Architecture Notes Series Microservices
ariefw.com
API Gateway Architecture infographic by Arief Warazuhudien

API Gateway Architecture

Bayangkan tim kamu sedang membangun aplikasi e-commerce. Ada layanan user, layanan order, layanan pembayaran, dan layanan inventory. Setiap layanan punya API sendiri-sendiri. Awalnya hanya web app yang perlu mengakses semua layanan itu. Tapi kemudian muncul kebutuhan dari mobile app. Lalu dari perangkat IoT untuk tracking pengiriman. Belum lagi mitra eksternal yang minta akses API untuk integrasi.

Setiap kali ada channel baru, tim backend harus mengurus autentikasi ulang, rate limiting, dan validasi request di setiap layanan. Kode berulang dimana-mana. Kalau ada perubahan kebijakan keamanan, tim harus update semua layanan satu per satu. Dan yang paling menyebalkan, client code jadi sangat kompleks karena harus tahu persis alamat setiap service dan cara menangani error masing-masing.

Situasi ini makin terasa ketika tim mulai berkembang. Developer frontend harus paham topologi service internal. Setiap kali ada service baru, tim frontend harus update kode mereka. Belum lagi urusan CORS, versioning API, dan format response yang berbeda antar service. Yang tadinya kelihatan seperti masalah teknis biasa, pelan-pelan berubah jadi hambatan pengembangan.

Masalah yang Diselesaikan

Masalah intinya sebenarnya sederhana: client tidak perlu tahu seluk-beluk service di belakang. Client hanya perlu satu pintu masuk yang konsisten, aman, dan bisa diandalkan. Tanpa pintu masuk itu, setiap client harus mengurus sendiri urusan autentikasi, otorisasi, rate limiting, dan routing. Akibatnya, kode client jadi gemuk, keamanan tidak konsisten, dan tim backend tidak punya satu titik kontrol untuk traffic yang masuk.

Pola API Gateway lahir untuk menjawab masalah ini. Gateway menjadi satu titik masuk tunggal yang menangani urusan lintas service sebelum request sampai ke backend. Client cukup tahu satu alamat. Gateway yang urus sisanya.

Komponen Utama

API Gateway terdiri dari beberapa komponen yang bekerja bersama menangani setiap request yang masuk. Komponen pertama adalah Request Router. Tugasnya sederhana: membaca path atau header request, lalu menentukan service mana yang harus menangani request itu. Router ini yang membuat client tidak perlu tahu alamat masing-masing service.

Auth Handler bertugas memvalidasi token autentikasi. Baik itu JWT, OAuth token, atau API key, semuanya diperiksa di sini. Kalau token tidak valid, request ditolak sebelum menyentuh service manapun. Ini membuat kebijakan keamanan terpusat dan konsisten.

Rate Limiter memastikan tidak ada client yang membebani sistem secara berlebihan. Setiap client punya kuota request per periode waktu. Kalau kuota habis, gateway mengembalikan response 429 Too Many Requests. Ini melindungi backend dari lonjakan traffic yang tidak terduga.

Policy Enforcer menangani aturan tambahan seperti IP whitelisting, CORS policy, dan validasi header tertentu. Misalnya, request dari luar jaringan kantor mungkin perlu dicek lebih ketat. Atau endpoint tertentu hanya boleh diakses oleh client dengan role tertentu.

Traffic Manager bertugas mengatur distribusi request ke instance backend. Ia bisa melakukan load balancing, menerapkan circuit breaker kalau service tertentu mulai lambat, dan menangani retry dengan backoff. Ini membuat sistem lebih resilient terhadap kegagalan.

Alur Kerja

Alur kerja dimulai ketika client mengirim request ke gateway. Gateway pertama-tama memeriksa token autentikasi. Kalau token tidak valid, request langsung ditolak. Setelah autentikasi lolos, gateway mengecek rate limit untuk client tersebut. Kalau kuota habis, request ditolak.

Setelah dua pemeriksaan itu lolos, gateway meneruskan request ke service yang sesuai berdasarkan routing rules. Service backend memproses request dan mengembalikan response ke gateway. Gateway bisa melakukan transformasi response jika perlu, misalnya mengubah format atau menggabungkan data dari beberapa service.

Sepanjang proses ini, gateway mencatat log dan metrik untuk setiap request. Ini memudahkan tim untuk memonitor kesehatan sistem dan mendeteksi anomali.

Kapan Pola Ini Cocok Dipakai

API Gateway sangat cocok untuk arsitektur microservices dengan banyak service. Semakin banyak service, semakin besar manfaat gateway karena client tidak perlu tahu kompleksitas di belakang. Cocok juga untuk aplikasi mobile yang butuh API terpadu. Mobile app cukup tahu satu endpoint, gateway yang mengurus routing ke service yang tepat.

Gateway juga ideal untuk public API yang perlu menerapkan rate limiting dan autentikasi secara konsisten. Atau ketika kamu perlu membungkus legacy system dengan API modern. Gateway bisa menjadi lapisan yang menerjemahkan request baru ke format lama yang dimengerti legacy system.

Trade-off dan Risiko Operasional

API Gateway bukan tanpa biaya. Setiap request melewati satu hop tambahan, yang berarti ada tambahan latensi. Untuk aplikasi yang sangat sensitif terhadap latency seperti high-frequency trading, satu hop tambahan ini bisa jadi masalah serius.

Gateway juga menjadi single point of failure. Kalau gateway mati, semua client tidak bisa mengakses service manapun. Karena itu gateway harus dirancang highly available. Minimal dengan beberapa instance di belakang load balancer.

Kompleksitas juga bisa menjadi masalah. Semakin banyak fitur yang ditambahkan ke gateway, semakin besar kemungkinan gateway menjadi bottleneck. Rate limiting, autentikasi, logging, transformasi response — semua butuh resource. Tim perlu merencanakan kapasitas dengan hati-hati.

Belum lagi urusan operasional. Gateway perlu dimonitor secara ketat. Metrik seperti request latency, error rate, dan throughput harus selalu terpantau. Tim perlu siap dengan skenario gateway overload dan punya mekanisme circuit breaker untuk melindungi backend.

Implikasi Praktis untuk Tim Engineering

Pertama, pastikan gateway bersifat stateless. Dengan stateless, kamu bisa menambah instance kapan saja tanpa khawatir session data hilang. Simpan session state di external store seperti Redis.

Kedua, rencanakan scaling dari awal. Gateway harus bisa di-scale horizontal. Gunakan auto-scaling berdasarkan request volume. Pantau metrik seperti CPU, memory, dan request latency untuk menentukan kapan perlu scale.

Ketiga, jangan tergoda menambahkan terlalu banyak logika bisnis ke gateway. Gateway urus cross-cutting concerns: autentikasi, rate limiting, routing. Logika bisnis tetap di service backend. Kalau gateway mulai berisi aturan bisnis, kamu akan kesulitan memisahkan tanggung jawab nantinya.

Keempat, implementasikan circuit breaker untuk setiap service backend. Kalau satu service lambat, circuit breaker mencegah request menumpuk dan mempengaruhi service lain. Gateway bisa mengembalikan response cepat dengan pesan error yang jelas.

Kelima, siapkan strategi deployment untuk gateway itu sendiri. Update gateway berarti semua client ikut terdampak. Gunakan blue-green deployment atau canary release untuk meminimalkan risiko. Pastikan ada rollback plan yang cepat.

Terakhir, investasi di observability. Gateway adalah titik strategis untuk logging dan monitoring. Semua request lewat sini, jadi data yang dikumpulkan sangat berharga untuk debugging dan capacity planning. Pastikan tim punya dashboard yang jelas dan alerting yang tepat.