API-Management-Lösungen

Worum geht's?

Ein API-Management-System (APIM) ist die Schaltzentrale vor deinen APIs: Authentifizierung, Rate-Limiting, Caching, Versionierung, Analytics, Developer-Portal und Monetarisierung. Hier vergleichen wir die zehn wichtigsten Lösungen am Markt – inspiriert vom onlu.ch-Vergleich.

1. Was macht ein APIM?

┌──────────────────────────────────────────────────────────────────────┐
│                     API-Gateway / Management                         │
├──────────────────────────────────────────────────────────────────────┤
│  ↳ Authentifizierung   (OAuth2, JWT, API-Key, mTLS)                  │
│  ↳ Authorization       (Scopes, RBAC, Policies)                      │
│  ↳ Rate-Limiting       (per Key, per IP, per Tier)                   │
│  ↳ Caching             (Response-Cache, ETag)                        │
│  ↳ Transformation      (Request/Response-Mapping, Versioning)        │
│  ↳ Routing             (Load-Balancing, Canary, A/B)                 │
│  ↳ Observability       (Logs, Traces, Metriken)                      │
│  ↳ Developer-Portal    (Doku, API-Keys, Try-it)                      │
│  ↳ Monetarisierung     (Plans, Quotas, Billing)                      │
└──────────────────────────────────────────────────────────────────────┘

2. Schnellvergleich

Lösung	Open Source	Deployment	Pricing	Zielgruppe
Apigee (Google)	⚪	Cloud + Hybrid	$20+/M-Calls + Tier	Enterprise mit komplexen APIs
AWS API Gateway	⚪	AWS-Cloud	$3.50/M-Calls + Data	AWS-native
Azure API Management	⚪	Azure-Cloud	$/Tier (Dev → Premium)	Azure-zentriert
MuleSoft Anypoint	⚪	Cloud + Hybrid	Quote (Enterprise)	Enterprise-Integration
Kong	✅	Self + Cloud	OSS frei + Konnect	Microservices, Kubernetes
Tyk	✅	Self + Cloud	OSS + Pro Quote	Open-Source-orientiert
WSO2 API Manager	✅	Self + Cloud	OSS + Subscription	Integration + Identity
Gravitee	✅	Self + Cloud	OSS + Enterprise	Event-Driven (Kafka, WS)
OpenResty	✅	Self	Frei (Nginx-basiert)	High-Performance Custom
APIMEN	⚪	Cloud + On-Prem	Quote	KMUs, No-Code

---

3. Apigee (Google Cloud)

Anbieter	Google Cloud
Deployment	Apigee X (Cloud), Hybrid (GKE)
Pricing	Evaluation gratis · Pay-as-you-go ab $20/M-Calls · Subscription Enterprise
Auth	OAuth2, JWT, API-Keys, SAML, OpenID
Stärken	Echtzeit-Tracking, detaillierte Dashboards, flexible Abrechnung, Monetarisierung
Schwächen	Cloud-fokussiert, Pricing für KMU steil
Zielgruppe	Große Unternehmen mit komplexen API-Umgebungen
Doku	cloud.google.com/apigee

Idealer Use-Case: Enterprise-API-Monetarisierung, regulierte Branchen mit GCP-Stack.

---

4. AWS API Gateway

Anbieter	AWS
Deployment	AWS Cloud (Regional / Edge / Private)
Pricing	$3.50/M REST-Calls +$0.09/GB Data-Out + Caching $0.02/h
Auth	IAM, Cognito, Lambda Authorizer, API-Keys
Stärken	CloudFront-Integration, Lambda-Authorizer, AWS WAF, Pay-per-Use
Schwächen	Komplex bei Multi-Stage, kein eingebautes Developer-Portal
Zielgruppe	Cloud-native Anwendungen auf AWS
Doku	aws.amazon.com/api-gateway

Idealer Use-Case: Serverless mit Lambda, AWS-native Stacks, niedrige Einstiegshürde.

---

5. Azure API Management

Anbieter	Microsoft Azure
Deployment	Cloud + Self-Hosted Gateway
Pricing	Consumption-Tier $4.20/M + Tiers Developer / Basic / Standard / Premium
Auth	OAuth2, Subscription Keys, JWT, Azure AD
Stärken	Azure Functions / Logic Apps native, automatische Skalierung
Schwächen	Premium-Tier sehr teuer, komplexes Pricing
Zielgruppe	Azure-zentrierte Enterprise
Doku	learn.microsoft.com/azure/api-management

---

6. MuleSoft Anypoint

Anbieter	Salesforce
Deployment	Anypoint Cloud + Anypoint Platform on-prem
Pricing	Quote-only, Enterprise-Lizenz
Stärken	Konnektoren (Salesforce, SAP, AWS), No-Code-Design, zentrale Governance
Schwächen	Enterprise-Pricing, Vendor-Lock-in zu Salesforce
Zielgruppe	Enterprise-Integrationen (CRM, ERP, Legacy)

---

7. Kong (Open Source + Konnect)

Lizenz	Apache 2.0 (Gateway), Konnect Cloud kommerziell
Repo	github.com/Kong/kong
Deployment	Self-Hosted (Kubernetes, Docker, Bare-Metal), Konnect Cloud, Konnect Dedicated
Pricing	OSS gratis · Konnect Plus $250/Monat · Konnect Enterprise Quote
Auth	mTLS, JWT, OAuth2, Key-Auth, LDAP, OIDC
Stärken	Sehr hohe Durchsätze (Nginx-based), Plugin-Architektur, Kubernetes Ingress
Schwächen	Manche Plugins nur in Enterprise (Caching, Advanced Auth)
Zielgruppe	Microservice-Architekturen, Kubernetes-First
Doku	docs.konghq.com

Stärken im Detail:

• 5000+ RPS pro Node mit niedriger Latenz
• 1000+ Community-Plugins
• Konnect als Hybrid-Control-Plane mit On-Prem-Data-Plane

---

8. Tyk

Lizenz	MPL-2.0 (Gateway), Pro-Features kommerziell
Repo	github.com/TykTechnologies/tyk
Deployment	Self-Hosted, Tyk Cloud, Hybrid
Pricing	OSS gratis · Self-Managed Pro ab €600/Monat · Cloud ab $600
Stärken	GraphQL-Federation, Universal Data Graph, sehr leichtgewichtig
Schwächen	Benötigt externes IAM (Keycloak, Auth0, Okta) für Power-Features
Zielgruppe	Open-Source-orientierte Unternehmen, GraphQL-Heavy-Stacks
Doku	tyk.io/docs

---

9. WSO2 API Manager

Lizenz	Apache 2.0
Repo	github.com/wso2/product-apim
Deployment	On-Prem, Cloud, Hybrid
Pricing	OSS gratis · Subscription-Tier mit Support
Auth	OAuth2, OpenID Connect, eingebautes IAM (Identity Server)
Stärken	REST + GraphQL + SOAP + WebSub + Streams, integriertes IAM, Zero-Trust
Schwächen	Java-Stack, ressourcenhungrig
Zielgruppe	Unternehmen mit Integrationsfokus, regulierte Branchen
Doku	apim.docs.wso2.com

---

10. Gravitee

Lizenz	Apache 2.0 (Community) + Enterprise
Repo	github.com/gravitee-io
Deployment	Self-Hosted, Cloud
Pricing	OSS gratis · Enterprise Quote
Stärken	Event-Driven nativ (Kafka, WebSockets, SSE, MQTT), integriertes IAM (Access Management), adaptives Monitoring
Schwächen	Weniger Mainstream-Bekanntheit als Kong
Zielgruppe	Event-Driven Architekturen, Real-Time-APIs
Doku	docs.gravitee.io

---

11. OpenResty

Lizenz	BSD (Nginx-basiert)
Repo	github.com/openresty/openresty
Deployment	Self-Hosted, Bare-Metal
Pricing	Komplett gratis
Stärken	Extrem hohe Performance, Lua-Scripting, Basis vieler anderer Gateways (Kong, APISIX)
Schwächen	Erfordert sehr technisches Know-how, kein Management-UI
Zielgruppe	Performance-First-Teams mit Custom-Anforderungen
Doku	openresty.org/en/getting-started.html

→ Wer OpenResty mit UI/Dashboard will, schaut sich Apache APISIX an (auch OSS, basiert auf OpenResty mit etcd als Config-Store).

---

12. APIMEN

Lizenz	Proprietär
Deployment	Cloud + On-Prem
Stärken	No-Code-Integration, automatisierte API-Dokumentation, Benutzerfreundlichkeit für KMUs
Zielgruppe	KMUs ohne starke Dev-Mannschaft

---

13. Weitere Player

Apache APISIX

Lizenz	Apache 2.0
Repo	github.com/apache/apisix
Stärken	OpenResty-basiert, etcd statt DB, Hot-Reload, sehr aktive Community
Stärke gegenüber Kong	Komplett OSS, keine Enterprise-Mauer

KrakenD

Lizenz	Apache 2.0
Schwerpunkt	API-Aggregation/Gateway-as-Code, BFF-Pattern
Stärke	Stateless, sehr schnell, declarative config

Traefik / Traefik Enterprise

Lizenz	MIT (Community)
Schwerpunkt	Cloud-native Edge-Router mit auto-discovery für Docker/K8s
Pricing	Enterprise ab Quote

F5 NGINX Plus / NGINX Management Suite

Lizenz	Proprietär
Stärke	Enterprise-Support, F5-Backbone, sehr stabil

Backstage + APIDocs (Plugin)

→ Kein klassisches APIM, aber für API-Discovery + Developer-Portal in großen Organisationen.

---

14. Vergleichs-Matrix

Feature	Apigee	Kong	Tyk	WSO2	Gravitee	AWS APIGW	Azure APIM	APISIX
Open Source	⚪	✅	✅	✅	✅	⚪	⚪	✅
Multi-Cloud	✅	✅	✅	✅	✅	⚪	⚪	✅
On-Prem	✅	✅	✅	✅	✅	⚪	tlw.	✅
Developer-Portal	✅	✅	✅	✅	✅	⚪	✅	tlw.
OAuth2/OIDC	✅	✅	✅	✅	✅	✅	✅	✅
mTLS	✅	✅	✅	✅	✅	✅	✅	✅
GraphQL	✅	✅	✅	✅	✅	tlw.	tlw.	✅
WebSocket	✅	✅	✅	✅	✅	✅	✅	✅
Event-Driven (Kafka)	✅	tlw.	⚪	✅	⭐⭐⭐⭐⭐	⚪	tlw.	⚪
Monetarisierung	✅	tlw.	✅	✅	✅	⚪	✅	⚪

---

15. Auswahl-Heuristik

Situation	Empfehlung
Bereits in AWS	AWS API Gateway
Bereits in Azure / .NET	Azure API Management
Bereits in GCP	Apigee
Kubernetes-Stack	Kong (OSS) oder Gravitee
Event-Driven (Kafka, WS)	Gravitee
DSGVO / On-Prem zwingend	WSO2, Kong (Self), Tyk (Self), Gravitee (Self)
High-Performance Custom	OpenResty oder APISIX
Salesforce / ERP-Integration	MuleSoft
KMU ohne Cloud-Team	APIMEN oder Cloud-Managed-Tier von Kong/Tyk
GraphQL-Federation-Heavy	Tyk oder Apollo Router

---

16. Beispiel-Setup: Kong als API-Gateway in Docker

# docker-compose.yml
services:
  kong-database:
    image: postgres:16
    environment:
      POSTGRES_USER: kong
      POSTGRES_DB: kong
      POSTGRES_PASSWORD: kong

  kong:
    image: kong/kong-gateway:3.8
    depends_on: [kong-database]
    environment:
      KONG_DATABASE: postgres
      KONG_PG_HOST: kong-database
      KONG_PG_PASSWORD: kong
      KONG_PROXY_LISTEN: 0.0.0.0:8000
      KONG_ADMIN_LISTEN: 0.0.0.0:8001
    ports:
      - "8000:8000"   # Proxy
      - "8001:8001"   # Admin API

# Service + Route + Rate-Limit + Key-Auth Plugin anlegen
curl -X POST http://localhost:8001/services \
  -d name=myapi -d url=http://backend:3000

curl -X POST http://localhost:8001/services/myapi/routes \
  -d paths[]=/api

curl -X POST http://localhost:8001/services/myapi/plugins \
  -d name=rate-limiting -d config.minute=60

curl -X POST http://localhost:8001/services/myapi/plugins \
  -d name=key-auth

→ Jetzt sind Routen mit Auth + Rate-Limit live. Konfiguration auch deklarativ über decK (Kong-Declarative-Config) möglich.

---

17. Sicherheit

Beim APIM-Einsatz beachten

• mTLS zwischen Gateway und Backend
• Secret Management über Vault / KMS, nie in Config-Files
• Audit-Logs dauerhaft archivieren (Compliance)
• Plugin-Review: Custom-Plugins können den gesamten Traffic einsehen
• Update-Disziplin: APIM-Bugs sind kritisch (zentraler Edge)
• Network-Policies für Kubernetes-Deployments

---

18. Weiterführend

• Architekturen, die APIM verwaltet → API-Architekturen
• Laravel-Backend hinter dem Gateway → Laravel-Guide
• OSS-Alternativen → Open-Source-APIs

Externe Quelle: Großer APIM-Vergleichsartikel auf onlu.ch.