenciamento de API do Azure para um espaço de trabalho do Log Analytics para análise interna e análise personalizada. Considere a implantação do Application Insights ou outras ferramentas de observabilidade para monitoramento operacional adicional. |
Observação
Estabeleça métricas de linha de base do Amazon API Gateway antes da migração. Use essas linhas de base para comparar o desempenho do Gerenciamento de API do Azure após a migração e confirmar se ele atende ou excede as expectativas.
Inadequações de capacidades e estratégias
- A integração do WAF no Amazon API Gateway não tem uma correspondência direta no Azure API Management. No Amazon API Gateway, as regras do WAF são aplicadas diretamente nos estágios da API REST. No Gerenciamento de API do Azure, a configuração de regras WAF normalmente requer a implantação de uma instância upstream do Gateway de Aplicações, reencaminhamento de tráfego e terminação TLS pela gateway. Como alternativa, para cenários ativos/ativos de várias regiões, use o Azure Front Door na frente do Gerenciamento de API do Azure.
- Há suporte para domínios personalizados no Gerenciamento de API do Azure. Se você usar o Gateway de Aplicativo e o Firewall de Aplicativo Web do Azure na frente, também deverá configurar o domínio personalizado e o certificado TLS na camada do Gateway de Aplicativo.
- Os endpoints otimizados para extremidade no Amazon API Gateway oferecem suporte a clientes distribuídos geograficamente. O recurso semelhante no Gerenciamento de API do Azure requer a implantação de gateways regionais extras a um custo extra.
Comparar cargas de trabalho de API
Como parte da avaliação, pondere a possibilidade de manter ou substituir os serviços existentes. Avalie se a migração é uma oportunidade para modernizar ou consolidar serviços.
| Carga de trabalho do Amazon API Gateway | Equivalente ao Gerenciamento de API do Azure | Abordagem da migração |
|---|---|---|
|
Integração de proxy do Lambda Integração não proxy (personalizada) do Lambda Invocar o Lambda usando um endpoint do Amazon API Gateway |
Tipo de API do aplicativo de função do Azure | Considere se deseja manter ou substituir funções existentes do Lambda (por exemplo, por funções ou contêineres do Azure). |
|
APIs REST HTTP APIs |
Importação de uma especificação OpenAPI | Exporte uma API REST do Amazon API Gateway e importe-a no Azure API Management. Ou acesse manualmente a configuração da API no Amazon API Gateway e recrie-a no Azure API Management. |
| WebSocket APIs | Tipo de API WebSocket | Acesse manualmente a configuração da API no Amazon API Gateway e recrie-a no Azure API Management. |
Inadequações de capacidades e estratégias
- Os back-ends do Lambda são suportados nativamente no Amazon API Gateway como APIs HTTP. O Gerenciamento de API do Azure não fornece integração nativa com os aplicativos de função do Azure comparáveis. O Gerenciamento de API do Azure tem de chamar aplicações de função através de HTTP, usando uma chave de função ou identidade gerida.
- As especificações OpenAPI exportadas de uma API REST do Amazon API Gateway contêm detalhes específicos para a implementação de frontend no Amazon API Gateway, não para o serviço de back-end. Você precisa remover tags específicas da AWS e configurar detalhes na especificação (como a URL do serviço de back-end) antes de importar para o Gerenciamento de API do Azure ou durante o processo de migração.
- Os back-ends de microsserviços do Kubernetes, como APIs gRPC, são tratados de forma diferente:
- O Amazon API Gateway se conecta ao balanceador de carga do aplicativo na VPC, que, por sua vez, fornece entrada para o AWS EKS.
- O Gerenciamento de API do Azure dá suporte a APIs gRPC em clusters Kubernetes acessados somente por meio do gateway autohospedado.
- O uso do gRPC impede o uso do Application Gateway como um WAF.
Comparar configurações de API
A abordagem de migração para configurações de API deve considerar o escopo da configuração no Amazon API Gateway. Em um alto nível, os escopos de API são mapeados da seguinte forma do Amazon API Gateway para o Gerenciamento de API do Azure:
| Escopo da API do Amazon API Gateway | Equivalente ao Gerenciamento de API do Azure |
|---|---|
| Recurso da API | API |
| Estágio da API | Versão da API |
| Método API | Operação API |
| Plano de utilização | Produto |
A tabela a seguir avalia as configurações de API no Amazon API Gateway e configurações equivalentes no Azure API Management:
| Configuração da API do Amazon API Gateway | Equivalente ao Gerenciamento de API do Azure | Abordagem da migração |
|---|---|---|
| Variáveis de estágio | Valores nomeados | Configure valores nomeados (pares nome/valor) no nível de serviço no Gerenciamento de API do Azure. |
| Cache de resposta | Cache de resposta | Configure políticas de cache no escopo mapeado, conforme mostrado na tabela anterior. Opcionalmente, configure um cache externo compatível com Redis para maior controle e confiabilidade. |
| Planos de uso e chaves de API | Produtos e Subscrições | Documente as configurações do Amazon API Gateway e recrie-as no Azure API Management. |
| Controlo e quotas | Limitação de taxas e políticas de quotas | Configure políticas de limitação de taxa e cota no escopo mapeado, conforme mostrado na tabela anterior. |
| CORS | Política do CORS | Configure uma política CORS com cabeçalhos e origens permitidos no escopo mapeado, conforme mostrado na tabela anterior. |
|
Políticas de recursos Políticas de ponto final de Rede Privada Virtual Grupos de usuários do Cognito Autenticação mTLS |
Políticas de autenticação e autorização Gestor de credenciais |
Mapeamento manual. Considere usar a assistência de IA com ferramentas como o Microsoft Copilot no Azure. |
| Modelos de mapeamento | Políticas de transformação | Mapeamento manual. Considere usar a assistência de IA com ferramentas como o Microsoft Copilot no Azure. |
| Estágios da API | Versões da API | Crie versões de API no Gerenciamento de API do Azure. |
Inadequações de capacidades e estratégias
Os limites de cota e controlo de velocidade são impostos pelo Amazon API Gateway por conta da AWS. No Gerenciamento de API do Azure, o escopo mais alto por instância é o escopo de todas as APIs.
Os métodos de autenticação e autorização de API no Amazon API Gateway, como permissões do IAM e autorizadores do Lambda, não são mapeados diretamente para o Gerenciamento de API do Azure. Os clientes podem avaliar métodos alternativos de autenticação e autorização, como usar o Microsoft Entra ID ou um provedor de identidade externo.
As métricas relacionadas ao cache no Amazon API Gateway não são mapeadas diretamente para as métricas do Azure API Management. Os acertos e erros de cache podem ser contados em logs de rastreamento no Gerenciamento de API do Azure.
Rever recursos para migração
Práticas recomendadas de arquitetura para o Gerenciamento de API do Azure
Autenticação e autorização de API no Gerenciamento de API do Azure
Microsoft Copilot no Azure para geração de políticas de Gerenciamento de API
Servidor MCP de documentação da AWS e servidor MCP do Microsoft Learn
Além disso, para cargas de trabalho de API:
Migrar cargas de trabalho do AWS Lambda para o Azure Functions
Migrar do Amazon Elastic Kubernetes Service para o Azure Kubernetes Service
Passo 2: Preparação
Na fase de preparação, planeje sua infraestrutura do Azure, selecione as camadas apropriadas de Gerenciamento de API para teste e produção e documente completamente suas APIs de origem e serviços integrados. Exporte configurações relevantes da AWS e projete uma estratégia de migração em fases para garantir uma transição suave.
Planejar a configuração da infraestrutura
Planeje a entrada e saída, firewalls, isolamento de rede e integração com pontos de entrada de tráfego de rede, como o Gateway de Aplicativo, a Porta da Frente do Azure ou o Gerenciador de Tráfego do Azure. Compreenda as implicações da exposição privada versus pública do sistema de Gerenciamento de API do Azure de destino, especialmente em relação ao DNS e à rastreabilidade.
Analise as orientações no acelerador de zona de aterrissagem do Gerenciamento de API do Azure e avalie os cenários que podem ser adequados para sua migração e back-ends de API. Considere quando as cargas de trabalho estão isoladas o suficiente para se beneficiar delas.
Um cenário básico que você pode usar para migração inicial e compilação no Azure é uma linha de base segura com uma carga de trabalho de exemplo.
Planejar instâncias de gerenciamento de API de teste e produção
Escolha as camadas de serviço apropriadas do Azure API Management para ambientes de teste e produção:
Se você precisar de isolamento de rede do tráfego de entrada e saída, juntamente com a entrada de tráfego por meio do Azure Front Door ou do Application Gateway, atualmente recomendamos a camada Premium de Gerenciamento de API do Azure. Se você selecionar a camada Premium, poderá usar a camada de desenvolvedor (não suportada por um contrato de nível de serviço) para migrações de prova de conceito. A camada Desenvolvedor suporta recursos de rede que também estão disponíveis na camada Premium. No entanto, você não deve usar a camada de desenvolvedor para produção.
Dependendo das suas necessidades de disponibilidade, desempenho e isolamento de rede, considere o nível Standard v2 ou Premium v2. Ambos suportam integração com backends isolados na rede. O nível Premium v2 também suporta a injeção numa rede virtual para isolar o tráfego de entrada.
Atualmente, o nível Premium v2 com funcionalidades para isolar o tráfego de entrada está em pré-visualização. Você pode considerar usá-lo para migrações, dependendo de seus cronogramas de implementação em relação às informações disponíveis sobre a versão Premium v2 e os caminhos de migração.
Compreender e documentar as APIs de origem sob gestão
Capture configurações de API, incluindo fluxos de autenticação e autorização, transformação e mecanismos de cache.
Identifique todos os serviços integrados ao Amazon API Gateway, como autorizadores do Lambda, balanceadores de carga de aplicativos, balanceadores de carga de rede e cargas de trabalho do Kubernetes.
Para catalogar APIs sob gerenciamento, considere usar o Centro de APIs do Azure e sincronizar APIs do Amazon API Gateway.
Use ferramentas de descoberta, como o AWS Resource Explorer , sempre que possível. Mas espere confiar muito em informações coletadas manualmente, documentação interna e listas de verificação.
Documente fluxos de dados, topologia de rede e diagramas de arquitetura, mesmo que sejam aproximados.
Exporte configurações da AWS sempre que possível
Exporte configurações como:
Especificações OpenAPI a partir de APIs de back-end; por exemplo, usando o AWS Console ou a AWS CLI. Se as APIs foram definidas via OpenAPI originalmente, você já pode ter essas especificações.
Certificados SSL/TLS armazenados no AWS Certificate Manager.
Regras do WAF, ao exportar através do CloudFormation.
Capture artefatos, incluindo modelos do CloudFormation, que podem ser exportados para o Terraform por meio de ferramentas externas. Esses artefatos podem facilitar o mapeamento para o Azure (modelos Bicep, Azure Resource Manager e Terraform).
Planear uma estratégia faseada
Recomendamos que você planeje uma migração em fases (API por API ou domínio por domínio). Atualize um conjunto de domínios ou pontos de extremidade de API para o Gerenciamento de API do Azure enquanto outros permanecem na AWS e, em seguida, mova gradualmente o restante. Essa estratégia pode exigir que seus aplicativos cliente manipulem pontos de extremidade mistos ou usem uma camada de roteamento.
Passo 3: Avaliação
A migração é considerada bem-sucedida quando o sistema migrado atende aos critérios de validação e quando o Gerenciamento de API do Azure atende a todo o tráfego de produção sem regressão significativa na funcionalidade ou no desempenho.
Os critérios de validação incluem:
Validar infraestrutura: A infraestrutura de rede é documentada e acessível apenas conforme pretendido. Por exemplo, se ele for injetado numa rede virtual interna, confirme se nenhum IP público a está expondo.
A instância de Gerenciamento de API do Azure pode acessar quaisquer redes ou dependências necessárias para operações.
Validar a funcionalidade da API para todos os endpoints: todos os endpoints da API têm o desempenho esperado com cenários do mundo real, incluindo solicitações e cargas úteis válidas e inválidas. Certifique-se de que todas as transformações de solicitação ou resposta em políticas configuradas ocorram:
Confirme todas as configurações de autenticação e autorização necessárias (chaves de assinatura, tokens OAuth, certificados) para cada API.
Confirme se os clientes podem usar APIs como antes, sem alterações (exceto possivelmente a URL do ponto de extremidade, se o nome de domínio for alterado).
Confirme se os limites de taxa e as cotas estão configurados no escopo apropriado.
Validar métricas operacionais: monitore o desempenho usando painéis ou outras ferramentas de observabilidade sob carga de produção. Analise métricas como latência média e taxa de transferência e compare-as com dados históricos do Amazon API Gateway. Analise as métricas de capacidade para garantir que a instância de Gerenciamento de API do Azure seja dimensionada corretamente.
Passo 4: Processo
Espere que o processo de migração leve várias semanas ou meses, dependendo da complexidade da infraestrutura de serviço e do número e complexidade das APIs a serem migradas.
Configuração básica completa
Se você ainda não tiver o locatário do Azure e a infraestrutura principal (rede principal, entrada, segurança) instalados, crie-os antes de migrar o Amazon API Gateway e as APIs. Você pode configurar o ambiente usando uma arquitetura de zona de aterrissagem do Azure adequada para sua migração.
Se um acelerador de zona de pouso da infraestrutura-como-código do Gerenciamento de API do Azure for adequado para a sua migração, implemente um para a sua implantação base do Gerenciamento de API do Azure. Inclua o Gateway de Aplicativo e a rede virtual interna no Gerenciamento de API do Azure. Embora o acelerador de zona de aterrissagem use a camada Premium do Gerenciamento de API do Azure, recomendamos que você adapte os modelos para usar a camada de desenvolvedor para migração de prova de conceito.
Crie e atribua funções RBAC (controle de acesso baseado em função) do Azure para que apenas administradores autorizados possam gerenciar a instância de Gerenciamento de API do Azure e as APIs.
Definir configurações da plataforma de Gerenciamento de API do Azure
Na nova instância de Gerenciamento de API do Azure, configure configurações globais semelhantes às do Amazon API Gateway:
Nome de host personalizado: adicione seu domínio personalizado ao Gerenciamento de API do Azure, carregue o certificado SSL (ou use referências do Cofre de Chaves) e execute a validação. Faça esta tarefa agora ou pouco antes da interrupção da produção. Quando estiver usando o Application Gateway (recomendado), configure um listener com um domínio e certificado personalizados e direcione-o ao ponto de extremidade interno do Gerenciamento de API do Azure. A configuração do ouvinte simplifica a configuração porque não requer validação de domínio.
Rede e segurança: verifique se o Gateway de Aplicativo (ou outro ponto de entrada do Azure) está configurado para encaminhar solicitações para o Gerenciamento de API do Azure. Configure regras de NSG (grupo de segurança de rede) ou regras de firewall para que o Gerenciamento de API do Azure possa acessar os serviços de back-end. Esses serviços podem incluir seus back-ends do Azure ou até mesmo os back-ends da AWS de origem, se você estiver inicialmente apontando para eles.
Identidade gerenciada: habilite uma identidade gerenciada no Gerenciamento de API do Azure para chamar serviços do Azure com segurança (como o Cofre de Chaves para certificados ou aplicativos de função).
Ao final desta fase, você deve ter um shell de trabalho do Gerenciamento de API do Azure no Azure com conectividade e a estrutura básica prontos para começar a importar APIs.
Importar e recriar APIs no Gerenciamento de API do Azure
Com a infraestrutura pronta, comece a migrar as definições e configurações da API:
Comece com uma API simples e de baixo risco: use uma API representativa para validar a funcionalidade básica do gateway no Gerenciamento de API do Azure antes de recriar APIs do Amazon API Gateway.
Importar para a Gestão de API do Azure: Utilize o portal Azure ou scripts para importar definições OpenAPI do Amazon API Gateway ou backends como novas APIs na Gestão de API do Azure. Durante a importação, o Gerenciamento de API do Azure cria automaticamente a estrutura de APIs e operações. Se você tiver vários estágios de API no Amazon API Gateway, crie várias versões de API no Azure API Management.
Inicialmente, defina a URL de back-end de cada API para apontar para o back-end atual. (Por enquanto, o back-end atual ainda pode ser um endpoint da AWS ou um endpoint público.) Por exemplo, se o Amazon API Gateway for encaminhado para o Lambda, você poderá definir o back-end do Gerenciamento de API do Azure para a API equivalente no Amazon API Gateway ou para um aplicativo de função equivalente do Azure se ele já tiver sido migrado. (Se você definir o back-end do Gerenciamento de API do Azure para a API equivalente no Amazon API Gateway, alterará essa configuração posteriormente se migrar a função do Lambda para o Azure.) Se o back-end for um balanceador de carga ou endpoint de aplicativo da AWS, o Gerenciamento de API do Azure poderá chamá-lo pela Internet.
Se você tiver um grande número de APIs, poderá usar a Central de APIs do Azure para catalogar as APIs que são migradas para o Gerenciamento de API do Azure ao longo do tempo e as que permanecem no Amazon API Gateway.
Considere migrar ou refatorar serviços de back-end (por exemplo, como aplicativos de função do Azure ou cargas de trabalho AKS) depois de validar a infraestrutura. Consulte as orientações no hub de migração do Azure.
Configurar autenticação e autorização
Assinaturas e produtos: se suas APIs exigiram chaves de API no Amazon API Gateway (por meio do
x-api-keycabeçalho), decida como lidar com isso no Gerenciamento de API do Azure. Uma abordagem é tornar essas APIs acessíveis apenas para usuários que têm uma assinatura de um produto. Crie produtos iniciais no Gerenciamento de API do Azure, correspondendo um a um com os planos de uso da AWS ou reorganizados logicamente.Grupos de usuários: crie grupos de usuários no Gerenciamento de API do Azure para espelhar como você compartilha APIs com desenvolvedores.
Valores nomeados: Importe quaisquer valores de configuração (como endpoints ou chaves de API para serviços em segundo plano) que estavam nas variáveis de ambiente do Amazon API Gateway para os valores nomeados do Azure API Management. Para valores confidenciais, use a integração do Azure Key Vault.
Recuperação e validação de token: para validação JWT de solicitações de API, configure políticas de validação no Gerenciamento de API do Azure que autorizem o acesso à API. Inicialmente, você pode usar seu provedor de identidade existente (como o AWS Cognito) e considerar a migração ao longo do tempo para o Microsoft Entra ID.
Configure o gerenciador de credenciais no Gerenciamento de API do Azure para gerenciar tokens para back-ends OAuth. Ou configure a lógica de recuperação de token usando políticas do repositório de trechos de política.
Back-ends no Gerenciamento de API do Azure: configure back-ends no Gerenciamento de API do Azure para registrar cada serviço de back-end (com sua URL, credenciais e outras informações). Esta ação fornece um local central para atualizar a URL do servidor de backend, caso esta seja alterada. Por exemplo, se você apontar inicialmente para um endpoint da AWS, mas depois alternar para um back-end do Azure, poderá simplesmente atualizar a configuração de back-end do Gerenciamento de API do Azure.
Verificações de paridade de recursos: examine a lista de recursos que cada API usa e verifique se eles são abordados.
Por exemplo, APIs de teste que lidam com cargas binárias (imagens e arquivos) ou cargas úteis grandes. Certifique-se de que o Gerenciamento de API do Azure esteja configurado com configurações adequadas de tempo limite, tamanho ou validação de conteúdo para esses cenários.
O Gerenciamento de API do Azure trata todas as APIs importadas de forma bastante uniforme, para que as APIs HTTP do Amazon API Gateway (o tipo leve mais recente) versus as APIs REST (o tipo clássico) sejam gerenciadas consistentemente no Gerenciamento de API do Azure. Diferenças como a falta de planos de uso em APIs HTTP são irrelevantes depois que as APIs estão na Gestão de API do Azure, mas garanta que todas as restrições específicas do Amazon API Gateway sejam abordadas.
Gerencie a transformação e o mapeamento de políticas
Replique as configurações de API existentes como políticas de Gerenciamento de API do Azure, quando aplicável, especialmente para autorização e compatibilidade com versões anteriores.
Mapeie a configuração do CORS no Amazon API Gateway para uma política CORS no Azure API Management.
Manipule transformações (como mapeamento de esquema ou enriquecimento) caso a caso.
Ferramentas de IA, como o Microsoft Copilot no Azure no portal do Azure e servidores MCP para documentação da AWS e da Microsoft, podem ajudar com o mapeamento de configuração ou outra transformação. No entanto, espere executar a configuração manual de política e a depuração no Gerenciamento de API do Azure.
Configurar a observabilidade
Para monitoramento inicial, configure o Azure Monitor para coletar métricas e logs de API. Mais soluções de monitoramento ou observabilidade, como o Application Insights, podem ser colocadas em camadas mais tarde.
Realizar testes
Com as APIs configuradas no Gerenciamento de API do Azure, testes completos são essenciais. Espere que esta fase seja iterativa.
Teste funcional: para cada API, chame o novo endpoint de Gerenciamento de API do Azure (por meio do console de teste ou das ferramentas de cliente do portal do Azure) e compare as respostas com o endpoint do Amazon API Gateway. Verifique se há códigos de status, cabeçalhos e corpo esperados. Se você encontrar diferenças, ajuste as políticas ou a configuração do Gerenciamento de API do Azure de acordo.
Observação
Se a instância de Gerenciamento de API estiver em uma configuração de rede virtual interna, o console de teste não funcionará. Você pode testar APIs usando outras ferramentas de cliente implantadas na rede ou usando o portal do desenvolvedor do Gerenciamento de API (se você habilitá-lo para sua instância).
Teste de segurança: valide se a autenticação e a autorização da API estão funcionando. Por exemplo, apresente uma chave JWT ou de assinatura válida para o Gerenciamento de API do Azure. Certifique-se de que o Gerenciamento de API do Azure aceite a solicitação e que as credenciais inválidas sejam rejeitadas com códigos de erro adequados. Os clientes que passam tokens para validação JWT podem precisar autorizar com um provedor de identidade diferente se você tiver configurado um durante a migração. Se você usa chaves de assinatura, teste com e sem a chave.
Linha de base de desempenho: use uma ferramenta para simular a carga nos pontos de extremidade do Gerenciamento de API do Azure e verifique se eles podem lidar com a taxa de transferência esperada. Compare a latência de chamadas por meio do Gerenciamento de API do Azure com a latência por meio do Amazon API Gateway. O Gerenciamento de API do Azure na camada de Desenvolvedor tem menos desempenho do que a camada Premium e a instância única, portanto, testes de desempenho pesados podem esperar até que você implante uma instância de Gerenciamento de API do Azure de camada Premium.
Iniciar a implementação de produção
Atualize para a camada Premium ou outra camada pronta para produção do Gerenciamento de API do Azure no ambiente de produção. Repita ou migre as definições de importação e configuração de API que você criou em ambientes de pré-produção. Você pode usar processos APIOps para publicar APIs e gerenciar configurações de API em todos os ambientes.
Ensaie o corte em um ambiente mais baixo ou com um subconjunto de tráfego. Por exemplo, selecione uma API não crítica e faça com que um aplicativo cliente alterne para usar o ponto de extremidade do Azure. Essa prática pode revelar quaisquer problemas do lado do cliente ou ajudar a validar seu processo de alteração de DNS. Se seus consumidores de API forem internos, você poderá simular uma alteração editando arquivos de host ou usando uma zona DNS de teste para apontar o domínio para o Gerenciamento de API do Azure temporariamente.
Comutação de DNS: A abordagem mais comum é alterar o registo DNS para o seu domínio personalizado no Amazon API Gateway, para apontar para o novo ponto de extremidade do Azure. Por exemplo, se você mapeou seu domínio api.example.com para o Amazon API Gateway, atualize seu registro CNAME ou A para apontar para o nome do host do Azure API Management ou para o domínio frontend (como o Application Gateway).
Considerações sobre o tempo de vida (TTL): diminua o TTL do DNS com antecedência para que os clientes peguem as alterações rapidamente. Quando estiver pronto, altere o DNS. A propagação pode levar de minutos a horas. Durante esse tempo, parte do tráfego ainda pode ir para a AWS, enquanto parte vai para o Azure. Caso necessites de uma interrupção imediata, podes utilizar um método alternativo, como um proxy reverso.
Métodos alternativos de transição: Às vezes, em vez de DNS, as organizações usam um proxy reverso ou uma mudança de gateway. Por exemplo, uma organização pode manter o DNS público igual, mas inicialmente fazer com que o Application Gateway encaminhe solicitações para o Amazon API Gateway (por meio de sua URL). Durante a inversão, a organização aponta o Application Gateway para o Gerenciamento de API do Azure internamente. Esta abordagem é mais complexa, mas pode conseguir uma mudança instantânea. Outro método, caso utilize o Azure Front Door ou o Traffic Manager, é redistribuir o tráfego de um backend (AWS) para outro (Azure) gradualmente.
Monitoramento durante a substituição: assim que a mudança acontecer, monitore de perto as solicitações para a instância de Gerenciamento de API do Azure e o Amazon API Gateway. Monitore as métricas de Gerenciamento de API do Azure (solicitações, latência, CPU, memória de capacidade) em tempo real por meio do portal do Azure ou de qualquer painel configurado. Use também o Azure Monitor para observar picos de erros, como respostas 4XX/5XX.
Plano de reversão: decida o que aciona uma reversão. Por exemplo, se a taxa de erro exceder uma determinada percentagem ou se uma funcionalidade crítica for interrompida, poderá reverter em 30 minutos. Uma reversão significa desfazer qualquer mudança que você fez. Por exemplo, se o switch fosse DNS, reverta o registo DNS para redirecionar novamente para o Amazon API Gateway. Devido à propagação do DNS, a reversão pode levar algum tempo. O tempo de reversão destaca a importância de ter um TTL baixo e, talvez, manter ambos os sistemas operacionais ativos. Se tiver usado um proxy reverso, volte a configurá-lo para a AWS.
Descomissionar o Amazon API Gateway
Descomissione o Amazon API Gateway após um período em que ele recebe tráfego zero e a instância de Gerenciamento de API do Azure atende aos critérios de validação. Normalmente, executa ambos em paralelo (com o Azure a receber todo o tráfego) durante pelo menos um ciclo empresarial completo ou período de pico de tráfego, para garantir que o novo sistema suporta esta carga.
Otimização iterativa
Após a migração, concentre-se em otimizar a configuração do Gerenciamento de API iterativamente, fechando lacunas de recursos e implementando práticas recomendadas. Esse processo de melhoria iterativa garante que a carga de trabalho migrada atenda a todos os critérios de sucesso estabelecidos durante a etapa de avaliação. Ele também garante que a carga de trabalho migrada siga as práticas recomendadas de arquitetura para Gerenciamento de API.
Iterar nas lacunas de funcionalidades
Alguns recursos do Amazon API Gateway não têm um mapeamento um-para-um no Gerenciamento de API do Azure e exigem soluções alternativas, conforme descrito anteriormente na seção Avaliação . Por exemplo:
Firewall de aplicativo Web: o Gerenciamento de API do Azure não bloqueia automaticamente cargas úteis incorretas que o AWS WAF bloqueia. Se você configurar o Firewall de Aplicativo Web do Azure, verifique se o Gerenciamento de API do Azure está acessível somente por meio do WAF e se as regras do WAF replicam as restrições do AWS WAF.
Fluxos de eventos: se os alarmes ou eventos do CloudWatch estiverem vinculados ao Amazon API Gateway (por exemplo, em determinados padrões de erro), configure alertas equivalentes no Azure Monitor for Azure API Management (por exemplo, um alerta em uma taxa 5XX do Azure API Management).
Automação: se você tiver pipelines de integração contínua e entrega contínua (CI/CD), integre o Gerenciamento de API do Azure a eles. Por exemplo, você pode armazenar suas configurações de Gerenciamento de API do Azure (APIs e políticas) no controle do código-fonte usando abordagens de infraestrutura como código. Essas abordagens podem incluir modelos do Azure Resource Manager, Bíceps ou Terraform ou uma metodologia APIOps. Essa integração garante que alterações futuras nas APIs possam ser implantadas de forma consistente com o controle de versão.
Implementar práticas recomendadas
Implemente iterativamente as melhores práticas, incluindo otimização de custos, reforço de segurança e melhorias operacionais. Analise e implemente as práticas recomendadas de arquitetura para o Gerenciamento de API do Azure ao longo dos pilares de confiabilidade, segurança, excelência operacional, gerenciamento de custos e desempenho. Aborde as recomendações do Azure Advisor para sua instância de Gerenciamento de API do Azure.
Com o tempo, adicione mais capacidades, como:
- Cache externo.
- Recursos de monitoramento além do Azure Monitor, como o Application Insights ou soluções que não são da Microsoft, como o Datadog.
- Políticas no Azure API Management que não estão disponíveis no Amazon API Gateway.
Principais conclusões
A migração do Amazon API Gateway para o Azure requer planejamento cuidadoso e execução sistemática para obter funcionalidade equivalente ou abordagens alternativas. Os principais fatores de sucesso incluem:
Avaliação completa: realize uma avaliação detalhada da configuração existente do Amazon API Gateway, incluindo todas as APIs, integrações de serviço e dependências. Identifique lacunas ou diferenças nos recursos entre o Amazon API Gateway e o Azure API Management.
Oportunidades de modernização: use a migração como uma oportunidade para modernizar ou migrar serviços de back-end ou melhorar o design da API.
Preparação abrangente: prepare o ambiente do Azure, incluindo rede, segurança e configuração de infraestrutura. Documente todas as configurações e planeje as alterações necessárias nos serviços de back-end.
Migração incremental: planeje uma abordagem de migração incremental, começando com APIs ou serviços menos críticos. Essa abordagem permite testar e validar a nova configuração antes de você se comprometer totalmente com o switch.
Validação e teste: implemente processos abrangentes de teste e validação para garantir que a instância de Gerenciamento de API do Azure atenda a todos os requisitos funcionais e de desempenho. Esse esforço inclui testes de carga, testes de segurança e testes de aceitação do usuário.
Monitoramento e observabilidade: configure monitoramento e observabilidade robustos para a nova instância de Gerenciamento de API do Azure para identificar e resolver rapidamente quaisquer problemas que surjam durante ou após a migração.
Otimização iterativa: após a migração, otimize continuamente a configuração do Gerenciamento de API do Azure abordando lacunas de recursos e implementando práticas recomendadas.