导语:API网关是微服务生态中的重要一环。在微服务架构体系中,将单体应用程序拆分为多个低耦合的服务,每个服务独立的维护和部署。服务划分带来了接口的规模成倍增长,接口的依赖和管理变得复杂,客户端难以快速、安全地访问到所需的信息等问题。使用API网关发布和管理API逐渐成为一种趋势。
HC-Gateway是基于Java开发的API网关平台,提供高性能、高可用、易扩展的统一API网关解决方案。
为什么要使用API网关?
微服务过程带来的问题
● 微服务API对接成本高,由于API的不统一增加了微服务的对接和测试成本。
● 重复开发通用功能。用户管理、认证鉴权作为应用通用功能,多个应用均需要重复开发和部署,增加了开发成本。● 开放 API 管理繁琐。每个微服务通过暴露API对外提供访问,缺少 API 的统一抽象, 接口文档维护、版本管理,且手工操作复杂容易出错。● 服务划分会随着时间的推移而发生变化,应该对客户端隐藏修改,或者可以通知客户端变化。
........
针对上述微服务中常见的问题,需要一种机制协助解决。
网关提供解决方案
API网关的出现解决了上述问题,它可以充当外部请求与内部服务之间的流量入口,接收来自客户端的所有业务请求,然后通过路由转发给后端微服务,承载起重要的数据输入输出工作。
随着微服务的发展,技术架构的演进升级,现代API网关也需要具备一定的服务治理能力,如负载均衡、限流、熔断,以及鉴权、监控、灰度发布等对外开放服务所需要的通用功能,以此解决更多的用户痛点,使开发人员只需聚焦于业务实现,对软件交付标准化、服务生命周期管理以及开发效率的提升具有重要意义。
谐云API网关总体介绍
产品特点
1. API网关全生命周期管理
支持对接口生命周期过程中的开发、调试、发布、授权、接口文档、日志分析、下线的管理,保证各个阶段的稳定进行。
2. 易扩展性
提供了丰富的系统组件完成鉴权、限流、监控等能力,能够满足大部分的业务需求;支持自定义插件满足个性化需求、便于调整或替换已有集成功能,不必频繁对网关层代码进行改动,确保网关层的稳定性。
3. 高可管理性
匹配企业的各种管理特性,包括多租户、多权限、多环境的管理。
4. 丰富的可观测性
提供网关、应用、路由、服务级别的监控能力,支持链路追踪,将监控数据输出到控制台,提供图像化的展示,帮助用户监控与定位问题。
5. 全面的安全防护
提供API认证、访问控制、流量控制、IP黑白名单等多种安全机制,避免潜在的安全风险。
6. API门户
支持将接口上架到API门户,提供给第三方开发者采购与使用。
整体架构
HC-Gateway的整体架构如下图所示:
控制面:提供完善的网关管控,完成服务、接口、应用的相关管理以及配置下发工作。数据面:可多实例扩展,支持多种类型的微服务接入,包括Nacos、Eureka、Kubernetes微服务、自定义服务;负责网关具体策略的执行,如路由策略、灰度策略、流控策略、安全策略等。
功能架构
核心能力介绍
1.服务发现
支持从Eureka、Nacos、Kubernetes、Openshift多种类型注册中心发现后端服务。
2.智能路由
支持根据请求方法、Header、Cookie 动态匹配路由,以及负载均衡和版本分流。
3.安全防护与访问控制
支持Basic、 Oauth2、JWT 等常见身份认证方式,只有通过身份认证的请求才可以访问微服务的接口;提供流量控制、黑白名单、Cors跨域资源访问、接口缓存功能,保证请求安全与高效。
4.流量治理
支持超时重试、流控、降级和熔断等功能流控策略;支持服务的灰度发布、正式发布的全流程服务发布场景。
5.运维监控 全面的请求日志、节点日志和控制台日志,方便排查问题和做统计分析,支持输出日志内容到 Prometheus第三方组件。
应用场景
1.微服务网关
作为微服务架构中的核心组件,是流量的核心出入口,用于连接所有微服务和 API,提供面向用户和面向服务的安全管理,以及路由、流控、接口等基础管理能力。调用方仅需依赖 API 网关,而不需要维护多个微服务的访问地址。
2.业务集成网关
对于企业已建设的业务系统,进行服务集成与系统管理。在微服务架构的转型上对企业来说一大难点是老系统的包袱,企业有很多遗留系统,要全部抽取为微服务改动太大,成本太高。而对于业务系统间存在大量的API互相调用,也存在诸如安全性、访问审计等方面的监管要求。面向业务集成场景,提供对新老系统的服务应用服务集成,接口系统适配转换,接口安全控制与访问审计,标准化接口调用方式。业务集成网关的引入和信息系统接口赋能提升工程,规范系统间 API 接口,快速完成企业内部系统的解耦及前后端分离,实现可观可控的相互访问,帮助企业IT治理得到质的提升。
3.能力开放平台
企业需要将自身数据、能力等作为开发平台向外开放,满足企业与外部合作伙伴的开发调用需求,开放平台可以运行按需申请系统能力的访问和管控,打破系统孤岛实现能力复用。基于能力开放平台可以结合业务场景建立如银行开放平台、算法开放平台等多种门户,建立面向企业的信息系统接口管理平台。
4.统一权限网关
企业的各个业务系统进行访问控制的逻辑可能存在差异,客户端直接请求服务接口时需要适配多种类型的认证机制,通过网关可以屏蔽各个业务系统之间的权限认证差异性,提供统一的权限机制 ;当服务接口暴露在公网时,会存在被恶意访问的风险,通过授权机制配置,客户端只有权限访问通过授权的接口,如果未授权,在网关处拦截,响应给客户端没有访问权限,尽可能的降低接口被恶意访问的风险。
网友评论