[[421049]]

本文轉(zhuǎn)載自微信公眾號「新鈦云服」，作者楊良春。轉(zhuǎn)載本文請聯(lián)系新鈦云服公眾號。

無論您是企業(yè)內(nèi)部、云廠商或服務(wù)商架構(gòu)師，在梳理業(yè)務(wù)場景，規(guī)劃、部署應(yīng)用架構(gòu)之時(shí)，服務(wù)網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)的成敗，是直接決定您系統(tǒng)交付價(jià)值的最直接體現(xiàn)。

服務(wù)網(wǎng)關(guān)作用何在?

簡言之，路由轉(zhuǎn)發(fā)和過濾器。

· 路由轉(zhuǎn)發(fā)：接收一切外界請求，轉(zhuǎn)發(fā)至后端;

· 過濾器：完成權(quán)限校驗(yàn)、限流以及監(jiān)控等一系列橫切功能。

服務(wù)網(wǎng)關(guān)功能體現(xiàn)在哪?

近些年，隨著微服務(wù)輕量級應(yīng)用不斷盛行，API網(wǎng)關(guān)正扮演著舉足輕重的角色。因?yàn)樗刃枰袚?dān)企業(yè)應(yīng)用服務(wù)對外的唯一門戶，更重要的是它提取了許多應(yīng)用的共性功能。

目前API網(wǎng)關(guān)實(shí)現(xiàn)的功能包括請求分發(fā)、條件路由、API管理、限流隔離、熔斷降級、安全策略、監(jiān)控報(bào)警以及調(diào)用鏈追蹤等。

一、請求分發(fā)

API進(jìn)行服務(wù)發(fā)現(xiàn)時(shí)給不同url前綴以及微服務(wù)應(yīng)用構(gòu)建不同的namespace對象，在進(jìn)行請求匹配時(shí)候只需根據(jù)url前綴選取到對應(yīng)的namespace即可匹配到對應(yīng)微服務(wù)應(yīng)用，后續(xù)就是現(xiàn)有微服務(wù)框架sdk的功能：路由、負(fù)載均衡直至完成整個(gè)調(diào)用。

二、條件路由&灰度發(fā)布

條件路由依然是復(fù)用現(xiàn)有的微服務(wù)框架，避免重復(fù)造輪，網(wǎng)關(guān)進(jìn)行服務(wù)發(fā)現(xiàn)初始化時(shí)會(huì)給每個(gè)應(yīng)用創(chuàng)建Invoker代理對象，Invoker內(nèi)會(huì)根據(jù)不同的分組創(chuàng)建不同的Space空間，請求調(diào)用時(shí)會(huì)對這些Space空間進(jìn)行規(guī)則匹配，從而決定是否路由到特定分組上。

三、API管理

當(dāng)大部分應(yīng)用還是裸連網(wǎng)關(guān)而非經(jīng)過BFF聚合時(shí)，有必要對每個(gè)接口都進(jìn)行管理，以區(qū)分哪些是微服務(wù)間調(diào)用，哪些是暴露給前端/客戶端調(diào)用。

四、限流隔離/熔斷降級

API網(wǎng)關(guān)作為南北流量的唯一入口，整體治理必要性非常大。

限流隔離主要是作用在流入方向服務(wù)端測的流量控制，其中限流主要是控制qps，隔離主要是控制并發(fā)數(shù)。通過相關(guān)SDK(基于Prometheus)暴露metrics數(shù)據(jù)給監(jiān)控平臺，以便我們隨時(shí)觀察到流量控制水平。

五、安全策略

針對惡意爬蟲類異常流量，用戶可以在網(wǎng)關(guān)管控平臺手動(dòng)進(jìn)行規(guī)則配置，經(jīng)由配置中心下發(fā)到網(wǎng)關(guān)的Security Control進(jìn)行熱更新。在請求來臨時(shí)由它判斷是否符合規(guī)則，被封禁的流量同樣暴露metrics數(shù)據(jù)給監(jiān)控平臺供我們隨時(shí)查看。

同時(shí)還會(huì)將網(wǎng)關(guān)日志實(shí)時(shí)采集至大數(shù)據(jù)分析平臺，經(jīng)分析如果判斷某個(gè)ip或者用戶存在異常情況，會(huì)自動(dòng)配置安全策略規(guī)則至網(wǎng)關(guān)管控平臺，同時(shí)觸發(fā)一個(gè)報(bào)警提醒業(yè)務(wù)owner。目前支持包括根據(jù)客戶端IP、用戶ID、其余http header/attribute等。

六、監(jiān)控報(bào)警

API網(wǎng)關(guān)有完善的監(jiān)控報(bào)警、調(diào)用鏈追蹤、日志查詢等功能。這里監(jiān)控主要指查詢metrics、調(diào)用鏈主要指查詢tracing，日志即logging，三者是監(jiān)控領(lǐng)域典型指標(biāo)：

此外還支持主機(jī)層面的報(bào)警，通過內(nèi)嵌了的metrics sdk暴露metrics指標(biāo)到endpoint供監(jiān)控中心拉取，tracing sdk負(fù)責(zé)埋點(diǎn)打印tracing日志，tracing日志和業(yè)務(wù)日志均會(huì)通過日志采集器輸入監(jiān)控中心處理。在監(jiān)控平臺上，用戶可以查詢調(diào)用鏈、監(jiān)控、日志信息，API網(wǎng)關(guān)發(fā)生的主機(jī)異?；蛘邩I(yè)務(wù)異常也會(huì)報(bào)警給owner。

技術(shù)選型

若讀者有興趣自建一個(gè)輕量級的服務(wù)網(wǎng)關(guān)，技術(shù)選型推薦如下：

· 開發(fā)語言：java + groovy，groovy的好處是網(wǎng)關(guān)服務(wù)無需重啟動(dòng)態(tài)添加filter實(shí)現(xiàn)

· 微服務(wù)基礎(chǔ)框架：Springboot;

· 網(wǎng)關(guān)基礎(chǔ)組件：Netflix Zuul;

· 服務(wù)注冊中心：Consul;

· 權(quán)限校驗(yàn)：JWT;

· API監(jiān)控：Prometheus + Grafana;

· API統(tǒng)一日志收集：Logback + ELK; 

· 壓力測試：Jmeter。