APISIX 入門（國產微服務網關）【轉】

一、 概述

Gitee上的官方文檔鏈接。

APISIX 是基於 OpenResty + etcd 實現的雲原生、高性能、可擴展的微服務 API 網關。它是國人開源，目前已經進入 Apache 進行孵化。

• OpenResty：通過 Lua 擴展 Nginx 實現的可伸縮的 Web 平臺。
• etcd：Key/Value 存儲系統。

APISIX 通過插件機制，提供了動態負載平衡、身份驗證、限流限速等等功能，當然我們也可以自己開發插件進行拓展。

 

整體架構

• 動態負載均衡：跨多個上游服務的動態負載均衡，目前已支持 round-robin 輪詢和一致性哈希算法。
• 身份驗證：支持 key-auth、JWT、basic-auth、wolf-rbac 等多種認證方式。
• 限流限速：可以基於速率、請求數、併發等維度限制。

並且 APISIX 還支持 A/B 測試、金絲雀發佈(灰度發佈)、藍綠部署、監控報警、服務可觀測性、服務治理等等高級功能，這在作爲微服務 API 網關非常重要的特性。

下面，我們正式進入 APISIX 的極簡入門之旅。

二、安裝

在《APISIX 官方文檔 —— 安裝》中，介紹了源碼包、RPM 包、Luarocks、Docker 四種安裝方式。這裏我們使用 CentOS 7.X 系統，所以採用 RPM 包。
因爲 APISIX 是基於 OpenResty + etcd 來實現，所以需要安裝它們兩個。

2.1 安裝依賴

CentOS 7腳本

# 安裝 epel, `luarocks` 需要它
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
sudo rpm -ivh epel-release-latest-7.noarch.rpm

# 添加 OpenResty 源
sudo yum install yum-utils
sudo yum-config-manager --add-repo https://openresty.org/package/centos/openresty.repo

# 安裝 OpenResty, etcd 和 編譯工具
sudo yum install -y etcd openresty curl git gcc luarocks lua-devel

# 開啓 etcd server
sudo service etcd start

2.2 安裝 Apache APISIX

通過 RPM 包安裝（CentOS 7）,其他安裝方式見鏈接。

2.2.1 安裝腳本

sudo yum install -y https://github.com/apache/incubator-apisix/releases/download/1.3/apisix-1.3-0.el7.noarch.rpm
一定要看到最後打印如下信息才安裝成功，否則查看報錯信息來解決。

Installed:
  apisix.noarch 0:1.3-0                                                                                                                                                                                          

Complete!

此時，APISIX 安裝在/usr/local/apisix/目錄，使用如下命令查看各個文件夾：

$ cd /usr/local/apisix/
$ ls -ls
total 40
4 drwxr-xr-x 8 root   root 4096 May  1 11
:40 apisix # APISIX 程序
4 drwx------ 2 nobody root 4096 May  1 20:44 client_body_temp
4 drwxr-xr-x 3 root   root 4096 May  1 20:50 conf # 配置文件
4 drwxr-xr-x 6 root   root 4096 May  1 20:40 dashboard # APISIX 控制檯
4 drwxr-xr-x 5 root   root 4096 May  1 20:40 deps
4 drwx------ 2 nobody root 4096 May  1 20:44 fastcgi_temp
4 drwxrwxr-x 2 root   root 4096 May  1 20:44 logs # 日誌文件
4 drwx------ 2 nobody root 4096 May  1 20:44 proxy_temp
4 drwx------ 2 nobody root 4096 May  1 20:44 scgi_temp
4 drwx------ 2 nobody root 4096 May  1 20:44 uwsgi_temp

2.2.2 啓動 APISIX

命令：sudo apisix start
默認情況下，APISIX 啓動在 9080 端口，使用如下命令測試服務是否正常啓動：

$ curl http://127.0.0.1:9080/
{"error_msg":"failed to match any routes"}

三、APISIX 控制檯

APISIX 內置控制檯功能，方便我們進行 APISIX 的 Route、Consumer、Service、SSL、Upstream 的查看與維護。也就是上面看到的dashboard文件夾。
dashboard 缺陷:目前dashboard還存在一些不完善的地方，一些插件的函數配置等不可直接編輯，還是得通過apisix api進行。不過基本的一些配置直接可視化配置、查看很直觀，也夠用。

在/usr/local/apisix/conf/nginx.conf配置文件中，設置了 APISIX 控制檯的訪問路徑爲/apisix/dashboard。如下文所示：

        location /apisix/dashboard {
                allow 127.0.0.0/24;
                deny all;

            alias dashboard/;

            try_files $uri $uri/index.html /index.html;
        }

考慮到安全性，APISIX 控制檯只允許本機訪問，因此我們需要修改/usr/local/apisix/conf/config.yaml配置文件，增加允許訪問的遠程 IP 地址。如下所示：

  allow_admin:                  # http://nginx.org/en/docs/http/ngx_http_access_module.html#allow
    - 127.0.0.0/24              # If we don't set any IP list, then any IP access is allowed by default.
    - 211.94.246.0/24           # 新增加的遠程IP地址段。

修改完配置後，使用 apisix restart 命令，重啓 APISIX 來生效配置。然後，使用瀏覽器訪問 http://101.133.227.13:9080/apisix/dashboard地址，進入 APISIX 控制檯。結果如下圖所示：

 

dashboard控制檯頁面

使用默認的“admin/123456”賬號，登錄 APISIX 控制檯。

 

四、動態負載均衡

對後端服務提供的 API 接口進行負載均衡。我們啓動同一個springboot服務在2個不同端口18080 和 28080。

 

網絡架構

 

4.1啓動2個微服務命令

java -jar vue-springboot-0.0.1-SNAPSHOT-exec.jar --server.port=18080
java -jar vue-springboot-0.0.1-SNAPSHOT-exec.jar --server.port=28080

4.2 驗證服務是否正常

curl -k --tlsv1 https://localhost:18080/v2/vue/api/programLanguage/getAll
curl -k --tlsv1 https://localhost:28080/v2/vue/api/programLanguage/getAll
返回：
["C","vue","java","PHP","Python","C++"]
如果正常返回數據即可。

4.3 重要概念

一個微服務可以通過 APISIX 的路由、服務、上游和插件等多個實體之間的關係進行配置。 Route（路由）與客戶端請求匹配，並指定它們到達 APISIX 後如何發送到 Upstream（上游，後端 API 服務）。 Service（服務）爲上游服務提供了抽象。因此，您可以創建單個 Service 並在多個 Route 中引用它。

4.4 創建 APISIX Upstream（上游，後端 API 服務）

APISIX Upstream，是虛擬主機抽象，對給定的多個服務節點按照配置規則進行負載均衡。它根據配置規則在給定的一組服務節點上執行負載平衡。 因此，單個上游配置可以由提供相同服務的多個服務器組成。每個節點將包括一個 key（地址/ip:port）和一個 value （節點的權重）。 服務可以通過輪詢或一致哈希（cHash）機制進行負載平衡。

配置路由時，可以直接設置 Upstream 信息，也可以使用服務抽象來引用 Upstream 信息。

在 APISIX 控制檯的「Upstream」菜單中，創建一個 APISIX Upstream。如下圖所示：

 

新建upstream

 

4.5 創建 APISIX Route

APISIX Route，字面意思就是路由，通過定義一些規則來匹配客戶端的請求，然後根據匹配結果加載並執行相應的 插件，並把請求轉發給到指定 Upstream。

 

Routes配置

4.6 測試

我們來請求 APISIX 網關地址+url，轉發請求到後端服務。

4.6.1 瀏覽器訪問

地址：http://101.133.227.13:9080/v2/vue/api/programLanguage/getAll，注意：101.133.227.13:9080是APISIX 網關IP和端口號，不是Springboot微服務的。
返回錯誤:

Bad Request
This combination of host and port requires TLS.

默認情況下，Apache APISIX 通過 HTTP 協議代理請求。如果我們的後端託管在 HTTPS 環境中，讓我們使用proxy-rewrite插件將方案更改爲 HTTPS，記得點擊頁面下方保存 按鈕才能生效。

 

proxy-rewrite

 

4.6.2 瀏覽器再次訪問

http://101.133.227.13:9080/v2/vue/api/programLanguage/getAll，
或者命令行方式訪問curl -i -X GET "http://101.133.227.13:9080/v2/vue/api/programLanguage/getAll"。
正常返回結果：["C","vue","java","PHP","Python","C++"]。

API 也可以通過 HTTPs（9443）端口服務訪問。如果您使用的是自簽名證書，那麼通過 curl 命令使用 -k 參數忽略自簽名證書錯誤。注意：使用了https和9443端口。
curl -i -k -X GET "https://101.133.227.13:9443/v2/vue/api/programLanguage/getAll"

 

https訪問

 

五、限流限速

APISIX 內置了三個限流限速插件：

• limit-count：基於“固定窗口”的限速實現。
• limit-req：基於漏桶原理的請求限速實現。
• limit-conn：限制併發請求（或併發連接）。

5.1 配置 limit-req 插件

本小節，我們來演示使用 limit-req 插件，畢竟基於漏桶的限流算法，是目前較爲常用的限流方式。

漏桶算法(Leaky Bucket)是網絡世界中流量整形（Traffic Shaping）或速率限制（Rate Limiting）時經常使用的一種算法，它的主要目的是控制數據注入到網絡的速率，平滑網絡上的突發流量。
漏桶算法提供了一種機制，通過它，突發流量可以被整形以便爲網絡提供一個穩定的流量。

 

 

我們已經創建了一個 APISIX Route。這裏，我們給該 Route 配置下 limit-req 插件。如下圖所示：

 

限流插件

5.1.1 屬性說明

• rate：指定的請求速率（以秒爲單位），請求速率超過 rate 但沒有超過 （rate + brust）的請求會被加上延時
• burst：請求速率超過 （rate + brust）的請求會被直接拒絕
• rejected_code：當請求超過閾值被拒絕時，返回的 HTTP 狀態碼
• key：是用來做請求計數的依據，當前接受的 key 有："remote_addr"(客戶端 IP 地址), "server_addr"(服務端 IP 地址), 請求頭中的"X-Forwarded-For" 或 "X-Real-IP"。

上述截圖配置含義：限制了每秒請求速率爲 1，大於 1 小於 3的會被加上延時，速率超過 3就會被拒絕。

快速訪問返回包含 503 返回碼的響應頭：

HTTP/1.1 503 Service Temporarily Unavailable
Content-Type: text/html
Content-Length: 194
Connection: keep-alive
Server: APISIX web server

<html>
<head><title>503 Service Temporarily Unavailable</title></head>
<body>
<center><h1>503 Service Temporarily Unavailable</h1></center>
<hr><center>openresty</center>
</body>
</html>

5.2 limit-conn

Apisix 的限制併發請求（或併發連接）插件。

5.2.1屬性：

• conn: 允許的最大併發請求數。 超過這個比率的請求(低於“ conn” + “ burst”)將被延遲以符合這個閾值。
• burst: 允許延遲的過多併發請求(或連接)的數量。
• default_conn_delay: 默認的典型連接(或請求)的處理延遲時間。
• key: 用戶指定的限制併發級別的關鍵字，可以是客戶端IP或服務端IP。
  例如:可以使用主機名(或服務器區域)作爲關鍵字，以便限制每個主機名的併發性。 另外，我們也可以使用客戶端地址作爲關鍵字，這樣我們就可以避免單個客戶端用太多的並行連接或請求淹沒我們的服務。
  現在接受以下關鍵字: “remote_addr”(客戶端的 IP)，“server_addr”(服務器的 IP)，請* 求頭中的“ X-Forwarded-For/X-Real-IP”。
• rejected_code: 當請求超過閾值時返回的 HTTP狀態碼， 默認值是503。

5.2.2 在 route 頁面中添加 limit-conn 插件

 

限制併發配置

上面啓用的插件的參數表示只允許一個併發請求。 當收到多個併發請求時，將直接返回 503 拒絕請求。

5.2.3 測試

爲了區別limit-req返回的503錯誤，可以返回碼臨時改成504。
訪問不同的url模擬併發：
https://101.133.227.13:9443/v2/vue/api/programLanguage/getAll
和
https://101.133.227.13:9443/v2/vue/api/programLanguage/getAll?param=value
返回：
504 Gateway Time-out

六、 身份驗證

APISIX 內置了四個身份驗證插件：

• key-auth：基於 Key Authentication 的用戶認證。
• JWT-auth：基於 JWT (JSON Web Tokens) Authentication 的用戶認證。
• basic-auth：基於 basic auth 的用戶認證。
• wolf-rbac：基於 RBAC 的用戶認證及授權。需要額外搭建 wolf 服務，提供用戶、角色、資源等信息。

本小節，我們來演示使用 JWT-auth 插件。

6.1 配置 JWT-auth 插件

在 APISIX 控制檯的「Consumer」菜單中，創建一個 APISIX Consumer，Consumer 是某類服務的消費者，需與用戶認證體系配合才能使用。添加 JWT Authentication 到一個 service 或 route。 然後 consumer 將其密鑰添加到查詢字符串參數、請求頭或 cookie 中以驗證其請求。

6.1.1 屬性

• key: 不同的 consumer 對象應有不同的值，它應當是唯一的。不同 consumer 使用了相同的 key ，將會出現請求匹配異常。
• secret: 可選字段，加密祕鑰。如果您未指定，後臺將會自動幫您生成。
• algorithm：可選字段，加密算法。目前支持 HS256, HS384, HS512, RS256 和 ES256，如果未指定，則默認使用 HS256。
• exp: 可選字段，token 的超時時間，以秒爲單位的計時。比如有效期是 5 分鐘，那麼就應設置爲 5 * 60 = 300。

6.1.2 consumer使用 JWT-auth 插件

 

 

如下圖所示：

 

image.png

6.1.3 Route使用 JWT-auth 插件

我們已經創建了一個 APISIX Route。這裏，我們給該 Route 配置下 JWT-auth 插件。如下圖所示：

 

route 配置jwt插件

配置過程很奇怪，官方文檔也沒怎麼說明。

6.1.3 測試

調用 jwt-auth 插件提供的簽名接口，獲取 Token。

# key 參數，爲我們配置 jwt-auth 插件時，設置的 key 屬性。
curl -i -k -X GET  https://101.133.227.13:9443/apisix/plugin/jwt/sign?key=erbadagang

eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJlcmJhZGFnYW5nIiwiZXhwIjoxNTk1ODQxNjM3fQ.TyTsIDMGe8bHeXBtZ_6VjnDabbVGTZ7vHGh-PwLIixFkrXkKWLGvN1v6mlKoNCm_ccfTqU9n8h7QDeWdQZMIsA

6.1.3.1 正常情況

使用 Postman 模擬調用示例 https://101.133.227.13:9443/v2/vue/api/programLanguage/getAll 接口，並附帶上 JWT。如下圖所示：

 

JWT測試

 

6.1.3.2 如果缺少token訪問會返回

{"message":"Missing JWT token in request"}

6.1.3.3 token 放到請求參數中

https://101.133.227.13:9443/v2/vue/api/programLanguage/getAll?jwt=eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJlcmJhZGFnYW5nIiwiZXhwIjoxNTk1ODQyMTg3fQ.KwOVcSIbo9hOk4Kije8tSdUSZIZ8c-ceViGrZpF6pvhZ7Ky6MZYhsDvoGVWvP9TK0FB-G0TPH_ankkiFFv7htw

6.1.3..4 token過期

{"message":"'exp' claim expired at Mon, 27 Jul 2020 09:20:37 GMT"}

七、配置證書

https://gitee.com/iresty/apisix/blob/master/doc/https-cn.md

八、健康檢查

支持對上游節點的主動和被動健康檢查，在負載均衡時自動過濾掉不健康的節點。
由於控制檯dashboard沒有健康檢查的配置項，所以需要通過APISIX api方式在服務端執行如下語句。
使用 REST Admin API 來控制 Apache APISIX，默認只允許 127.0.0.1 訪問，你可以修改 conf/config.yaml 中的 allow_admin 字段，指定允許調用 Admin API 的 IP 列表。同時需要注意的是，Admin API 使用 key auth 來校驗調用者身份，在部署前需要修改 conf/config.yaml 中的 admin_key 字段，來保證安全。

8.1 Xshell登錄服務器執行

# 配置上游節點負載均衡+健康檢查demo
curl http://127.0.0.1:9080/apisix/admin/routes/016  -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "uris": ["/*"],
    "plugins": {
        "limit-count": {
            "count": 2,
            "time_window": 60,
            "rejected_code": 503,
            "key": "remote_addr"
        },
        "proxy-rewrite": {
            "scheme": "https"
        }       
    },
    "upstream": {
        "desc": "guoxiuzhi_upstream",
        "nodes": {
            "127.0.0.1:18080": 1,
            "127.0.0.1:28080": 2
        },
        "type": "roundrobin",
        "retries": 2,
        "checks": {
            "active": {
                "http_path": "/status",
                "healthy": {
                    "interval": 2,
                    "successes": 1
                },
                "unhealthy": {
                    "interval": 1,
                    "http_failures": 2
                },
                "req_headers": ["User-Agent: curl/7.29.0"]
            },
            "passive": {
                "healthy": {
                    "http_statuses": [200, 201],
                    "successes": 3
                },
                "unhealthy": {
                    "http_statuses": [500],
                    "http_failures": 3,
                    "tcp_failures": 3
                }
            }
        }
    }
}'

注意：

1. 由於我們的後端springboot是https訪問的，所以配置了proxy-rewrite插件的schema，官方文檔和api調用的單詞拼寫錯誤都是scheme，所以要將錯就錯。
2. X-API-KEY: edd1c9f034335f136f87ad84b625c8f1是admin賬號的key，可以在conf\config.yaml的找到對應的值。

      name: "admin"
      key: edd1c9f034335f136f87ad84b625c8f1
      role: admin  

8.2 成功執行上面語句後輸出

{"node":{"value":{"priority":0,"plugins":{"limit-count":{"time_window":60,"count":2,"rejected_code":503,"key":"remote_addr","policy":"local"},"proxy-rewrite":{"scheme":"https"}},"uris":["\/*"],"upstream":{"retries":2,"hash_on":"vars","type":"roundrobin","nodes":{"127.0.0.1:18080":1,"127.0.0.1:28080":2},"desc":"guoxiuzhi_upstream","checks":{"active":{"unhealthy":{"http_statuses":[429,404,500,501,502,503,504,505],"interval":1,"timeouts":3,"http_failures":2,"tcp_failures":2},"concurrency":10,"http_path":"\/status","healthy":{"successes":1,"interval":2,"http_statuses":[200,302]},"req_headers":["User-Agent: curl\/7.29.0"],"https_verify_certificate":true,"timeout":1,"type":"http"},"passive":{"unhealthy":{"http_failures":3,"http_statuses":[500],"tcp_failures":3,"timeouts":7},"healthy":{"http_statuses":[200,201],"successes":3},"type":"http"}}}},"createdIndex":37,"key":"\/apisix\/routes\/016","modifiedIndex":37},"prevNode":