发现最近最近许多号主发网关的文章，质量良莠不齐，主张直接看这篇，有理论，有实战。

  API网关是一个服务器，是体系的仅有进口。 从面向目标规划的视点看，它与外观方法类似。

  API网关封装了体系内部架构，为每个客户端供给一个定制的API。它或许还具有其它责任，如身份验证、监控、负载均衡、缓存、协议转化、限流熔断、静态呼应处理。

  API网关方法的中心关键是，一切的客户端和消费端都经过一致的网关接入微服务，在网关层处理一切的非事务功用。一般，网关也是供给REST/HTTP的拜访API。

  微服务网关作为微服务后端服务的一致进口，它能够统筹办理后端服务，首要分为数据平面和操控平面：

  数据平面首要功用是接入用户的HTTP恳求和微服务被拆分后的聚合。运用微服务网关一致对外露出后端服务的API和契约，路由和过滤功用正是网关的中心才干模块。别的，微服务网关能够完结阻拦机制和专心跨横切面的功用，包括协议转化、安全认证、熔断限流、灰度发布、日志办理、流量监控等。

  操控平面首要功用是对后端服务做一致的管控和装备办理。例如，能够操控网关的弹性弹性；能够一致下发装备；能够对网关服务增加标签；能够在微服务网关上经过装备Swagger功用一致将后端服务的API契约露出给运用方，完结文档服务，进步作业功率和下降交流本钱。

  路由功用：路由是微服务网关的中心才干。经过路由功用微服务网关能够将恳求转发到方针微服务。在微服务架构中，网关能够结合注册中心的动态服务发现，完结对后端服务的发现，调用方只需求知道网关对外露出的服务API就能够透明地拜访后端微服务。

  负载均衡：API网关结合负载均衡技能，运用Eureka或许Consul等服务发现东西，经过轮询、指定权重、IP地址哈希等机制完结下流服务的负载均衡。

  一致鉴权：一般来说，不管对内网仍是外网的接口都需求做用户身份认证，而用户认证在一些规划较大的体系中都会选用一致的单点登录（Single Sign On）体系，假如每个微服务都要对接单点登录体系，那么明显比较浪费资源且开发功率低。API网关是一致办理安全性的场所，能够将认证的部分抽取到网关层，微服务体系无须重视认证的逻辑，只重视本身事务即可。

  协议转化：API网关的一大效果在于构建异构体系，API网关作为单一进口，经过协议转化整合后台依据REST、AMQP、Dubbo等不同风格和完结技能的微服务，面向Web Mobile、敞开渠道等特定客户端供给一致服务。

  目标监控：网关能够计算后端服务的恳求次数，而且能够实时地更新当时的流量健康状况，能够对URL粒度的服务进行推迟计算，也能够运用Hystrix Dashboard检查后端服务的流量状况及是否有熔断产生。

  限流熔断：在某些场景下需求操控客户端的拜访次数和拜访频率，一些高并发体系有时还会有限流的需求。在网关上能够装备一个阈值，当恳求数超越阈值时就直接回来过错而不持续拜访后台服务。当呈现流量洪峰或许后端服务呈现推迟或毛病时，网关能够自动进行熔断，保护后端服务，并坚持前端用户体会杰出。

  是非名单：微服务网关能够运用体系黑名单，过滤HTTP恳求特征，阻拦反常客户端的恳求，例如DDoS进犯等腐蚀带宽或资源迫使服务中止等行为，能够在网关层面进行阻拦过滤。比较常见的阻拦战略是依据IP地址增加黑名单。在存在鉴权办理的路由服务中能够经过设置白名单越过鉴权办理而直接拜访后端服务资源。

  灰度发布：微服务网关能够依据HTTP恳求中的特别符号和后端服务列表元数据标识进行流量操控，完结在用户无感知的状况下完结灰度发布。

  流量染色：和灰度发布的原理类似，网关能够依据HTTP恳求的Host、Head、Agent等标识对恳求进行染色，有了网关的流量染色功用，咱们能够对服务后续的调用链路进行盯梢，对服务推迟及服务运转状况进行进一步的链路剖析。

  文档中心：网关结合Swagger，能够将后端的微服务露出给网关，网关作为一致的进口给接口的运用方供给检查后端服务的API标准，不需求知道每一个后端微服务的Swagger地址，这样网关起到了对后端API聚合的效果。

  日志审计：微服务网关能够作为一致的日志记载和收集器，对服务URL粒度的日志恳求信息和呼应信息进行阻拦。

  Nginx是一个高功能的HTTP和反向署理服务器。Nginx一方面能够做反向署理，别的一方面能够做静态资源服务器，接口运用Lua动态言语能够完结灵敏的定制功用。

  Nginx 在发动后，会有一个 Master 进程和多个 Worker 进程，Master 进程和 Worker 进程之间是经过进程间通讯进行交互的，如图所示。Worker 作业进程的堵塞点是在像 select()、epoll_wait() 等这样的 I/O 多路复用函数调用途，以等候产生数据可读 / 写事情。Nginx 选用了异步非堵塞的方法来处理恳求，也便是说，Nginx 是能够一起处理不计其数个恳求的。

  Zuul 是 Netflix 开源的一个API网关组件，它能够和 Eureka、Ribbon、Hystrix 等组件合作运用。社区活泼，融合于 SpringCloud 完好生态，是构建微服务体系前置网关服务的选型之一。

  检查与监控：与边际方位追寻有意义的数据和计算成果，然后带来准确的出产视图。

  多区域弹性：跨过 AWS Region 进行恳求路由，旨在完结 ELB（Elastic Load Balancing，弹性负载均衡）运用的多样化，以及让体系的边际更靠近体系的运用者。

  Zuul1 是依据 Servlet 结构构建，如图所示，选用的是堵塞和多线程方法，即一个线程处理一次衔接恳求，这种方法在内部推迟严峻、设备毛病较多状况下会引起存活的衔接增多和线程增加的状况产生。

  Netflix 发布的 Zuul2 有严重的更新，它运转在异步和无堵塞结构上，每个 CPU 核一个线程，处理一切的恳求和呼应，恳求和呼应的生命周期是经过事情和回调来处理的，这种方法减少了线程数量，因而开支较小。

  Kong是一款依据OpenResty（Nginx + Lua模块）编写的高可用、易扩展的，由Mashape公司开源的API Gateway项目。Kong是依据NGINX和Apache Cassandra或PostgreSQL构建的，能供给易于运用的RESTful API来操作和装备API办理体系，所以它能够水平扩展多个Kong服务器，经过前置的负载均衡装备把恳求均匀地分发到各个Server，来应对大批量的网络恳求。

  Kong选用插件机制进行功用定制，插件集（能够是0或N个）在API恳求呼应循环的生命周期中被履行。插件运用Lua编写，现在已有几个根底功用：HTTP根本认证、密钥认证、CORS（Cross-Origin Resource Sharing，跨域资源同享）、TCP、UDP、文件日志、API恳求限流、恳求转发以及Nginx监控。

  可扩展性: 经过简略地增加更多的服务器，能够轻松地进行横向扩展，这意味着您的渠道能够在一个较低负载的状况下处理任何恳求；

  模块化: 能够经过增加新的插件进行扩展，这些插件能够经过RESTful Admin API轻松装备；

  在任何根底架构上运转: Kong网关能够在任何地方都能运转。您能够在云或内部网络环境中布置Kong，包括单个或多个数据中心设置，以及public，private 或invite-only APIs。

  上面是网关比照截图，偷个懒，咱们首要重视Kong、Traefik和Zuul即可：

  从架构优势的扩展性来看，Kong、Tyk有丰厚的插件，Ambassador也有插件但不多，而Zuul是彻底需求自研，但Zuul由于与Spring Cloud深度集成，运费用也很高，近年来Istio服务网格的盛行，Ambassador由于能够和Istio无缝集成也是相当大的优势。

  功能：Nginx+Lua方法必定是高于Java言语完结的网关的，Java技能栈里边Zuul1.0是依据Servlet完结的，剩余都是依据webflux完结，功能是高于依据Servlet完结的。在功能方面我觉得挑选网关或许不算那么重要，多加几台机器就能够搞定。

  可保护性和扩展性：Nginx+Lua这个组合把握的人不算多，假如团队有大神，大佬们就随意了，当没看到这段话，关于一般团队来说的话，挑选自己团队拿手的言语更重要。Java技能栈下的3种网关，关于Zuul和Spring Cloud Getway需求或多或少要搞一些集成和装备页面来保护，可是关于Soul我就无脑看看文章，需求哪个搬哪个好了，尤其是能够无脑对接Dubbo乐滋滋，此外Soul2.0今后版别能够脱节ZK，在我心里再无诟病，我就喜爱无脑操作。

  高可用：关于网关高可用根本都是一致的战略都是选用多机器布置的方法，前面挂一个负载，关于而外需求用的一些组件咱们留意一下。

  这个是我司自研的微服务网关，依据Traefik进行开发，下面从技能选型、网关结构、网关后台、协议转化进行解说，必定干货！

  Traefik：一款开源的反向署理与负载均衡东西，它最大的长处是能够与常见的微服务体系直接整合，能够完结自动化动态装备。traefik较为轻量，十分易于运用和设置，功能比较好，已在全球范围内用于出产环境。

  Etcd：一个Go言编写的分布式、高可用的一致性键值存储体系，用于供给牢靠的分布式键值存储、装备同享和服务发现等功用。

  Go：并发才干强，功能比美C，处理才干是PHP的4倍，功率高，语法简略，易上手，开发功率挨近PHP。

  网关后台（hal-fe和hal-admin）：用于使用、服务和插件的装备，然后将装备信息发布到ETCD；

  Traefik：读取ETCD装备，依据装备信息对恳求进行路由分发，假如需求鉴权，会直接经过hal-agent模块进行一致鉴权。鉴权结束后，假如是Http恳求，直接打到下流服务，假如是Grpc和Thrift协议，会经过hal-proxy模块进行协议转化。

  协议转化模块：读取ETCD装备，对Traefik分发过来的恳求，进行Grpc和Thrift协议转化，并经过服务发现机制，获取服务下流机器，并经过负载均衡，将转化后的数据打到下流服务机器。

  使用：首要包括使用名、域名、途径前缀、所属组、状况等，比方印度海外商城、印度社区；

  服务：首要包括服务名、注册方法、协议类型、所属组、状况等，比方谈论服务、地址服务、查找服务。

  插件：首要包括插件称号、插件类型、插件特点装备等，比方途径前缀替换插件、鉴权插件。

  一个使用只能绑定一个服务，可是能够绑定多个插件。 经往后成网关装备后，将这些装备信息生成Config文件，发布到ETCD中，Config文件需求遵从严厉的数据格局，比方Traefix装备需求遵从官方的文件装备格局，才干被Traefik辨认。

  hal-proxy模块是整个微服务网关最杂乱，也是技能含量最高的模块，所以给咱们具体解说一下。

  当恳求从上游的trafik过来时，需求知道拜访下流的机器IP和端口，才干将恳求发送给下流，这些机器怎么获取呢？

  有了机器后，咱们需求和下流机器树立衔接，假如衔接用一次就直接开释，必定对服务会形成很大的压力，这就需求引进Client缓存池，那这个Client缓存池咱们又该怎么完结呢？

  最终便是需求对协议进行转化，由于不同的下流服务，支撑的协议类型是不一样的，这个网关又是怎么动态支撑的呢？

  咱们仍是先看一下hal-proxy内部有哪些模块，首先是Resolver模块，这个模块的是什么效果呢？这儿我简略介绍一下，现在公司内部经过服务获取到机器列表的方法有多种，比方MIS渠道、服务树等，也便是有的是经过渠道装备的，有的是直接挂在服务树下，不管哪种方法，咱们都经过服务名，经过必定的方法，找到该服务下面一切的主机。

  所以Resolver模块的效果，其实便是经过服务名，找到该服务下的一切机器的IP和服务端口，然后耐久化到内存中，并守时更新。

  协议模块便是支撑不同的协议转化，每个协议类型的转化，都需求独自完结，这些协议转化，无非便是先经过机器IP和端口初始化Client，然后再将数据进行转化后，直接发送到下流的机器。

  最终便是衔接池，之前咱们其实也用到go自带的pool来做，可是当对pool数据进行更新时，需求加锁，所以功能一向起不来，后来改成了环形行列，然后对数据的操作悉数经过原子操作方法，就完结了无锁操作，大大进步的并发功能。 环形行列的代码，也给你安排上，能够直接看这篇文章 Go言语中心手册-10.原子操作。

  这个是hal-proxy的逻辑完结图，画了2天，包括一切中心目标的交互方法，这儿就不去细讲，能把握多少，靠咱们自己领会。