微服務之API網關
一、引言
隨着互聯網的快速發展,當前以步入移動互聯、物聯網時代。用戶訪問系統入口也變得多種方式,由原來單一的PC客戶端,變化到PC客戶端、各種瀏覽器、手機移動端及智能終端等。同時系統之間大部分都不是單獨運行,經常會涉及與其他系統對接、共享數據的需求。所以系統需要升級框架滿足日新月異需求變化,支持業務發展,並將框架升級為微服務架構。“API網關”核心組件是架構用於滿足此些需求。
很多互聯網平台已基於網關的設計思路,構建自身平台的API網關,國內主要有京東、攜程、唯品會等,國外主要有Netflix、Amazon等。
二、業界相關網關框架
業界為了滿足這些需求,已有相關的網關框架。
1、基於nginx平台實現的網關有:KONG、API Umbrella
2、自研發的網關有:apigee、Zuul
三、API網關設計
API網關是微服務架構(Microservices Architecture)標准化服務的模式。API網關定位為應用系統服務接口的網關,區別於網絡技術的網關,但是原理則是一樣。API網關統一服務入口,可方便實現對平台眾多服務接口進行管控,對訪問服務的身份認證、防報文重放與防數據篡改、功能調用的業務鑒權、響應數據的脫敏、流量與並發控制,甚至基於API調用的計量或者計費等等。組件設計如下:
圖1- API網關功能結構示意圖
多種客戶端程序,例如:移動APP、PC端和智能終端設備等。客戶端程序通過互聯網或者專網訪問API網關,由API網關統一接收請求后,通過一系列模塊定位具體處理的微服務機,並將其轉發至目標服務處理,網關與微服務之間通信是內部局域網。API網關統一規范平台對外的服務,同時充當了平台的PaaS層。如上圖所示,API網關功能結構基於管道模型和支持可插拔式的設計開發,提供統一基於http協議的WebAPI訪問接口,內部每個模塊各自實現功能,包括:黑白名單、日志、協議適配、身份認證、計流限流及路由。並且依賴“訪問認證中心、服務發布管理中心”分別實現API網關訪問權限控制和定位目標微服務。各模塊功能說明如下:
1、黑白名單:實現通過IP地址控制禁止訪問網關功能,此功能是應用層面控制實現,再往前也可以通過網絡傳輸方面進行控制訪問。
2、日志:實現訪問日志的記錄,可用於分析訪問、處理性能指標,同時將分析結果支持其他模塊功能應用。
3、協議適配:實現通信協議校驗、適配轉換的功能。
4、身份認證:負責網關訪問身份認證驗證,此模塊與“訪問認證中心”通信,實際認證業務邏輯交移“訪問認證中心”處理。
5、計流限流:實現微服務訪問流量計算,基於流量計算分析進行限流,可以定義多種限流規則。
6、路由:路由是API網關很核心的模塊功能,此模塊實現根據請求,鎖定目標微服務並將請求進行轉發。此模塊需要與“服務發布管理中心”通信。“服務發布管理中心”實現微服務發布注冊管理功能,與其通信獲得目標微服務信息。
四、API網關部署
API網關是一個公共基礎組件,無狀態,可支持多套分布式部署。如下圖所示:
圖2- API網關部署示意圖
五、API網關實現技術
1、技術:框架整體基於.NET平台構建,所以API網關也暫定基於.NET4.6平台和ASP.NET WebAPI2.0框架實現。具體軟件架構就用上一篇所介紹的。
2、性能:部署於IIS7.0,1000個並發查詢請求,平均響應90ms。
可能在IIS7.0和.Net4.6平台,在大並發性能處理上會更不上,后續將考慮基於.net core進行升級開發,並部署於Linux平台。
API網關主要原理是相通,不同平台結合本身平台整體框架設計,可選用不同的技術實現,目前有些基於Spring MVC、node.js、Erlang技術進行研發。
六、結語
以上是對API網關概要進行設計,還有其他方面的內容此篇文章未討論,例如:安全性、高並發、擴展性等特性設計,同時作為平台其中一個組件,也涉及與其他組件一並協同運行。此塊內容會后續分享。