Yhteentoimivuus

API-yhdyskäytävät koalition tiedonjakoon: sopimukset, käytännöt, rajoitus

Kirjoittanut Corvus Intelligence -insinööritiimi · Tietoa tiimistä →

11. kesäkuuta 2026 9 min lukuaika

Koalitio-operaatiot riippuvat jaetusta tilannetietoisuudesta, ja jaettu tilannetietoisuus riippuu siitä, että data virtaa luotettavasti ja turvallisesti kansallisten järjestelmien välillä, jotka on suunniteltu itsenäisesti, luokiteltu eri tavoin ja joita käytetään eri oikeudellisten kehysten alaisina. API-yhdyskäytävä on arkkitehtoninen komponentti, joka tekee tämän mahdolliseksi: käytäntöjä valvova rajakerros, joka abstrahoi taustajärjestelmän, valvoo julkaisukelpoisuussääntöjä, todentaa kumppanit heterogeenisten identiteetintarjoajien välillä, rajoittaa läpisyöttöä taustajärjestelmän resurssien suojaamiseksi ja kirjaa jokaisen tiedonjakotapahtuman auditointia varten. Koalition API-yhdyskäytävän oikein suunnitteleminen on yksi monikansallisen tiedonjako-ohjelman merkittävimmistä insinöörityöpäätöksistä – ja yksi vähiten standardoiduista. Tässä artikkelissa käsitellään neljää insinöörityöongelmaa, jotka määräävät, onnistuuko koalition API-yhdyskäytävä operatiivisesti: rajapintasopimukset, julkaisukelpoisuuden käytäntöjen valvonta, todennuksen federointi sekä nopeusrajoitus havainnoitavuuden kanssa. Laajemmasta kontekstista koalition tiedonjaon haasteiden poliittisista ja organisatorisista ulottuvuuksista löydät oheisartikkelin.

API-yhdyskäytävän rooli koalitioarkkitehtuurissa

Kansallisessa järjestelmässä API-yhdyskäytävän ensisijaiset tehtävät ovat reititys, todennus ja nopeusrajoitus – ominaisuudet, jotka mikä tahansa moderni yhdyskäytävätuote hoitaa valmiiksi. Koalitioympäristössä yhdyskäytävä ottaa kaksi lisävastuuta, joilla ei ole vakiomuotoista kaupallista vastinetta: julkaisukelpoisuuden valvonnan ja toimialueiden välisen auditoinnin.

Julkaisukelpoisuuden valvonta tarkoittaa, ettei yhdyskäytävä voi yksinkertaisesti välittää vastausta taustajärjestelmältä pyytävälle kumppanille. Sen on tarkastettava vastaus, määritettävä, mitkä kentät pyytävä kansakunta on valtuutettu näkemään, ja joko suodatettava vastaus valtuutettuun osajoukkoon tai palautettava virhe, jos mikään pyydetystä datasta ei ole julkaisukelpoista kyseiselle kumppanille. Tämä eroaa perustavanlaatuisesti valtuutuksesta kaupallisessa järjestelmässä, jossa valtuutus on binaarinen (joko sinulla on pääsy resurssiin tai ei). Koalitiojärjestelmässä yksittäinen vastausobjekti voi sisältää kaikille kumppaneille julkaisukelpoisia kenttiä, vain Five Eyes -osajoukolle julkaisukelpoisia kenttiä ja vain kansallisesti julkaisukelpoisia kenttiä – ja yhdyskäytävän on sovellettava kaikkia kolmea käytäntöä samanaikaisesti.

Toimialueiden välinen auditointi on toinen koalitiokohtainen vaatimus. Kansakuntien väliset tiedonjakosopimukset edellyttävät tyypillisesti, että jokainen tietojen luovutus kirjataan – kuka sai mitä, milloin ja millä julkaisukelpoisuusvaltuutuksella. Tämä ei ole vakiomuotoinen käyttöloki; se on jäsennelty, peukaloinnin paljastava tietue itse julkaisukelpoisuuspäätöksestä. Auditointilokin on kirjattava paitsi se, mitä jaettiin, myös se, mitä pidätettiin ja miksi, jotta tietojen haltijat voivat osoittaa noudattavansa jakosopimusta tarkastuksen tai välikohtauksen sattuessa.

Rajapintasopimukset: ICD auktoritatiivisena lähteenä

Jokaista koalition API:a on hallittava rajapinnan ohjausasiakirjalla (ICD), josta kaikki osallistuvat kansakunnat ovat sopineet ennen toteutuksen aloittamista. ICD täyttää kaksi jännitteessä olevaa tehtävää: sen on oltava riittävän tarkka mahdollistaakseen kunkin kansakunnan järjestelmäintegroijien itsenäisen toteutuksen, mutta riittävän joustava mukautuakseen tietovaatimusten kehittymiseen ohjelman elinkaaren aikana.

ICD määrittää päätepisteiden polut, HTTP-metodit, pyyntö- ja vastausskeemat (mieluiten OpenAPI 3.1 -määrittelyinä koneluettavilla skeemamäärittelyillä), virhekoodit ja – ratkaisevasti – jokaisen vastauskentän julkaisukelpoisuustason. Skeemakentän julkaisukelpoisuusmerkintä ei ole kommentti tai muistiinpano; se on ensimmäisen luokan skeemamääre, jonka yhdyskäytävän käytäntömoottori lukee ajonaikana tehdäkseen suodatuspäätöksiä. ICD, joka määrittää skeemoja ilman julkaisukelpoisuusmerkintöjä, on epätäydellinen; yhdyskäytävä ei voi valvoa käytäntöä, jota ei ole muodollisesti määritelty.

Versiointi ja taaksepäin yhteensopivuus

Koalition ICD:t muuttuvat hitaasti ja vaativat monenvälistä sopimusta päivittämiseen, mikä luo paineita versionhallintaan. Koalition API:n on tuettava vähintään kahta pääversiota samanaikaisesti, koska kumppanikansakunnat päivittävät järjestelmiään eri aikatauluilla. Yhdyskäytävä hoitaa versioreitityksen – ohjaten pyynnöt, joissa on Accept: application/vnd.coalition.v2+json -otsake, v2-taustapolulle ja pyynnöt ilman versio-otsaketta vakaaseen v1-polkuun. Versioiden vanhentamisaikataulut on dokumentoitava ICD:hen ja neuvoteltava kahdenvälisesti; yksipuolinen version käytöstäpoisto on taattu yhteentoimivuusvälikohtaus.

Tuskallisin ICD-muutos on uuden pakollisen kentän lisääminen olemassa olevaan vastausskeemaan. Kumppanit, joiden asiakkaat eivät vielä käsittele uutta kenttää, eivät rikkoonnu, jos kenttä on additiivinen, mutta kumppanit, joiden vastauskäsittely on tiukasti skeemavalidoitu, rikkoutuvat. Koalition API-suunnitteluperiaate, joka välttää tämän, on skeemoihin sovellettu Postelin laki: ole konservatiivinen sen suhteen, mitä lähetät (sisällytä vain kentät, joita olet valtuutettu jakamaan) ja ole liberaali sen suhteen, mitä hyväksyt (jätä tunnistamattomat kentät huomiotta sen sijaan, että antaisit virheen). Tämän odotuksen nimenomainen dokumentointi ICD:hen estää alavirran integraatiovirheet.

Julkaisukelpoisuuden käytäntöjen valvonta

Julkaisukelpoisuuskäytäntömoottori on yhdyskäytävän koalitiokohtaisin komponentti, ja se on sellainen, jota mikään valmis yhdyskäytävätuote ei tarjoa valmiina. Sen oikein rakentaminen vaatii selkeän tietomallin julkaisukelpoisuudelle, nopean arviointipolun ja suunnittelun, jonka tietojen haltijat, jotka eivät ole insinöörejä, voivat auditoida.

Useimmissa liittouman tiedonjako-ohjelmissa käytetty julkaisukelpoisuusmalli kuvautuu NATO:n yhteentoimivuusstandardeihin tietojen luokitusta ja julkaisukelpoisuusmerkintää varten – tarkemmin STANAG 4774:ssä (Confidentiality Metadata Label Syntax) ja STANAG 4778:ssa (Metadata Binding Mechanism) kuvattuun merkintämalliin. Tässä mallissa jokainen tietoobjekti kantaa jäsenneltyä merkintää, joka määrittää sen luokitustason (UNCLASSIFIED, RESTRICTED, CONFIDENTIAL, SECRET) ja sen julkaisukelpoisuusmäärittäjät (NATO, FIN, GBR, NOR jne.). Yhdyskäytävän käytäntömoottori lukee tämän merkinnän ja vertaa sitä pyytävän kumppanin valtuutettuun julkaisukelpoisuusjoukkoon päättääkseen, voidaanko kenttä julkaista.

Kenttätason suodatus käytännössä

Kenttätason suodatus – objektitason suodatuksen sijaan – on olennaista, kun vastaus sisältää kenttiä eri julkaisukelpoisuustasoilla. Raidetietue voi sisältää kaikille koalition jäsenille julkaisukelpoista sijaintidataa, vain Five Eyes -osajoukolle julkaisukelpoista identiteettidataa ja vain kansallisesti julkaisukelpoisia lähdetiedusteluviittauksia. Yhdyskäytävän on palautettava sijaintikenttä mille tahansa koalitiokumppanille, palautettava identiteettikenttä vain Five Eyes -kumppaneille ja jätettävä lähdeviittauskenttä kokonaan pois ulkoisista vastauksista, kaikki yhdessä vastausobjektissa.

Tämän toteuttaminen vaatii, että taustajärjestelmä merkitsee vastauskentät julkaisukelpoisuusmetatiedoilla ennen vastauksen lähettämistä yhdyskäytävälle. Operatiivisesti todistetuin lähestymistapa on kantaa julkaisukelpoisuus rinnakkaisena metatietorakenteena – kuvauksena kenttäpolusta (luokitus, julkaisukelpoisuus) -monikkoon – liitettynä jokaiseen vastaukseen. Yhdyskäytävä deserialisoi vastauksen ja metatietokuvauksen, arvioi jokaisen kenttäpolun pyytäjän valtuutusta vastaan, rakentaa suodatetun vastauksen, joka sisältää vain valtuutetut kentät, ja välittää sen asiakkaalle. Suodatusoperaation on oltava idempotentti ja deterministinen: samalle syötevastaukselle ja samalle pyytäjän valtuutukselle yhdyskäytävän on aina tuotettava sama suodatettu tuloste.

Todennuksen federointi kansallisten identiteetintarjoajien välillä

Koalition kumppanikansakunnat käyttävät itsenäisiä identiteetti-infrastruktuureja. Todennuksen federoinnin haasteena on mahdollistaa, että kansakunnan A järjestelmäoperaattori voi todentautua kansakunnan B API-yhdyskäytävälle ilman, että kansakunnan B on luotettava suoraan kansakunnan A identiteetintarjoajaan – ja ilman, että operaattorin on hallittava erillistä koalitiotunnistejoukkoa.

Operatiivisissa koalitiokäyttöönotoissa käytännöllisimmäksi osoittautunut malli yhdistää keskinäisen TLS:n kuljetuskerroksella OAuth 2.0 -tokenvaihtoon sovelluskerroksella. Keskinäinen TLS käyttää kunkin kansakunnan PKI:n myöntämiä asiakasvarmenteita. Koalition API-yhdyskäytävä ylläpitää luottamusvarastoa, joka sisältää kaikkien osallistuvien kansakuntien juurivarmenneviranomaiset, kuten koalition PKI-sopimuksen kautta on akkreditoitu. Kun asiakas yhdistää, yhdyskäytävä varmentaa asiakasvarmenteen tätä luottamusvarastoa vastaan ja erottaa alkuperäkansakunnan varmenteen subjektista tai myöntävästä CA:sta.

Koalitiorajatun JWT:n myöntäminen

mTLS-identiteetti vahvistaa, kuka yhdistää kuljetuskerroksella. Sovelluskerros tarvitsee rikkaamman tunnisteen: sellaisen, joka määrittää paitsi alkuperäkansakunnan myös erityiset julkaisukelpoisuusvaltuutukset, jotka kyseiselle kansakunnalle on myönnetty tiedonjakosopimuksen nojalla. Tässä sovelletaan OAuth 2.0 Token Exchange -myöntötyyppiä (RFC 8693). Asiakas esittää mTLS-varmennetun kansakuntaidentiteettinsä koalition tokenvaihtopäätepisteelle; päätepiste hakee kansakunnan valtuutetun julkaisukelpoisuusjoukon käytäntövarastosta (jota ylläpitää datan omistavan kansakunnan turvallisuusviranomainen) ja myöntää lyhytikäisen JWT:n, joka sisältää tuon joukon jäsenneltynä väitteenä.

Myöhemmät API-pyynnöt kantavat tätä JWT:tä Bearer-tokenina. Yhdyskäytävän julkaisukelpoisuusmoottori lukee JWT-väitteet määrittääkseen pyytäjän valtuutetun julkaisukelpoisuusjoukon tekemättä reaaliaikaista kutsua käytäntövarastoon jokaisella pyynnöllä. JWT:n vanheneminen – tyypillisesti 15–60 minuuttia operatiivisissa koalitioympäristöissä – varmistaa, että käytäntömuutokset (kuten kansakunnan valtuutuksen muuttaminen luokitustarkastuksen jälkeen) leviävät rajatun aikaikkunan sisällä. Tämä välttää sekä per-pyyntö-käytäntöhakujen viiveen että rajattoman pitkäikäisten tokenien vanhentumisriskin.

Nopeusrajoitus ja rajoitus koalition API:ille

Nopeusrajoitus koalition API:ssa palvelee kahta erillistä tarkoitusta: taustajärjestelmän suojaamista ylikuormitukselta ja oikeudenmukaisen pääsyn varmistamista kumppanikansakuntien kesken. Molemmat tarkoitukset vaativat erilaiset rajarakenteet, ja ne on määritettävä erikseen.

Taustajärjestelmän suojaus käyttää päätepistekohtaisia nopeusrajoituksia, jotka koskevat kaikkia pyytäjiä. Kalliit päätepisteet – massaraidekyselyt, geospatiaaliset leikkaushakut, suuret aikavälihistoriakyselyt – saavat alemmat rajat kuin kevyet haut. Rajaarvot tulisi johtaa kuormitustesteistä taustajärjestelmää vastaan realistisilla koalitioliikennekuvioilla, ei mielivaltaisista oletusarvoista. HTTP 429 Retry-After-otsakkeen kanssa on vaadittu vastaus rajan ylittyessä; asiakkaiden on toteutettava eksponentiaalinen peräytyminen häiriön kanssa välttääkseen synkronoidut uudelleenyritysmyrskyt rajaikkunan nollautumisen jälkeen.

Kansakuntakohtaiset kiintiöt ja oikeudenmukaisuus

Oikeudenmukainen pääsy käyttää kansakuntakohtaisia kiintiöitä: liukuvan ikkunan rajaa kunkin kansakuntaidentiteetin pyyntöjen kokonaismäärälle minuutissa. Ilman kansakuntakohtaisia kiintiöitä suurivolyyminen kumppani voi monopolisoida yhdyskäytävän kapasiteetin ja heikentää muiden koalition jäsenten vasteaikoja – vikatila, joka on poliittisesti yhtä vahingollinen kuin teknisesti. Kansakuntakohtaiset kiintiöt tulisi määritellä ICD:hen ja sopia kahdenvälisesti; kansakunnan, joka jatkuvasti saavuttaa kiintiönsä, tulisi avata kiintiöiden uudelleenneuvottelu, ei toteuttaa kiertotapoja, jotka peittävät liikennekuvion yhdyskäytävältä.

Kiintiöiden valvonta – kunkin kansakunnan kiintiön käytön seuranta ajan myötä – on operatiivisesti arvokasta riippumatta rajoituksesta. Kansakunta, jonka käyttö on jatkuvasti 90 %:ssa kiintiöstä, lähestyy kapasiteettijyrkännettä; kansakunta, jonka käyttö putoaa äkillisesti, on saattanut kokea järjestelmäkatkon. Molemmat tilat kannattaa tietää ennen kuin niistä tulee operatiivisia ongelmia.

Keskeinen oivallus: Yleisin koalition API:n vikatila harjoituksissa ei ole todennus tai julkaisukelpoisuus – se ovat dokumentoimattomat nopeusrajoitukset. Kumppanikansakuntien järjestelmät, jotka on suunniteltu ilman dokumentoitua rajaoletusta, osuvat tuotantorajoituksiin korkean tempon operaatioiden aikana ja tulkitsevat HTTP 429:n verkkovirheeksi kiintiön ylityksen sijaan. Dokumentoi jokainen nopeusrajoitus ICD:hen, tarjoa testiympäristö, jossa rajat voidaan validoida ennen harjoitusta, ja vaadi kumppanijärjestelmiä osoittamaan oikea HTTP 429 -käsittely osana integraatiotarkistuslistaa.

Havainnoitavuus: käyttölokit, mittarit, jäljet ja auditointitapahtumat

Koalition API-yhdyskäytävä tuottaa neljä operatiivisen datan luokkaa, joista kullakin on erilaiset kuluttajat ja säilytysvaatimukset.

Käyttölokit kirjaavat jokaisen pyynnön ja vastauksen: aikaleima, pyytävän kansakunnan identiteetti, päätepiste, HTTP-metodi, HTTP-tilakoodi, vastauksen koko ja yhdyskäytävän käsittelyviive. Käyttölokeja kuluttaa operaatiotiimi välikohtausten diagnosointiin ja turvallisuustiimi anomalioiden havaitsemiseen. Niiden on oltava jäsenneltyjä (JSON on vakiomuoto) ja indeksoituja nopeaan kyselyyn kansakuntaidentiteetin, päätepisteen ja tilakoodin mukaan. Säilytys on tyypillisesti 90 päivää operatiivisille lokeille.

Mittarit paljastavat yhdyskäytävän reaaliaikaisen terveyden: pyyntönopeus, virheaste ja viiveen persentiilit (p50, p95, p99) kansakuntaa ja päätepistettä kohden. Prometheus-yhteensopiva mittaripäätepiste on standardi modernissa infrastruktuurissa käyttöönotetuille koalition API-yhdyskäytäville. Operaatiotiimi valvoo näitä mittareita kojelaudalla ja asettaa hälytykset virheasteen ja viiveen kynnysarvoille. Kansakuntakohtainen kiintiön käyttö on koalitiokohtainen mittari, jota ei löydy vakiomuotoisista yhdyskäytävän kojelaudoista ja joka on toteutettava mukautettuna mittarina.

Hajautetut jäljet tarjoavat päästä päähän -viiveen näkyvyyden yhdyskäytävän vastaanotosta taustajärjestelmän vastaukseen. W3C Trace Context -otsakkeet (traceparent, tracestate), jotka leviävät jokaisen hypyn läpi, mahdollistavat hitaan vastauksen korreloinnin tiettyyn taustajärjestelmän tietokantakyselyyn tai alavirran palvelukutsuun. Jälkiä kuluttavat insinöörit, jotka diagnosoivat suorituskykyregressioita; niitä ei tyypillisesti vaadita vaatimustenmukaisuuteen, mutta ne ovat korvaamattomia juurisyyanalyysissä harjoitusten aikana.

Julkaisukelpoisuuden auditointitapahtumat ovat koalitiokohtainen havainnoitavuusvaatimus. Jokaisen yhdyskäytävän vastauksen on tuotettava jäsennelty auditointitietue: pyytäjän identiteetti, pyynnön aikaleima, päätepiste, käytetyt tietoobjektit, julkaisukelpoisuuspäätös jokaiselle kentälle (jaettu tai pidätetty) ja käytäntösääntö, joka ohjasi päätöstä. Nämä tapahtumat kirjoitetaan peukaloinnin paljastavaan auditointivarastoon (vain lisäys, kryptografisesti allekirjoitettu loki) säilytysajalla, jonka koalition tiedonjakosopimus määrittää – tavallisesti 1–5 vuotta. Auditointivaraston on oltava datan omistavan kansakunnan turvallisuusviranomaisen saatavilla vaatimustenmukaisuustarkastusta varten, mutta ei yhdyskäytävän ajonaikaisen ympäristön kirjoitettavissa alkuperäisen lisäyksen jälkeen.

Valvo koalitiokäytäntöä integraatiokerroksella

Corvus Interoperability Dashboard tarjoaa yhtenäisen ohjaustason koalition API-käytäntöjen hallintaan – julkaisukelpoisuussääntöjen määritys, todennuksen federoinnin tila, kansakuntakohtaisten kiintiöiden valvonta ja auditointitapahtumien tarkastelu yhdessä operatiivisessa käyttöliittymässä, joka on suunniteltu monikansallisille tiedonjako-ohjelmille.

Tutustu Interoperability Dashboardiin → Varaa esittely

Tämän analyysin laativat Corvus Intelligence -insinöörit, jotka rakentavat tehtäväkriittistä yhteentoimivuusohjelmistoa puolustus- ja hallinto-organisaatioille. Lue lisää tiimistämme →

Usein kysytyt kysymykset

Mikä on koalition API-yhdyskäytävä ja miten se eroaa tavallisesta API-yhdyskäytävästä?

Koalition API-yhdyskäytävä on käytäntöjä valvova käänteinen välityspalvelin, joka sijoitetaan kansallisen järjestelmän ja koalitioverkon väliselle rajalle. Toisin kuin tavallinen yritystason API-yhdyskäytävä, sen on lisäksi valvottava julkaisukelpoisuussääntöjä (mitä tietoelementtejä saa jakaa minkä kumppanikansakuntien kanssa), federoitava todennus erilaisten identiteetintarjoajien välillä (kansallinen PKI, koalition PKI, NATO-PKI) ja lokitettava jokainen tiedonjakotapahtuma koalition tiedonjakosopimusten edellyttämiin auditointitarkoituksiin. Tavalliset API-yhdyskäytävät hoitavat todennuksen, nopeusrajoituksen ja reitityksen — koalitioyhdyskäytävät lisäävät näiden päälle julkaisukelpoisuuden valvonnan ja toimialueiden välisen auditoinnin.

Miten julkaisukelpoisuutta valvotaan API-yhdyskäytävän tasolla?

Julkaisukelpoisuuden valvonta yhdyskäytävässä toimii tarkastamalla tietojen luokituksen ja julkaisukelpoisuusmerkinnät jokaisessa vastausobjektissa — tyypillisesti kannettuna jäsenneltyinä metatietokenttinä tai STANAG 4774 / STANAG 4778 -merkintöinä — ja suodattamalla tai sensuroimalla kentät, jotka ylittävät pyytävän osapuolen valtuutetun julkaisukelpoisuustason. Yhdyskäytävä ylläpitää julkaisukelpoisuuskäytäntömoottoria: taulukkoa, joka kuvaa (tietoluokka, luokitustaso) vastaanottoon valtuutettujen kumppanikansakuntien tai koalitioryhmien joukkoon. Pyynnöt kantavat varmennetun identiteettiväitteen (federoidulta todennuskerrokselta), joka kuvautuu julkaisukelpoisuusvaltuutusjoukkoon; moottori soveltaa tietojen julkaisukelpoisuuden ja pyytäjän valtuutuksen leikkausta määrittääkseen, mitä voidaan palauttaa.

Mikä todennuksen federointimalli on yleisin koalition API-käyttöönotoissa?

Yleisin malli on keskinäinen TLS (mTLS) kuljetuskerroksella yhdistettynä OAuth 2.0 -tokenvaihtoon sovelluskerroksella. Jokainen kansakunta käyttää omaa identiteetintarjoajaansa. Yhdyskäytävä luottaa joukkoon koalition akkreditoimia juurivarmenneviranomaisia; näiden CA:iden allekirjoittamat asiakasvarmenteet vahvistavat alkuperäkansakunnan identiteetin kuljetuskerroksella. Tokenvaihtovaihe — käyttäen OAuth 2.0 Token Exchange RFC 8693 -myöntötyyppiä — muuntaa kansallisen identiteettiväitteen koalitiorajatuksi käyttöoikeustokeniksi, joka kantaa pyytäjän valtuutetun julkaisukelpoisuustason väitteenä. Tämä välttää federoidun kertakirjautumisen kansallisten identiteetintarjoajien välillä, tuottaen silti todennettavan, koalitiorajatun valtuutustunnisteen.

Miten nopeusrajoitus tulisi määrittää koalition tiedonjako-API:ille?

Koalition API:iden nopeusrajoitus tulisi määrittää kahdella tasolla: kansakuntakohtaiset kiintiöt ja päätepistekohtaiset kiintiöt. Kansakuntakohtaiset kiintiöt estävät yksittäisen kumppanin suurivolyymisten kyselyiden heikentämästä palvelua muille koalition jäsenille — liukuvan ikkunan raja pyyntöjä minuutissa kansakuntatunnistetta kohden on vakiomenetelmä. Päätepistekohtaiset kiintiöt suojaavat kalliita taustaoperaatioita (massaraidekyselyt, geospatiaaliset leikkaukset) kyselymyrskyiltä. Koalition API:iden tulisi käyttää HTTP 429:ää Retry-After-otsakkeen kanssa rajoituksen merkitsemiseksi; asiakkaiden on toteutettava eksponentiaalinen peräytyminen. Kiintiöarvot tulisi dokumentoida koalition API:n rajapinnan ohjausasiakirjaan ja neuvotella tiedonjakosopimuksen aikana — ajonaikana havaitut mielivaltaiset nopeusrajoitukset ovat yleinen yhteentoimivuusvirheiden lähde harjoitusten aikana.

Mitä havainnoitavuuden instrumentointia tarvitaan koalition API-yhdyskäytävällä?

Koalition API-yhdyskäytävät vaativat neljä havainnoitavuuden luokkaa: käyttölokit (pyynnön aikaleima, pyytäjän identiteetti, päätepiste, HTTP-tila, vastauksen koko — auditoinnin vaatimustenmukaisuutta varten), mittarit (pyyntönopeus, virheaste, viiveen persentiilit kansakuntaa ja päätepistettä kohden — kapasiteetin ja SLA:n valvontaan), hajautetut jäljet (päästä päähän -viive yhdyskäytävän vastaanotosta taustajärjestelmän vastaukseen — hitaiden kyselyiden diagnosointiin) ja julkaisukelpoisuuden auditointitapahtumat (jäsennelty tietue jokaisesta tiedonjakopäätöksestä: pyytäjän identiteetti, tietojen luokitus, julkaisukelpoisuuspäätös ja sensuroidut kentät — oikeudellista ja turvallisuuden vaatimustenmukaisuutta varten). Käyttölokit ja julkaisukelpoisuuden auditointitapahtumat on säilytettävä koalition tiedonjakosopimuksessa määritellyn ajan, joka on tyypillisesti 90 päivästä 5 vuoteen luokitustasosta riippuen.