选型
api网关相关功能
服务的路由
- 动态路由
- 负载均衡
服务发现
限流
熔断、降级
流量管理
- 黑白名单
- 反爬策略
控制台:通过清晰的UI界面对网关集群进行各项配置。
集群管理:Goku网关节点是无状态的,配置信息自动同步,支持节点水平拓展和多集群部署。
热更新:无需重启服务,即可持续更新配置和插件。
服务编排:一个编排API对应多个backend,backend的入参支持客户端传入,也支持backend间的参数传递;backend的返回数据支持字段的过滤、删除、移动、重命名、拆包和封包;编排API能够设定编排调用失败时的异常返回。
数据转换:支持将返回数据转换成JSON或XML。
负载均衡:支持有权重的round-robin负载平衡。
服务发现:从 Consul、Eureka 等注册中心发现后端服务器。
HTTP(S)反向代理:隐藏真实后端服务,支持 Rest API、Webservice。
多租户管理:根据不同的访问终端或用户来判断。
访问策略:支持不同策略访问不同的API、配置不同的鉴权(匿名、Apikey、Basic)等。
灵活的转发规则:支持模糊匹配请求路径,支持改写转发路径等,可为不同访问策略或集群设置不同的负载。
IP黑白名单。
自定义插件:允许插件挂载在常见阶段,例如before match,access和proxy。
CLI: 使用命令行来启动、关闭和重启Goku。
Serverless: 在转发过程的每一个阶段,都可以添加并调用自定义的插件。
请求日志(access log):仅记录转发的基本内容,自定义记录字段与排序顺序,定期自动清理日志。
运行日志(system log):提供控制台和节点的运行日志,默认仅记录ERROR等级的信息,可将等级按实际情况调成INFO、WARN或DEBUG。
可扩展:简单易用的插件机制方便扩展功能。
高性能:性能在众多网关之中表现优异。
Open API:提供 API 对网关进行操作,便于集成。
版本控制:支持操作的发布和多次回滚。
监控和指标:支持Prometheus、Graphite。
迭代计划
Open Tracing:支持Zipkin
动态路由:不同参数值不同转发
gRPC 协议转换:支持协议的转换,客户端可以通过 HTTP/JSON 来访问 gRPC API
kong介绍
Kong是一个开源的API网关,它是一个针对API的一个管理工具。你可以在那些上游服务之前,额外地实现一些功能。
Kong本身是一款基于OpenResty(Nginx + Lua模块)编写的高可用、易扩展的,由Mashape公司开源的API Gateway项目。Kong是基于NGINX和Apache Cassandra或PostgreSQL构建的,能提供易于使用的RESTful API来操作和配置API管理系统,所以它可以水平扩展多个Kong服务器,通过前置的负载均衡配置把请求均匀地分发到各个Server,来应对大批量的网络请求.
8001:kong的管理的端口
8000:用户访问
1337:konga地址
8443:https
Services:
Service顾名思义,就是我们自己定义的上游服务,通过Kong匹配到相应的请求要转发的地方,Service可以与下面的Route进行关联,一个Service可以有很多Route,匹配到的Route就会转发到Service中,当然中间也会通过Plugin的处理,增加或者减少一些相应的Header或者其他信息.
Routes:
Route路由相当于nginx配置中的location
Route实体定义匹配客户端请求的规则.每个路由都与一个服务相关联,而服务可能有多个与之相关联的路由.每一一个匹配给定路线的请求都将被提交给它的相关服务.
路由和服务的组合(以及它们之间的关注点分离)提供了一-种强大的路由机制,可以在Kong中定义细粒度的入口点,从而引导您的访问到不同upstream服务.
基本的路由转发
kong集成consul实现服务发现和负载均衡–kong会为我们完成负载均衡的过程
只需要设置service的Name为:consul里的名称.service.consul而且端口需要改成80
配置JWT
通用认证
一般情况下,上游API服务都需要客户端有身份认证,且不允许错误的认证或无认证的情况下请求。认证插件可以实现这一需求,这些插件的通用方案/流程如下:
- 1.向一个API或全局添加AUTH插件(此插件不作用于consumers);
- 2.创建一个consumer对象
- 3.为consumer提供指定的验证插件方案的身份验证凭据
- 4.现在,只要有请求进入Kong,都将检查其提供的身份验证凭据(取决于auth类型),如果请求无法被验证或者验证失败,则请求会被锁定,不执行向上游服务转发的操作.
但是上述的一般流程并不是有效的。比如,当使用外部验证方案(比如LDAP)时,Kong就不会(不需要)对consumer进行身份验证。
Consumers
最简单的理解和配置consumer的方式是,将其于用户进行----映射,即一个consumer代表一个用户(或应用)。但是对于KONG而言,这些都无所谓。consumer的核心原则是你可以为其添加插件,从而自定义他的请求行为。所以,或者你会有一个手机APP应用,并为他的每个版本都定义一个consumer,有或者你有一个应用或几个应用,并为这些应用定义同一consumer,这些都无所谓,这是一个模糊的概念,他叫做consumer,而不是user!一定要区分开来,且不可混淆.
匿名验证
首先需要创建一个Service来做上有服务,来匹配到相应的转发的目的地,一个Service可以由多个Route,匹配到的Route都会转发给Service。
Service可以是一个世纪的地址,也可以是kong内部提供的upstream object
kong配置jwt实现登录校验
在Kong中,可以使用JWT插件来实现基于JSON Web Token (JWT)的登录校验。下面是使用Kong配置JWT插件的详细步骤:
配置过程:
1. 新建一个consumer
2. 为这个consumer添加jwt
- 记住key!
3. 配置全局plugins
- 设置为header为x-token(和gin保持一致)
4.在jwt.io生成token
-在payload需要加iss:key键
而且这个key中需要跟代码中的相同
在x-token中的value添加Bearer
安装JWT插件:
Kong提供了JWT插件,因此不需要单独安装。可以通过以下步骤启用插件:
- 登录Kong的管理界面,选择"Plugins"选项卡,然后点击"Add Plugin"按钮。
- 在弹出的表单中选择"jwt"插件,并填写插件的配置信息。
- 点击"Save"按钮保存插件。
kong配置反爬和ip黑名单
在Kong中,可以使用Access插件和IPRestriction插件来实现反爬和IP黑名单功能。下面是使用Kong配置这两个插件的详细步骤:
安装Access和IPRestriction插件:
Kong提供了Access和IPRestriction插件,因此不需要单独安装。可以通过以下步骤启用插件:
- 登录Kong的管理界面,选择"Plugins"选项卡,然后点击"Add Plugin"按钮。
- 在弹出的表单中选择"access"插件或"ip-restriction"插件,并填写插件的配置信息。
- 点击"Save"按钮保存插件。
简单介绍
Kong简单介绍