本文主要是介绍API网关之Kong网关简介,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1. Kong简介
那么,Kong是一个什么东东呢?它是一个开源的API网关,或者你可以认为它是一个针对API的一个管理工具。你可以在那些上游service之上,额外去实现一些功能。Kong是开源的,所以你可以在Github找到它,你现在就可以下载使用。
Kong是一款基于OpenResty(Nginx + Lua模块)编写的高可用、易扩展的,由Mashape公司开源的API Gateway项目。Kong是基于NGINX和Apache Cassandra或PostgreSQL构建的,能提供易于使用的RESTful API来操作和配置API管理系统,所以它可以水平扩展多个Kong服务器,通过前置的负载均衡配置把请求均匀地分发到各个Server,来应对大批量的网络请求。
Kong主要有三个组件:
-
Kong Server :基于nginx的服务器,用来接收API请求。
-
Apache Cassandra/PostgreSQL :用来存储操作数据。
-
Kong dashboard:官方推荐UI管理工具,当然,也可以使用 restfull 方式 管理admin api。Konga另一款经典用于UI管理工具
Kong采用插件机制进行功能定制,插件集(可以是0或N个)在API请求响应循环的生命周期中被执行。插件使用Lua编写,目前已有几个基础功能:HTTP基本认证、密钥认证、CORS(Cross-Origin Resource Sharing,跨域资源共享)、TCP、UDP、文件日志、API请求限流、请求转发以及Nginx监控。
2. Kong网关的特性
Kong网关具有以下的特性:
-
可扩展性: 通过简单地添加更多的服务器,可以轻松地进行横向扩展,这意味着您的平台可以在一个较低负载的情况下处理任何请求;
-
模块化: 可以通过添加新的插件进行扩展,这些插件可以通过RESTful Admin API轻松配置;
-
在任何基础架构上运行: Kong网关可以在任何地方都能运行。您可以在云或内部网络环境中部署Kong,包括单个或多个数据中心设置,以及public,private 或invite-only APIs。
-
Kong核心基于OpenResty构建,实现了请求/响应的Lua处理化;
-
Kong插件拦截请求/响应,如果接触过Java Servlet,等价于拦截器,实现请求/响应的AOP处理;
-
Kong Restful 管理API提供了API/API消费者/插件的管理;
-
数据中心用于存储Kong集群节点信息、API、消费者、插件等信息,目前提供了PostgreSQL和Cassandra支持,如果需要高可用建议使用Cassandra;
-
Kong集群中的节点通过gossip协议自动发现其他节点,当通过一个Kong节点的管理API进行一些变更时也会通知其他节点。每个Kong节点的配置信息是会缓存的,如插件,那么当在某一个Kong节点修改了插件配置时,需要通知其他节点配置的变更。
3. Kong网关插件
-
身份认证插件:Kong提供了Basic Authentication、Key authentication、OAuth2.0 authentication、HMAC authentication、JWT、LDAP authentication认证实现。
-
安全控制插件:ACL(访问控制)、CORS(跨域资源共享)、动态SSL、IP限制、爬虫检测实现。
-
流量控制插件:请求限流(基于请求计数限流)、上游响应限流(根据upstream响应计数限流)、请求大小限制。限流支持本地、Redis和集群限流模式。
-
分析监控插件:Galileo(记录请求和响应数据,实现API分析)、Datadog(记录API Metric如请求次数、请求大小、响应状态和延迟,可视化API Metric)、Runscope(记录请求和响应数据,实现API性能测试和监控)。
-
协议转换插件:请求转换(在转发到upstream之前修改请求)、响应转换(在upstream响应返回给客户端之前修改响应)。
-
日志应用插件:TCP、UDP、HTTP、File、Syslog、StatsD、Loggly等。
kong目前提供了37个插件,其中商业收费7个,30个开源免费的插件,可以设定到api/服务/路由粒度上。
| 类别 | 免费/收费 | name | 插件名 | 使用场景 |
|---|---|---|---|---|
| 认证 | 免费 | basic-auth | Basic Authentication | 对于服务或者路由提供用户名/密码基本认证机制 |
| 认证 | 免费 | key-auth | Key Authentication | 对于服务或者路由提供用关键字认证机制 |
| 认证 | 收费 | - | OpenID Connect | 提供与三方OpenID的集成方式 |
| 认证 | 免费 | oauth2 | OAuth 2.0 Authentication | 添加OAuth 2.0认证 |
| 认证 | 收费 | - | OAuth 2.0 Introspection | 提供与三方OAuth 2.0认证服务器的集成方式 |
| 认证 | 免费 | hmac-auth | HMAC Authentication | 提供HMAC(Hashed Message Authentication Code)签名认证方式 |
| 认证 | 免费 | jwt | JWT | 提供JWT(JSON WEB Token)的认证方式 |
| 认证 | 免费 | ldap-auth | LDAP Authentication | 提供了与LDAP认证服务器的集成方式 |
| 安全 | 免费 | acl | ACL | 通过ACL(Access Control List)的组名称对服务或者路由进行黑白名单的访问控制 |
| 安全 | 免费 | cors | CORS | 对服务或者路由提供CORS支持 |
| 安全 | 免费 | ip-restriction | IP Restriction | 通过IP地址对服务或者路由进行黑白名单的访问控制 |
| 安全 | 免费 | bot-detection | Bot Detection | 对服务或者路由提供机器人检出并能进行黑白名单的设定 |
| 安全 | 免费 | ssl | Dynamic SSL | 对路由或者API提供ssl支持 |
| 流量控制 | 收费 | - | EE Canary Release | 提供金丝雀发布支持 |
| 流量控制 | 收费 | - | EE Forward Proxy | 提供企业内网中前向代理的支持 |
| 流量控制 | 收费 | - | EE Proxy Caching | 提供代理缓存的加速功能 |
| 流量控制 | 免费 | request-size-limiting | Request Size Limiting | 可以对请求的body的size进行限制 |
| 流量控制 | 免费 | rate-limiting | Rate Limiting | 提供对给定时间段HTTP请求数目的控制功能 |
| 流量控制 | 收费 | - | EE Rate Limiting | CE版本Rate Limiting的强化 |
| 流量控制 | 免费 | response-ratelimiting | Response Rate Limiting | 基于用户响应Header的信息,提供对HTTP请求数目的控制功能 |
| 流量控制 | 免费 | request-termination | Request Termination | 根据响应的状态码和信息,可停止对某个服务或者路由的流量 |
| Serverless | 免费 | aws-lambda | AWS Lambda | 调用和管理AWS Lambda函数 |
| Serverless | 免费 | openwhisk | Apache OpenWhisk | 调用和管理OpenWhisk |
| 分析&监控 | 免费 | zipkin | Zipkin | 提供兼容zipkin的方式对用户请求进行追踪 |
| 分析&监控 | 免费 | datadog | Datadog | 可将API的指标信息在datadog上进行可视化地展示 |
| 分析&监控 | 免费 | runscope | Runscope | 结合runscope进行API性能测试和监控 |
| 转换 | 免费 | request-transformer | Request Transformer | 通过kong对请求进行转换 |
| 转换 | 收费 | - | EE request Transformer | request Transformer的强化版 |
| 转换 | 免费 | response-transformer | Response Transformer | 通过kong对响应进行转换 |
| 转换 | 免费 | correlation-id | Correlation ID | 通过kong实现请求和响应之间的关联 |
| 日志 | 免费 | tcp-log | TCP | 发送请求和响应日志到TCP服务器 |
| 日志 | 免费 | udp-log | UDP | 发送请求和响应日志到UDP服务器 |
| 日志 | 免费 | http-log | HTTP | 发送请求和响应日志到HTTP服务器 |
| 日志 | 免费 | file-log | File | 发送请求和响应日志到磁盘的文件中 |
| 日志 | 免费 | statsd | StatsD | 发送请求和响应日志到StatsD服务器 |
| 日志 | 免费 | syslog | Syslog | 发送请求和响应日志到syslog中 |
| 日志 | 免费 | syslog | Loggly | 发送请求和响应日志到Loggly服务器 |
4. Kong网关请求流程
为了更好地理解系统,这是使用Kong网关的API接口的典型请求工作流程:
当Kong运行时,每个对API的请求将先被Kong命中,然后这个请求将会被代理转发到最终的API接口。在请求(Requests)和响应(Responses)之间,Kong将会执行已经事先安装和配置好的任何插件,授权您的API访问操作。Kong是每个API请求的入口点(Endpoint)。
API网关和Kong能为你做些什么
API 网关可以通过实现一些中间件来解决一些问题,这些中间件的功能你就不用再到每个service中实现了。你也是知道的,不同的团队使用不同的方式来实现了不同的微服务。
如果你不去做一些中心化和抽象化的事情,你将会死于不同的认证方式以及不同的速率限制实现,五花八门。你肯定希望避免这样的糟糕局面。
API网关不仅可以帮你解决API的管理部分,而且还可以解决下面两件事情:
- 分析(Analytics) – API网关可以和你的分析基础设施保持透明的交互和通信,因为API网关是每个请求(request)的入口,必经地。API网关可以看到所有的数据,可以知道经过你的service的流量。这就相当于你有一个集中的地方,你可以把所有的这些信息push到你的监控或分析工具,比如Kibana或者Splunk。
- 自动化(Automation) –网关还有助于自动化部署,还可以帮助你实现自动化登入验证(on boarding)。 什么是登入(on boarding)呢? 如果你有API,并且你希望有身份验证,你可能需要一些功能可以允许用户为该API创建登入凭据(credentials)然后开始使用(消费)API。 开发人员门户网站或你的文档中心等都可以与网关集成来配置这些凭据(credentials),这样你就不用从头开始构建一些功能了。
5. 总结
Kong作为API网关提供了API管理功能,及围绕API管理实现了一些默认的插件,另外还具备集群水平扩展能力,从而提升整体吞吐量。Kong本身是基于OpenResty,可以在现有Kong的基础上进行一些扩展,从而实现更复杂的特性。
虽然有一些特性Kong默认是缺失的,如API级别的超时、重试、fallback策略、缓存、API聚合、AB测试等,这些功能插件需要企业开发人员通过Lua语言进行定制和扩展。
综上所述,Kong API网关默认提供的插件比较丰富, 适应针对企业级的API网关定位。
这篇关于API网关之Kong网关简介的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
