Gateway

引言： spring cloud gateway --> webflux --> reactor-netty --> reactor-core 以上是github上几个我的项目的依赖关系。 阐明：reactor-core是reactive programming模型的一个具体实现。 本文简略阐明在reactor-core中，flux工作底层到底做了什么。 先说给一个 demo代码 Flux<String> data = Flux.just("hello", "hello2"); data = data.map(e -> e + " world"); data.subscribe( e -> System.out.println(e) );Flux<String> data = Flux.just("hello", "hello2");这个办法外部创立一个FluxArray对象，把数据存储到array参数里。 data = data.map(e -> e + " world"); 这个办法外部创立一个FluxMapFuseable对象，把FluxArray对象存储到source参数里，把(e -> e + " world")存储到mapper。 这个办法逻辑就是通过把原来的数据和新的解决逻辑，一层一层的封装起来。 data.subscribe( e -> System.out.println(e) );在办法的底层调用的是Flux类的subscribe()办法，代码如下（省略局部代码）： OptimizableOperator operator = (OptimizableOperator)publisher; while(true) { subscriber = operator.subscribeOrReturn(subscriber);//1 if (subscriber == null) { return; } OptimizableOperator newSource = operator.nextOptimizableSource();//2 if (newSource == null) { publisher = operator.source(); break; } operator = newSource; } } publisher.subscribe(subscriber);//3其中，最开始的publisher就是下面的FluxMapFuseable对象，subscriber就是下面( 的（e -> System.out.println(e) )。 ...

背景须要对spingActuator的监测门路进行拦挡，从而实现弹窗输出登录信息的性能，然而gateway提供的GlobalFilter拦截器不失效，故钻研了一番 解决形式应用WebFilter进行拦挡，拦截器代码如下： import org.springframework.core.annotation.Order;import org.springframework.http.HttpHeaders;import org.springframework.http.HttpStatus;import org.springframework.http.server.reactive.ServerHttpRequest;import org.springframework.http.server.reactive.ServerHttpResponse;import org.springframework.stereotype.Component;import org.springframework.web.server.ServerWebExchange;import org.springframework.web.server.WebFilter;import org.springframework.web.server.WebFilterChain;import reactor.core.publisher.Mono;import sun.misc.BASE64Decoder;import java.io.IOException;import java.util.Objects;@Order(2)@Componentpublic class ActuatorFilter implements WebFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) { ServerHttpRequest request = exchange.getRequest(); ServerHttpResponse response = exchange.getResponse(); String uriPath = request.getURI().getPath(); if(uriPath.startsWith("/actuator/")) { String auth = request.getHeaders().getFirst(HttpHeaders.AUTHORIZATION); if(Objects.isNull(auth)){ System.out.println("校验申请头为空，需进行登录.."); response.getHeaders().add(HttpHeaders.WWW_AUTHENTICATE,"Basic realm=".""); response.setStatusCode(HttpStatus.UNAUTHORIZED); return response.setComplete(); }else { System.out.println("auth:" + auth); BASE64Decoder decoder = new BASE64Decoder(); String[] values = new String[0]; try { values = new String(decoder.decodeBuffer(auth.split(" ")[1])).split(":"); } catch (IOException e) { throw new RuntimeException(e); } if (values.length == 2) { String username = values[0]; String pwd = values[1]; System.out.println("username:" + username); System.out.println("pwd:" + pwd); if(Objects.equals("test",username) && Objects.equals("test",pwd)){ return chain.filter(exchange); }else { response.getHeaders().add(HttpHeaders.WWW_AUTHENTICATE,"Basic realm=".""); response.setStatusCode(HttpStatus.UNAUTHORIZED); return response.setComplete(); } } } } return chain.filter(exchange); }}

简介：最近浏览 《Envoy Gateway 来了》这篇文章，深感 Envoy 弱小的可扩展性和基于 Envoy Gateway 带来的易用性，在 K8s 架构下，Envoy 从新定义了网关的定位和能力，被誉为云原生网关，甚至被称之为下一代网关。阿里巴巴早在2018年就启动了下一代网关的摸索之路，本文将对这个摸索历程做一个简略介绍。 作者：耿蕾蕾(如葑)：阿里云研发工程师，从 2020 年 5 月负责 Envoy Gateway 的构建到推出 3.0，作为技术负责人主导了整个演进过程，在云原生网关畛域有着丰盛的实际。 最近浏览 《Envoy Gateway 来了》这篇文章，深感 Envoy 弱小的可扩展性和基于 Envoy Gateway 带来的易用性，在 K8s 架构下，Envoy 从新定义了网关的定位和能力，被誉为云原生网关，甚至被称之为下一代网关。阿里巴巴早在2018年就启动了下一代网关的摸索之路，本文将对这个摸索历程做一个简略介绍。 阿里巴巴早在 2018 年，就开启了云原生上云的尾声，将容器、服务网格作为核心技术点进行演进，并尝试阿里巴巴和蚂蚁通过这次技术演进，来对立单方的中间件技术栈，让业务更聚焦业务开发，屏蔽底层分布式复杂度。作为服务网格一个重要方向，咱们开启了下一代网关的摸索之路。 Envoy Gateway 1.0（孵化期）上云过程中，咱们冀望对立利用架构技术栈，然而蚂蚁和阿里巴巴的 RPC 协定不同，存在互调链路长、协定转换耗费大、Tengine Reload 拜访有损（接入失效快就须要一直 reload 有损，如果管制 reload 影响，就要缩小 reload 次数，接入服务失效慢）、Nginx 内核服务治理能力较弱等问题。因而，须要一个面对将来的网关解决方案。 过后，咱们有两个技术演进思路，一个是基于 Tengine 进行优化，一个是基于 Envoy 内核来扩大网关场景，思考到 Tengine 解决这些场景架构变动太大，Envoy 作为网关的第二选项，可能简略的解决上述痛点，因而，咱们抉择了 Envoy 内核作为下一代的网关演进方向，而且从 CNCF Ingress Provider 的统计数据来看，Envoy 也是增长最快的，社区接受度高。 在 2020 年 5 月，咱们启动了 Envoy Gateway 1.0 的研发，同年胜利撑持了双 11 大促，且成为外围重保的业务链路。image.gif ...

一、背景随着咱们的微服务越来越多，如果每个微服务都要本人去实现一套鉴权操作，那么这么操作比拟冗余，因而咱们能够把鉴权操作对立放到网关去做，如果微服务本人有额定的鉴权解决，能够在本人的微服务中解决。 二、需要1、在网关层实现url层面的鉴权操作。 所有的OPTION申请都放行。所有不存在申请，间接都回绝拜访。user-provider服务的findAllUsers须要 user.userInfo权限才能够拜访。2、将解析后的jwt token当做申请头传递到上游服务中。3、整合Spring Security Oauth2 Resource Server 三、前置条件1、搭建一个可用的认证服务器，能够参考之前的文章.2、晓得Spring Security Oauth2 Resource Server资源服务器如何应用，能够参考之前的文章. 四、我的项目构造 五、网关层代码的编写1、引入jar包<dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId></dependency><dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId></dependency><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-resource-server</artifactId></dependency><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency><dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-loadbalancer</artifactId></dependency>2、自定义受权管理器自定义受权管理器，判断用户是否有权限拜访 此处咱们简略判断 1、放行所有的 OPTION 申请。 2、判断某个申请(url)用户是否有权限拜访。 3、所有不存在的申请(url)间接无权限拜访。 package com.huan.study.gateway.config;import com.google.common.collect.Maps;import lombok.extern.slf4j.Slf4j;import org.springframework.http.HttpMethod;import org.springframework.http.server.reactive.ServerHttpRequest;import org.springframework.security.authentication.AbstractAuthenticationToken;import org.springframework.security.authorization.AuthorizationDecision;import org.springframework.security.authorization.ReactiveAuthorizationManager;import org.springframework.security.core.Authentication;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationToken;import org.springframework.security.web.server.authorization.AuthorizationContext;import org.springframework.stereotype.Component;import org.springframework.util.AntPathMatcher;import org.springframework.util.PathMatcher;import org.springframework.util.StringUtils;import org.springframework.web.server.ServerWebExchange;import reactor.core.publisher.Mono;import javax.annotation.PostConstruct;import java.util.Map;import java.util.Objects;/** * 自定义受权管理器，判断用户是否有权限拜访 * * @author huan.fu 2021/8/24 - 上午9:57 */@Component@Slf4jpublic class CustomReactiveAuthorizationManager implements ReactiveAuthorizationManager<AuthorizationContext> { /** * 此处保留的是资源对应的权限，能够从数据库中获取 */ private static final Map<String, String> AUTH_MAP = Maps.newConcurrentMap(); @PostConstruct public void initAuthMap() { AUTH_MAP.put("/user/findAllUsers", "user.userInfo"); AUTH_MAP.put("/user/addUser", "ROLE_ADMIN"); } @Override public Mono<AuthorizationDecision> check(Mono<Authentication> authentication, AuthorizationContext authorizationContext) { ServerWebExchange exchange = authorizationContext.getExchange(); ServerHttpRequest request = exchange.getRequest(); String path = request.getURI().getPath(); // 带通配符的能够应用这个进行匹配 PathMatcher pathMatcher = new AntPathMatcher(); String authorities = AUTH_MAP.get(path); log.info("拜访门路:[{}],所须要的权限是:[{}]", path, authorities); // option 申请，全副放行 if (request.getMethod() == HttpMethod.OPTIONS) { return Mono.just(new AuthorizationDecision(true)); } // 不在权限范畴内的url，全副回绝 if (!StringUtils.hasText(authorities)) { return Mono.just(new AuthorizationDecision(false)); } return authentication .filter(Authentication::isAuthenticated) .filter(a -> a instanceof JwtAuthenticationToken) .cast(JwtAuthenticationToken.class) .doOnNext(token -> { System.out.println(token.getToken().getHeaders()); System.out.println(token.getTokenAttributes()); }) .flatMapIterable(AbstractAuthenticationToken::getAuthorities) .map(GrantedAuthority::getAuthority) .any(authority -> Objects.equals(authority, authorities)) .map(AuthorizationDecision::new) .defaultIfEmpty(new AuthorizationDecision(false)); }}3、token认证失败、或超时的解决package com.huan.study.gateway.config;import org.springframework.core.io.buffer.DataBuffer;import org.springframework.core.io.buffer.DataBufferUtils;import org.springframework.http.HttpStatus;import org.springframework.security.core.AuthenticationException;import org.springframework.security.web.server.ServerAuthenticationEntryPoint;import org.springframework.web.server.ServerWebExchange;import reactor.core.publisher.Mono;import java.nio.charset.StandardCharsets;/** * 认证失败异样解决 * * @author huan.fu 2021/8/25 - 下午1:10 */public class CustomServerAuthenticationEntryPoint implements ServerAuthenticationEntryPoint { @Override public Mono<Void> commence(ServerWebExchange exchange, AuthenticationException ex) { return Mono.defer(() -> Mono.just(exchange.getResponse())) .flatMap(response -> { response.setStatusCode(HttpStatus.UNAUTHORIZED); String body = "{\"code\":401,\"msg\":\"token不非法或过期\"}"; DataBuffer buffer = response.bufferFactory().wrap(body.getBytes(StandardCharsets.UTF_8)); return response.writeWith(Mono.just(buffer)) .doOnError(error -> DataBufferUtils.release(buffer)); }); }}4、用户没有权限的解决package com.huan.study.gateway.config;import lombok.extern.slf4j.Slf4j;import org.springframework.context.annotation.Bean;import org.springframework.core.io.buffer.DataBuffer;import org.springframework.core.io.buffer.DataBufferUtils;import org.springframework.http.HttpStatus;import org.springframework.http.server.reactive.ServerHttpRequest;import org.springframework.http.server.reactive.ServerHttpResponse;import org.springframework.security.access.AccessDeniedException;import org.springframework.security.web.server.authorization.ServerAccessDeniedHandler;import org.springframework.web.server.ServerWebExchange;import reactor.core.publisher.Mono;import java.nio.charset.StandardCharsets;/** * 无权限拜访异样 * * @author huan.fu 2021/8/25 - 下午12:18 */@Slf4jpublic class CustomServerAccessDeniedHandler implements ServerAccessDeniedHandler { @Override public Mono<Void> handle(ServerWebExchange exchange, AccessDeniedException denied) { ServerHttpRequest request = exchange.getRequest(); return exchange.getPrincipal() .doOnNext(principal -> log.info("用户:[{}]没有拜访:[{}]的权限.", principal.getName(), request.getURI())) .flatMap(principal -> { ServerHttpResponse response = exchange.getResponse(); response.setStatusCode(HttpStatus.FORBIDDEN); String body = "{\"code\":403,\"msg\":\"您无权限拜访\"}"; DataBuffer buffer = response.bufferFactory().wrap(body.getBytes(StandardCharsets.UTF_8)); return response.writeWith(Mono.just(buffer)) .doOnError(error -> DataBufferUtils.release(buffer)); }); }}5、将token信息传递到上游服务器中package com.huan.study.gateway.config;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.databind.ObjectMapper;import com.fasterxml.jackson.datatype.jdk8.Jdk8Module;import com.fasterxml.jackson.datatype.jsr310.JavaTimeModule;import org.springframework.http.server.reactive.ServerHttpRequest;import org.springframework.security.core.context.ReactiveSecurityContextHolder;import org.springframework.security.core.context.SecurityContext;import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationToken;import org.springframework.web.server.ServerWebExchange;import org.springframework.web.server.WebFilter;import org.springframework.web.server.WebFilterChain;import reactor.core.publisher.Mono;/** * 将token信息传递到上游服务中 * * @author huan.fu 2021/8/25 - 下午2:49 */public class TokenTransferFilter implements WebFilter { private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper(); static { OBJECT_MAPPER.registerModule(new Jdk8Module()); OBJECT_MAPPER.registerModule(new JavaTimeModule()); } @Override public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) { return ReactiveSecurityContextHolder.getContext() .map(SecurityContext::getAuthentication) .cast(JwtAuthenticationToken.class) .flatMap(authentication -> { ServerHttpRequest request = exchange.getRequest(); request = request.mutate() .header("tokenInfo", toJson(authentication.getPrincipal())) .build(); ServerWebExchange newExchange = exchange.mutate().request(request).build(); return chain.filter(newExchange); }); } public String toJson(Object obj) { try { return OBJECT_MAPPER.writeValueAsString(obj); } catch (JsonProcessingException e) { return null; } }}6、网关层面的配置package com.huan.study.gateway.config;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.core.convert.converter.Converter;import org.springframework.core.io.FileSystemResource;import org.springframework.core.io.Resource;import org.springframework.security.authentication.AbstractAuthenticationToken;import org.springframework.security.config.annotation.web.reactive.EnableWebFluxSecurity;import org.springframework.security.config.web.server.SecurityWebFiltersOrder;import org.springframework.security.config.web.server.ServerHttpSecurity;import org.springframework.security.oauth2.jose.jws.SignatureAlgorithm;import org.springframework.security.oauth2.jwt.Jwt;import org.springframework.security.oauth2.jwt.NimbusReactiveJwtDecoder;import org.springframework.security.oauth2.jwt.ReactiveJwtDecoder;import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationConverter;import org.springframework.security.oauth2.server.resource.authentication.JwtGrantedAuthoritiesConverter;import org.springframework.security.oauth2.server.resource.authentication.ReactiveJwtAuthenticationConverterAdapter;import org.springframework.security.oauth2.server.resource.web.server.ServerBearerTokenAuthenticationConverter;import org.springframework.security.web.server.SecurityWebFilterChain;import reactor.core.publisher.Mono;import java.io.IOException;import java.nio.file.Files;import java.security.KeyFactory;import java.security.NoSuchAlgorithmException;import java.security.interfaces.RSAPublicKey;import java.security.spec.InvalidKeySpecException;import java.security.spec.X509EncodedKeySpec;import java.util.Base64;/** * 资源服务器配置 * * @author huan.fu 2021/8/24 - 上午10:08 */@Configuration@EnableWebFluxSecuritypublic class ResourceServerConfig { @Autowired private CustomReactiveAuthorizationManager customReactiveAuthorizationManager; @Bean public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) throws NoSuchAlgorithmException, IOException, InvalidKeySpecException { http.oauth2ResourceServer() .jwt() .jwtAuthenticationConverter(jwtAuthenticationConverter()) .jwtDecoder(jwtDecoder()) .and() // 认证胜利后没有权限操作 .accessDeniedHandler(new CustomServerAccessDeniedHandler()) // 还没有认证时产生认证异样，比方token过期，token不非法 .authenticationEntryPoint(new CustomServerAuthenticationEntryPoint()) // 将一个字符串token转换成一个认证对象 .bearerTokenConverter(new ServerBearerTokenAuthenticationConverter()) .and() .authorizeExchange() // 所有以 /auth/** 结尾的申请全副放行 .pathMatchers("/auth/**", "/favicon.ico").permitAll() // 所有的申请都交由此处进行权限判断解决 .anyExchange() .access(customReactiveAuthorizationManager) .and() .exceptionHandling() .accessDeniedHandler(new CustomServerAccessDeniedHandler()) .authenticationEntryPoint(new CustomServerAuthenticationEntryPoint()) .and() .csrf() .disable() .addFilterAfter(new TokenTransferFilter(), SecurityWebFiltersOrder.AUTHENTICATION); return http.build(); } /** * 从jwt令牌中获取认证对象 */ public Converter<Jwt, ? extends Mono<? extends AbstractAuthenticationToken>> jwtAuthenticationConverter() { // 从jwt 中获取该令牌能够拜访的权限 JwtGrantedAuthoritiesConverter authoritiesConverter = new JwtGrantedAuthoritiesConverter(); // 勾销权限的前缀，默认会加上SCOPE_ authoritiesConverter.setAuthorityPrefix(""); // 从那个字段中获取权限 authoritiesConverter.setAuthoritiesClaimName("scope"); JwtAuthenticationConverter jwtAuthenticationConverter = new JwtAuthenticationConverter(); // 获取 principal name jwtAuthenticationConverter.setPrincipalClaimName("sub"); jwtAuthenticationConverter.setJwtGrantedAuthoritiesConverter(authoritiesConverter); return new ReactiveJwtAuthenticationConverterAdapter(jwtAuthenticationConverter); } /** * 解码jwt */ public ReactiveJwtDecoder jwtDecoder() throws IOException, NoSuchAlgorithmException, InvalidKeySpecException { Resource resource = new FileSystemResource("/Users/huan/code/study/idea/spring-cloud-alibaba-parent/gateway-oauth2/new-authoriza-server-public-key.pem"); String publicKeyStr = String.join("", Files.readAllLines(resource.getFile().toPath())); byte[] publicKeyBytes = Base64.getDecoder().decode(publicKeyStr); X509EncodedKeySpec keySpec = new X509EncodedKeySpec(publicKeyBytes); KeyFactory keyFactory = KeyFactory.getInstance("RSA"); RSAPublicKey rsaPublicKey = (RSAPublicKey) keyFactory.generatePublic(keySpec); return NimbusReactiveJwtDecoder.withPublicKey(rsaPublicKey) .signatureAlgorithm(SignatureAlgorithm.RS256) .build(); }}7、网关yaml配置文件spring: application: name: gateway-auth cloud: nacos: discovery: server-addr: localhost:8847 gateway: routes: - id: user-provider uri: lb://user-provider predicates: - Path=/user/** filters: - RewritePath=/user(?<segment>/?.*), $\{segment} compatibility-verifier: # 勾销SpringCloud SpringCloudAlibaba SpringBoot 等的版本查看 enabled: falseserver: port: 9203debug: true六、演示1、客户端 gateway 在认证服务器领有的权限为 user.userInfo2、user-provider服务提供了一个api findAllUsers，它会返回 零碎中存在的用户(假的数据) 和 解码后的token信息。 ...

序言上一篇文章：你连对外接口签名都不会晓得？有工夫还是要学习学习。 有很多小伙伴反馈，对外的 API 中相干的加签，验签这些工作能够对立应用网关去解决。 说到网关，大家必定比拟相熟。市面上应用比拟宽泛的有：spring cloud/kong/soul。 API 网关的作用（1）对外接口中的权限校验 （2）口调用的次数限度，频率限度 （3）微服务网关中的负载平衡，缓存，路由，访问控制，服务代理，监控，日志等。 实现原理 个别的申请时间接通过 client 拜访 server 端，咱们须要在两头实现一层 api 网关，内部 client 拜访 gateway，而后 gateway 进行调用的转发。 外围流程网关听起来非常复杂，最外围的局部其实基于 Servlet 的 javax.servlet.Filter 进行实现。 咱们让 client 调用网关，而后在 Filter 中对立对音讯题进行解析转发，调用服务端后，再封装返回给 client。 import javax.servlet.*;import javax.servlet.annotation.WebFilter;import javax.servlet.http.HttpServletRequest;import java.io.IOException;import java.util.Enumeration;import java.util.HashMap;import java.util.Map;/** * @author binbin.hou * @since 1.0.0 */@WebFilter@Componentpublic class GatewayFilter implements Filter { private static final Logger LOGGER = LoggerFactory.getLogger(GatewayFilter.class); public void init(FilterConfig filterConfig) throws ServletException { } public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) servletRequest; LOGGER.info("url={}, params={}", req.getRequestURI(), JSON.toJSONString(req.getParameterMap())); //依据 URL 获取对应的服务名称 // 进行具体的解决逻辑 // TODO... } else { filterChain.doFilter(req, servletResponse); } } public void destroy() { }}接下来，咱们只须要重点看一下如何重写 doFilter 办法即可。 ...

Spring cloud gateway的三个外围概念route 路由能够了解为一条转发规定，蕴含： id指标url断言（predicate）过滤器（filter）若断言为true，则申请将经由 filter 被路由到指标 url。predicate 断言能够了解为一个条件判断，对以后的http申请进行指定规定的匹配，当匹配上规定时，断言才为true，此时申请会被路由到指标地址，服务或者过滤器 filter 过滤器对申请进行解决的逻辑局部。当申请的断言为true 时，会被路由到设置好的过滤器， 以对申请进行解决。例如，能够为申请增加一个申请头，或增加一个申请参数，或对申请URI 进行批改等。 Nacos作为路由规定的配置核心nacos的配置和运行如下 MySQL配置运行运行MySQL docker run -p 3306:3306 --name mysql \-v /Users/wangbin/dockerall/mysql/log:/var/log/mysql \-v /Users/wangbin/dockerall/mysql/data:/var/lib/mysql \-v /Users/wangbin/dockerall/mysql/conf:/etc/mysql \-e MYSQL_ROOT_PASSWORD=root \-d mysql:5.7docker exec -it mysql bashmysql -prootcreate database nacos_config;use nacos_config;执行SQLSQL内容新建/xxxxx/nacos_docker/init.d/目录并生成custom.properties文件。文件内容如下 management.endpoints.web.exposure.include=*server.contextPath=/nacosserver.servlet.contextPath=/nacosserver.port=8848spring.datasource.platform=mysqldb.num=1db.url.0=jdbc:mysql://127.0.0.1:3306/nacos_config?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=truedb.user=rootdb.password=rootnacos.cmdb.dumpTaskInterval=3600nacos.cmdb.eventTaskInterval=10nacos.cmdb.labelTaskInterval=300nacos.cmdb.loadDataAtStart=falsemanagement.metrics.export.elastic.enabled=falsemanagement.metrics.export.influx.enabled=falseserver.tomcat.accesslog.enabled=trueserver.tomcat.accesslog.pattern=%h %l %u %t "%r" %s %b %D %{User-Agent}inacos.security.ignore.urls=/,/**/*.css,/**/*.js,/**/*.html,/**/*.map,/**/*.svg,/**/*.png,/**/*.ico,/console-fe/public/**,/v1/auth/login,/v1/console/health/**,/v1/cs/**,/v1/ns/**,/v1/cmdb/**,/actuator/**,/v1/console/server/**nacos.naming.distro.taskDispatchThreadCount=1nacos.naming.distro.taskDispatchPeriod=200nacos.naming.distro.batchSyncKeyCount=1000nacos.naming.distro.initDataRatio=0.9nacos.naming.distro.syncRetryDelay=5000nacos.naming.data.warmup=truenacos.naming.expireInstance=true新建logs目录运行Nacos docker run--name nacos -d-p 8848:8848--privileged=true--restart=always-e JVM_XMS=256m-e JVM_XMX=256m-e MODE=standalone-e PREFER_HOST_MODE=hostname-v /xxxxx/nacos_docker/init.d/custom.properties:/home/nacos/init.d/custom.properties-v /xxxxx/nacos_docker/logs:/home/nacos/logsnacos/nacos-server拜访 http://localhost:8848输出 nacos/nacos登陆新建配置内容 内容如下 [{ "id":"user-router", "predicates":[ { "args":{ "pattern": "/usr/**" }, "name": "Path" } ], "filters": [ { "name": "StripPrefix", "args": { "parts": "1" } } ], "uri": "lb://user-service"}]对应的yml内容如route局部 ...

背景： 公司外部有很多服务，如消费信贷，账户服务，领取服务等，这些服务由公司不同部门或团队保护。如果内部机构想要调用这些接口，须要与不同团队协商接口格局，加解密格局，签名验签格局等调用形式。如果公司有一个对立对外提供服务的网关，对立调用形式，服务调用方和提供方都依照这个规范进行接口调用和开发，就能够防止技术细节的反复探讨，能够专一于业务层面。 概述 对立网关基于spring cloud gateway开发，提供对外拜访外部服务的对立入口，调用方通过一系列断言和过滤器，路由到不同的外部利用零碎。流程图如下： 性能： 参数校验：调用方将json格局的申请参数放入request body中，通过http post形式拜访对立网关，申请参数须要遵循对立网关的规范，即蕴含机构号，银行号，api名称，api版本，受权token，防重放nounce，流水号，加密后的业务数据，验签数据等字段。如果有未传入的字段，则认为是非法申请。监控：通过参数校验后，网关把申请异步放入mq，以便对交易进行统计防重放：一笔交易通过一系列过滤器能够被转发到后盾零碎，交易被拦挡后被反复发送，如果没有防重放性能，改交易始终会被转发到后盾，对业务零碎造成侵害。因而防重放可防止雷同的申请反复发送。token校验：token由机构申请，是机构身份合法性的判断起源，有效期为两个小时，须要定时更新。如果token有效，则认为是该机构非法黑白名单：判断容许和禁止拜访的IP权限校验：判断该笔交易的机构是否具备拜访这个银行的api的权限加解密：交易的业务数据在发送前进行加密，对立网关解密验签后发送至后盾零碎，收到后盾零碎响应后再签名加密返回至调用方签名验签：加解密是为了避免数据在传输过程中被发现，签名验签是为了避免发现后数据被篡改网关相干的工夫： 交易的工夫戳：由客户端本人定义申请工夫：进入gateway的工夫响应工夫：gateway响应至客户端的工夫另： gateway发往后台的工夫gateway接管后盾响应的工夫告警：进入flink的工夫

单体架构下图简略展现了单体架构的工作流程 单体架构是把所有的模块和性能集中到一起，部署到一台服务器中，这种一把梭的形式,赢了还好，输了就下海干活。如果申请过大,一台机器撑不住,也只能通过增加机器的形式来进行横向扩大。 微服务架构微服务架构中咱们的利用往往是拆分成不同的模块，取而代之的是多个不同的Service独立部署。他们之间的通信通过http或者rpc等形式，这样每个模块咱们就能够独立开发，互不影响。 能够看到之前的单体零碎提供的性能被咱们拆分成了很多个模块，别离部署成不同的服务。 手机端用户间接通过Nginx拜访不同的后端服务，然而在手机端须要实现聚合性能。比方首页须要显示的数据须要在不同的服务中获取数据，就须要将数据申请回来组合之后能力进行显示，所以个别咱们会在手机客户端和微服务之间减少一层。 这一层次要做什么呢？聚合数据之后返回对立格局的数据,还能够依据不同设施类型进行裁剪(比方平板和手机显示就不一样),因为减少了BFF(backend for frontend，为前端开发的后端),APP和后端API就解除了强耦合的关系，两边是能够独立变动的,不会受到另一方影响。 有的服务返回的数据可能是xml格局，有的有可能是json格局微服务看起来很棒，然而也存在一些挑战，在微服务架构之下，服务被拆的十分零散，升高了耦合度的同时也给服务的对立治理减少了难度。在旧的服务治理体系之下，鉴权，限流，日志，监控等通用性能须要在每个服务中独自实现，这使得零碎维护者没有一个全局的视图来对立治理这些性能。而计算机的问题都能够通过减少一层来解决这个问题，所以咱们能够减少一层API网关来包容这些通用的性能，在此基础上提供零碎可扩展性。 能够看到这里又提出来了一层gateway，而对于BFF,有些公司可能将其和gateway合并了，具体怎么解决，得看理论状况是怎么的了。 API 网关模式意味着你要把API 网关放到你的微服务们的最前端，并且要让API 网关变成由利用所发动的每个申请的入口。这样就能够显著的简化客户端实现和微服务应用程序之间的沟通形式。 没有网关之前,客户端将商品退出购物车不得不去申请用户服务，而后再到商品服务，而后是购物车服务。客户端须要去晓得怎么去一起来生产这三个不同的service。应用API网关，咱们能够形象所有这些复杂性，并创立客户端们能够应用的优化后的端点，并向那些模块们发出请求。 你还能够通过API网关中心化中间件的能力。当你开始创立越来越多的服务时，你会发现自己面临了一个新的问题 – 就是你发现你须要对一些服务进行身份验证和流量管制。 有的服务是public的；有的是private的；有的则是合作伙伴的API，这些你只能提供给一些特定的用户。迟早你会发现自己在实现每个微服务时总是一次次的反复编写一些雷同的代码，这些代码其实都是能够形象为中间件的。 这显然不是每个微服务应该去关注的事件。API网关才应该把这件事件揽下，也就是说微服务只负责接管进来的request-而后返回一个相似JSON格局的response即可。而后API网关就把这些例如身份验证、日志（logging）以及流量管制都归于麾下。 微服务并不都是长处,它同样有一长串须要思考的问题，比方日志、监控、异样解决、容错、回滚、通信、音讯格局、容器、服务发现、备份、测试、报警、跟踪、工具、文档、扩大、时区、API版本、网络提早、健康检查、负载平衡等等问题,一个新的形式解决问题的同时也会面临新的问题，所以不要感觉微服务就肯定好，每个阶段面临的问题不一样,咱们解决问题，对待问题的形式也不一样。微服务要关怀的事件太多，所以如果你的公司筹备转成微服务就肯定要有具备这些解决微服务面临问题的能力。 云原生服务微服务之后,又衰亡了云原生服务,什么是云原生服务呢？ 云原生利用定义: 基于微服务原理而开发的利用，以容器形式打包。在运行时，容器由运行于云基础设施之上的平台(比方kubernetes)进行调度。利用开发采纳继续交付和DevOps实际。 云原生服务还是离不开微服务，只是它是运行在具备云原生根底的平台中的，而且采纳的是继续交付和DevOps实际。这个云原生平台有什么作用呢？用过Kubernetes的都晓得它不必放心扩大、服务发现、负载平衡、容错、回滚、更新等等问题，并且对于gateway,监控等等都有配套的成熟解决方案。真的是谁用谁晓得。 这里就不开展说了，感兴趣的能够去理解下KubernetesAPI Gateway抉择网关须要思考哪些内容限流熔断动静路由和负载平衡基于path的路由,比方 example.com/user 拜访问用户服务, example.com/shopping 拜访购物服务截获器链日志采集和Metrics埋点响应流优化可编程APIHeader头重写各大网关比照 反对公司实现语言亮点有余Nginx(2004)Nginx IncC/Lua高性能，成熟稳固门槛高,偏运维,可编程弱Zuul1(2012)Netflix/PivotalJava成熟,简略门槛低性能个别，可编程个别Spring Cloud Gateway(2016)PivotalJava异步,配置灵便晚期产品Envoy(2016)LyftC++高性能,可编程API/ServiceMesh集成门槛较高Kong(2014)Kong IncOpenResty/Lua高性能,可编程API门槛较高Traefik(2015)ContainousGolang云原生,可编程API/对接各种服务发现生产案例不太多理论中咱们应用的是云原生服务,而Zuul和Spring Cloud Gateway联合Spring Cloud全家桶联合应用成果较好，所以它不太适宜咱们当初的抉择。 咱们将眼光集中在Kong和traefik中,通过比照发现,咱们最终还是抉择了traefik,相比拟于Kong,traefic的劣势如下: 1. traefik较为轻量，十分易于应用和设置2. traefic通过Kubernetes存储状态(Kong要应用Postgres或者Cassandra来存储状态)，并利用Ingress通过https将所有流量路由到对应的服务3. 已在寰球范畴内用户生产环境，并通过了严格的测试和基准测试，在我司其余我的项目中有使用4. Kong仪表板，它是独自开发的，与最新版本的Kong兼容须要花点工夫。Traefik带有本人的仪表板，它始终与最新的Traefik版本兼容,Traefik的用户界面也比Kong的用户界面难看。 traefik的Middlewares真心好用,traefik倡议降级到traefik2并且traefik还能够作为Kubernetes ingress controller,能够齐全代替咱们之前说过的nginx controller 如何应用traefick作为网关进行用户验证 ingress route的配置： 代码: 通过下面的配置之后，当咱们想要拜访/api/orders这个api的时候就会先去/api/auth中进行受权验证用户是否登录，如果登录后则会将携带对应的http header到对应的后端服务，后端服务在依据这个header进行验证