API网关定位为运用系统做事接口的网关,差异于网络技能的网关,但是事理是一样的。API网关统一做事入口,可方便实现对平台浩瀚做事接口进行管控,如对访问做事的身份认证、防报文重放与防数据修改、功能调用的业务鉴权,以及相应数据的脱敏、流量与并发掌握,乃至基于API调用的计量或计费等。
API并不能适用于所有场景
在基于微做事的架构设计中,每每包含多个做事,这些做事并不能适用于所有场景。例如,在一个面向PC的Web运用中,做事所要供应的API是要返回一个页面,而非纯挚的数据,那么这样的API只能适用于Web运用,而不能适用于移动APP。
又如,在移动APP的架构设计中,由于网络带宽的限定,在设计API时,每每会考虑较少的网络传输次数及更少的传输数据。而面向PC的Web运用却无须考虑这些限定。
图10-1展示了不同场景下的API网关利用情形。
API网关常用于以了局景。
黑白名单:实现通过IP地址掌握禁止访问网关功能。日志:实现访问日志的记录,可用于剖析访问、处理性能指标,同时将剖析结果支持其他模块功能运用。协议适配:实现通信协议校验、适配转换的功能。身份认证:卖力网关访问身份认证验证。计流限流:实现微做事访问流量打算,基于流量打算剖析进行限流,可以定义多种限流规则。路由:是API网关很核心的模块功能,此模块实现根据要求锁定目标微做事,并将要求进行转发。API网关所带来的好处
API网关能够为外部消费方供应一套统一的入口点,且不会受到内部微做事的详细数量与组成的影响。
API网关为微做事架构系统带来了如下好处。
1.避免将内部信息透露给外部
在数据安全方面,API网关能够将外部公共API与内部微做事API区分开来,使各项微做事在添加或变更时,能有明确的安全边界。这样,微做事架构就能随韶光推移而始终通过重组来担保系统安全,且不会对外部绑定客户造成影响。其余,其还能够为全部微做事供应单一入口点,从而避免外部客户进行做事创造及版本掌握信息查看。
2.为微做事添加额外的安全层
API网关能够供应─套额外的保护层,足以应对SQL注入、XML解析攻击及谢绝做事(DoS)攻击等常见威胁成分,从而实现额外的保护层效果。系统的权限掌握也可以在这一层来履行。
3.支持稠浊通信协议
面向外部的API,由于考虑到平台和措辞的无关性,每每向外供应基于HTTP或REST的API。但内部微做事每每会采取不同的通信协议。此类协议包括ProtoBuf、AMQP或其他集成有SOAP、JSON-RPC或XML-RPC的系统。API网关可超过这些协议,供应一个外部统一的、基于REST的API,并许可各团队以此为根本选择最适宜内部架构的协议方案。
4.降落构建微做事的繁芜性
微做事架构系统每每拥有比单个架构更多的管理繁芜度,如API令牌验证、访问掌握及速率限定等。每一项功能的履行,都会给干系实现做事带来影响,进而会延长微做事的开拓韶光。API网关能够从代码层面隔离这些功能项,使开拓职员在构建单个微做事时,能够专注于实际的核心业务。
5.微做事仿照与虚拟化
通过将微做事内部API与外部API加以区分,大家可以仿照或虚拟化自己的做事,从而知足设
计哀求或合营集成测试。
API网关的弊端
虽然利用API网关会给微做事架构带来一定的好处,但同时仍旧要考虑如下的弊端。
由于额外API网关的加入,会使全体开拓在架构上考虑更多的编排与管理事情。在开拓过程中,对路由逻辑配置要进行统一的管理,从而能够确保以合理的路由办法对接外部API与专用微做事。除非架构本身充分适应高可用性与规模化哀求,否则API网关每每会成为一项限定性成分,乃至引发单点故障。常见API网关的实现办法业界常用的API网关办法有很多,技能方案也很成熟,个中也不乏很多开源的产品,如NG-INX、Tyk、Kong、API Umbrella、ApiAxle、Zuul、WSO2 API Manager等。下面先容三种常见的API网关方案。
NGINX
NGINX是一个免费的、开源的、高性能的HTTP做事器和反向代理,以及一个IMAP/POP3代理做事器。NGINX以其高性能、稳定性、丰富的功能集、大略的配置和低资源花费而有名。
NGINX是为办理C10K问题而编写的少数做事器之一。与传统做事器不同,NGINX不依赖于线程来处理要求。相反,它利用可扩展的事宜驱动(异步)架构。这种架构在负载下利用小的但更主要的可预测的内存量。即利用户不肯望处理数千个并发要求,仍旧可以从NGINX的高性能和小内存中获益。NGINX在各个方向扩展:从最小的VPS一贯到大型做事器集群。
NGINX拥有诸如Netflix、Hulu、Pinterest、CloudFlare、Airbnb、WordPress.com、GitHub、SoundCloud、Zynga、Eventbrite、Zappos、Media Temple、Heroku、RightScale、Engine、Yard,MaxCDN等浩瀚高有名度网站。
NGINX具有很多非常优胜的特性。
作为Web做事器;比较Apache,NGINX利用更少的资源,支持更多的并发连接,表示更高的效率,这点使NGINX尤其受到虚拟主机供应商的欢迎。作为负载均衡做事器:NGINX既可以在内部直接支持Rails和PHP,也可以支持作为HTTP代理做事器对外进行做事。NGINX用C措辞编写,系统资源开销小,CPU利用效率高。作为邮件代理做事器:NGINX同时也是一个非常精良的邮件代理做事器(最早开拓这个产品的目的之一也是作为邮件代理做事器)。将NGINX作为API网关
NGINX用server_name来定义做事器名称,以是它可以决定哪一个server块将用来处理给定的要求,也便是实现了API网关的功能。
NGINX可以利用精确名称、通配符、正则表达式来定义做事器名称。下面是一个例子。
server{listen80;server name example.org www.example.org;server {listen 80;server name .example.org;..server{listen 80;server namemail.;server {listen80;server name~^(?<user>.+).examplel.net$;。。。}
当探求一个虚拟做事器的名称时,如果指定的名称匹配多个变量,如通配符和正则表达式都匹配,将会按照以下的顺序选择第一个匹配的变量。
精确名称。以星号“”开头的最长的通配符,如“.example.org”。以星号“”结尾的最长的通配符,如“mail.”。第一个匹配的正则表达式(根据在配置文件中涌现的顺序)。Spring Cloud Zuul
Zuul是Netflix公司开源的一个API网关组件,供应了认证、鉴权、限流、动态路由、监控、弹性、安全、负载均衡、帮忙单点压测、静态相应等边缘做事的框架。
Zuul的基本功能如下。
验证与安全保障:识别面向各种资源的验证哀求并谢绝那些与哀求不符的要求。审查与监控:在边缘位置追踪故意义的数据及统计结果,从而为用户带来准确的生产状态结论。动态路由:以动态办法根据须要将要求路由至不同后端集群处。压力测试:逐渐增加指向集群的负载流量,从而打算性能水平。负载分配:为每一种负载类型分配对应容量,并弃用超出限定值的要求。静态相应处理:在边缘位置直接建立部分相应,从而避免其流入内部集群。Zuul处理每个要求的办法是针对每个要求利用一个线程来处理。常日情形下,为了提高性能,所有要求会被放到处理行列步队中,从线程池中选取空闲线程来处理该要求。2016年年底,Netlix将它们的网关做事Zuul进行了升级,全新的Zuul 2将HTTP要求的处理办法从同步变成了异步,以提升其处理性能。
Spring Cloud Zuul是基于Netflix Zuul的微做事路由和过滤器的办理方案,也用于实现API网关。
有关Zuul的内容,将会在本文后续章节中详细先容。
Kong
Kong 是专注于供应微做事API网关的管理平台,它本身是基于NGINX的,但比NGINX供应了更为大略的配置办法,并且供应了一些精良的插件,如验证、日志、调用频次限定等。
Kong 其余一个强大之处在于供应了大量的插件来扩展运用,通过设置不同的插件,可以为做事供应各种增强的功能。Kong 的插件平台可以访问https://konghq.com/pluginsl。
Kong具有以下特性。
支持云支配:可以运行在Kubernetes管理的平台上。动态负载均衡。做事器创造webSocket。OAuth2.0。日志。安全:ACL(访问掌握)、CORS(跨域资源共享)、动态SSL、IP限定、爬虫检测实现。系统日志。SSL。监控。认证:HMAC、JWT、Basic等。速率限定。缓存。RESTAPI。集群。可扩展。图10-2展示了Kong 的架构示意图,该图来自Kong官网。
本篇文章内容给大家讲解的是API网关的意义和常见API网关的实现办法下篇文章给大家讲解如何集成 Zuul和实现API网关;以为文章不错的朋友可以转发此文关注小编;感谢大家的支持
