微服务架构——服务API网关

一、什么是服务网关

服务网关 = 路由转发 + 过滤器

1、路由转发：接收一切外界请求，转发到后端的微服务上去；

2、过滤器：在服务网关中可以完成一系列的横切功能，例如权限校验、限流以及监控等，这些都可以通过过滤器完成（其实路由转发也是通过过滤器实现的）。

二、为什么需要服务网关
上述所说的横切功能（以权限校验为例）可以写在三个位置：

• 每个服务自己实现一遍
• 写到一个公共的服务中，然后其他所有服务都依赖这个服务
• 写到服务网关的前置过滤器中，所有请求过来进行权限校验

第一种，缺点太明显，基本不用；
第二种，相较于第一点好很多，代码开发不会冗余，但是有两个缺点：

• 由于每个服务引入了这个公共服务，那么相当于在每个服务中都引入了相同的权限校验的代码，使得每个服务的jar包大小无故增加了一些，尤其是对于使用docker镜像进行部署的场景，jar越小越好；
• 由于每个服务都引入了这个公共服务，那么我们后续升级这个服务可能就比较困难，而且公共服务的功能越多，升级就越难，而且假设我们改变了公共服务中的权限校验的方式，想让所有的服务都去使用新的权限校验方式，我们就需要将之前所有的服务都重新引包，编译部署。

而服务网关恰好可以解决这样的问题：

• 将权限校验的逻辑写在网关的过滤器中，后端服务不需要关注权限校验的代码，所以服务的jar包中也不会引入权限校验的逻辑，不会增加jar包大小；
• 如果想修改权限校验的逻辑，只需要修改网关中的权限校验过滤器即可，而不需要升级所有已存在的微服务。

所以，需要服务网关！！！

三、服务网关技术选型

引入服务网关后的微服务架构如上，总体包含三部分：服务网关、open-service和service。

1、总体流程：

• 服务网关、open-service和service启动时注册到注册中心上去；
• 用户请求时直接请求网关，网关做智能路由转发（包括服务发现，负载均衡）到open-service，这其中包含权限校验、监控、限流等操作
• open-service聚合内部service响应，返回给网关，网关再返回给用户

2、引入网关的注意点

• 增加了网关，多了一层转发（原本用户请求直接访问open-service即可），性能会下降一些（但是下降不大，通常，网关机器性能会很好，而且网关与open-service的访问通常是内网访问，速度很快）；
• 网关的单点问题：在整个网络调用过程中，一定会有一个单点，可能是网关、nginx、dns服务器等。防止网关单点，可以在网关层前边再挂一台nginx，nginx的性能极高，基本不会挂，这样之后，网关服务就可以不断的添加机器。但是这样一个请求就转发了两次，所以最好的方式是网关单点服务部署在一台牛逼的机器上（通过压测来估算机器的配置），而且nginx与zuul的性能比较，根据国外的一个哥们儿做的实验来看，其实相差不大，zuul是netflix开源的一个用来做网关的开源框架；
• 网关要尽量轻。

3、服务网关基本功能

• 智能路由：接收外部一切请求，并转发到后端的对外服务open-service上去；
  • 注意：我们只转发外部请求，服务之间的请求不走网关，这就表示全链路追踪、内部服务API监控、内部服务之间调用的容错、智能路由不能在网关完成；当然，也可以将所有的服务调用都走网关，那么几乎所有的功能都可以集成到网关中，但是这样的话，网关的压力会很大，不堪重负。
• 权限校验：只校验用户向open-service服务的请求，不校验服务内部的请求。服务内部的请求有必要校验吗？
• API监控：只监控经过网关的请求，以及网关本身的一些性能指标（例如，gc等）；
• 限流：与监控配合，进行限流操作；
• API日志统一收集：类似于一个aspect切面，记录接口的进入和出去时的相关日志

• 我们已经知道，在微服务架构中，不同的微服务可以有不同的网络地址，各个微服务之间通过互相调用完成用户请求，客户端可能通过调用N个微服务的接口完成一个用户请求。比如：用户查看一个商品的信息，它可能包含商品基本信息、价格信息、评论信息、折扣信息、库存信息等等，而这些信息获取则来源于不同的微服务，诸如产品系统、价格系统、评论系统、促销系统、库存系统等等，那么要完成用户信息查看则需要调用多个微服务，这样会带来几个问题：

  1.  客户端多次请求不同的微服务，增加客户端的复杂性，

  2. 认证复杂，每个服务都要进行认证；

  3. http请求增加，效率不高；

  4. 存在跨域请求，比较复杂。

        那么问题来了？我们如何解决这个问题呢，可以这么想，不要让前端直接知道后台诸多微服务的存在，我们的系统本身就是从业务领域的层次上进行划分，形成多个微服务，这是后台的处理方式，对于前台而言，仍然类似于单体应用一样，一次请求即可，于是我们可以在客户端和服务端之间增加一个API网关，所有的外部请求先通过这个微服务网关，它只需跟网关进行交互，而由网关进行各个微服务的调用，如图：

  

          这样的话，我们就可以解决上面提到的问题，同时开发就可以得到相应的简化，还可以有如下优点：

  1. 减少客户端与微服务之间的调用次数，提高效率；

  2. 便于监控，可在网关中监控数据，可以做统一切面任务处理；

  3. 便于认证，只需要在网关进行认证即可，无需每个微服务都进行认证；

  4. 降低客户端与服务端的耦合度。

          这里可以联想到一个概念，面向对象设计中的门面模式，即对客户端隐藏细节，API网关也是类似的东西，只不过叫法不同而已。它是系统的入口，封装了应用程序的内部结构，为客户端提供统一服务，一些与业务本身功能无关的公共逻辑可以在这里实现，诸如认证、鉴权、监控、缓存、负载均衡、流量管控、路由转发等等，如图：

  

          总结一下，服务网关大概就是四个功能：统一接入、流量管控、协议适配、安全维护，如图：

  

  服务网关（Zuul）

          在目前的网关解决方案里，有Nginx+ Lua、Kong、Spring Cloud Zuul等等，这里以Zuul为例进行说明，它是Netflix公司开源的一个API网关组件，Spring Cloud对其进行封装做到开箱即用，同时，Zuul还可以与Eureka、Ribbon、Hystrix等组件配合使用。简单说来，Zuul实现了两个功能：路由转发、过滤器：

  1. 路由转发：接受请求，转发到后端服务；

  

  2. 过滤器：提供一系列过滤器完成权限、日志、限流等切面任务。

  

  原理

          Zuul的核心是一系列过滤器，开发者通过实现过滤器接口，可以做大量切面任务，即AOP思想的应用。Zuul的过滤器之间没有直接的相互通信，而是通过本地ThreadLocal变量进行数据传递的。

  

  配置步骤

  （1）添加Zuul依赖，非常简单；

  

  （2）在启动类添加@EnableZuulProxy注解，开启路由功能：

  （3）路由配置：

  

  说明：凡是以/cjgl/打头的请求，路由到ly-microservice-cjgl微服务。

  （4）测试，打开浏览器，输入：http://10.17.1.123:6061/api/cjgl/hello，则可以看到被转发到ly-microservice-clgl微服务，如图：

  

  

                ly-microservice-clgl微服务

  安全认证

          Zuul不仅实现路由转发，还可以充当过滤器，进行安全认证等操作，这里我们做一个示例，ZuulFilter是Zuul中核心组件，可以通过继承该抽象类，重写其中的方法实现。

          我们这里要求用户请求时，必须传递一个token参数，没带token参数进行请求表示非法访问，我们给予拦截，并给客户端提示，操作步骤如下：

  （1）新建AccessFilter类，继承ZuulFilter类，重写其中的run方法

• （2）修改启动类，增加bean注入

• （3）重启服务，再次输入：http://10.17.1.123:6061/api/cjgl/hello，则访问被拦截，提示“无访问权限”，因为没有带accessToken参数，如图：

  

  （4）加上accessToken参数，再访问：http://10.17.1.123:6061/api/cjgl/hello?accessToken=666，则成功访问，如图：