微服務架構必讀篇 - 網關

前言

由於互聯網的高速發展,網絡數據請求數激增,使得服務器承受的壓力越來越大。在早期的系統架構中,爲減輕單臺服務器的壓力,通常使用 Load Balancer 來將網絡流量平攤到多個服務器中。如今後端服務的種類和數量在不斷變多,傳統的 Load Balancer 爲主的系統架構的侷限性就變得明顯起來,於是一款主要工作在七層且具有豐富擴展能力的基礎設施便應運而生,那便是 API Gateway

什麼是 API 網關

API 網關 簡單來說是一種主要工作在七層、專門用於 API 的管理和流量轉發的基礎設施,並擁有強大的擴展性。

網關的角色是作爲一個 API 架構,用來保護、增強和控制對於 API 服務的訪問。它是一個處於應用程序或服務(提供 REST API 接口服務)之前的系統,用來管理授權、訪問控制和流量限制等。這樣 REST API 接口服務就被網關保護起來,對所有的調用者透明。因此,隱藏在 API 網關後面的業務系統就可以專注於創建和管理服務,無需關心這些策略性的請求。

網關工作流程如下圖:

網關必須具備的特點

1. 高性能

對於高性能而言,網關不應該也不能成爲性能的瓶頸,最好使用高性能的編程語言來實現,如 C、C++、Go 和 Java。網關對後端的請求,以及對前端的請求的服務一定要使用異步非阻塞的 I/O 來確保後端延遲不會導致應用程序中出現性能問題。C 和 C++ 可以參看 Linux 下的 epoll 和 Windows 的 I/O Completion Port 的異步 IO 模型,Java 下如 Netty、Spring Reactor 的 NIO 框架。

2. 高可用

所有的流量或調用都要經過網關,所以網關必須成爲一個高可用的組件,它的穩定直接關係到了所有服務的穩定。不能出現單點故障,因此,一個好的網關至少做到以下幾點。

集羣化 。網關要成爲一個集羣,並可以自己同步集羣數據,而不需要依賴於第三方系統來同步數據。

服務化 。網關還需要做到在不間斷的情況下修改配置,一種是像 Nginx reload 配置那樣,可以做到不停服務,另一種是最好做到服務化。也就是說,得要有自己的 Admin API 來在運行時修改配置。

持續化 。比如重啓,就是像 Nginx 那樣優雅地重啓。有一個主管請求分發的主進程。當我們需要重啓時,新的請求被分配到新的進程中,而老的進程處理完正在處理的請求後就退出。

3. 高擴展

網關要承接所有的業務流量和請求,所以一定存在或多或少的業務邏輯。而業務邏輯是多變和不確定的,比如,需要在網關上加入一些和業務相關的東西。因此一個好的網關還需要是可以擴展的,並能進行二次開發。當然,像 Nginx 那樣通過 Module 進行二次開發的也是可以的。

網關主要功能

  1. 路由功能: 路由是微服務網關的核心能力。通過路由功能微服務網關可以將請求轉發到目標微服務。在微服務架構中,網關可以結合註冊中心的動態服務發現,實現對後端服務的發現,調用方只需要知道網關對外暴露的服務 API 就可以透明地訪問後端微服務。

  2. 負載均衡: API 網關結合負載均衡技術,利用 Eureka 或者 Consul 等服務發現工具,通過輪詢、指定權重、IP 地址哈希等機制實現下游服務的負載均衡。

  3. 統一鑑權: 一般而言,無論對內網還是外網的接口都需要做用戶身份認證,而用戶認證在一些規模較大的系統中都會採用統一的單點登錄(Single Sign On)系統,如果每個微服務都要對接單點登錄系統,那麼顯然比較浪費資源且開發效率低。API 網關是統一管理安全性的絕佳場所,可以將認證的部分抽取到網關層,微服務系統無須關注認證的邏輯,只關注自身業務即可。

  4. 限流熔斷 : 在某些場景下需要控制客戶端的訪問次數和訪問頻率,一些高併發系統有時還會有限流的需求。在網關上可以配置一個閾值,當請求數超過閾值時就直接返回錯誤而不繼續訪問後臺服務。當出現流量洪峯或者後端服務出現延遲或故障時,網關能夠主動進行熔斷,保護後端服務,並保持前端用戶體驗良好。

  5. 灰度發佈: 微服務網關可以根據 HTTP 請求中的特殊標記和後端服務列表元數據標識進行流量控制,實現在用戶無感知的情況下完成灰度發佈。

  6. 日誌審計: 微服務網關可以作爲統一的日誌記錄和收集器,對服務 URL 粒度的日誌請求信息和響應信息進行攔截。

  7. 指標監控: 網關可以統計後端服務的請求次數,並且可以實時地更新當前的流量健康狀態,可以對 URL 粒度的服務進行延遲統計,也可以使用 Hystrix Dashboard 查看後端服務的流量狀態及是否有熔斷髮生。

  8. 協議轉換: API 網關的一大作用在於構建異構系統,API 網關作爲單一入口,通過協議轉換整合後臺基於 REST、AMQP、Dubbo 等不同風格和實現技術的微服務,面向 Web Mobile、開放平臺等特定客戶端提供統一服務。

  9. 黑白名單: 微服務網關可以使用系統黑名單,過濾 HTTP 請求特徵,攔截異常客戶端的請求,例如 DDoS 攻擊等侵蝕帶寬或資源迫使服務中斷等行爲,可以在網關層面進行攔截過濾。比較常見的攔截策略是根據 IP 地址增加黑名單。在存在鑑權管理的路由服務中可以通過設置白名單跳過鑑權管理而直接訪問後端服務資源。

  10. 文檔中心: 網關結合 Swagger,可以將後端的微服務暴露給網關,網關作爲統一的入口給接口的使用方提供查看後端服務的 API 規範,不需要知道每一個後端微服務的 Swagger 地址,這樣網關起到了對後端 API 聚合的效果。

目前主流的網關

網關之間的對比如下圖:

總結

總體而言,API Gateway 主要用於作爲後端的 API 接口代理,提供對外訪問不同種類 API 的一個單獨入口,並且可以提供獨立於後端服務的限流、認證、監控等功能。

在合理的架構設計下,一般都將 API Gateway 和 Load Balancer 配合使用,使用 Load Balancer 作爲整個系統的網絡出入口,將流量分發到多個 API Gateway 實例,然後每個 API Gateway 實例分別對請求進行路由、認證、鑑權等操作,這樣可以使得整個網絡更加穩健、可靠、可擴展。

本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源https://mp.weixin.qq.com/s/5wfDa4mNNFQN1X1p5YFSbg

猜你喜歡