web 网关主要承载业务访问的代理转发和 SSL 证书配置并实现基于域名的 web 访问。当前主要的网关应用有 Nginx、openresty 和 kong 等。它们有各自的特点但同时也存在不足。其中 openresty 和 kong 都是基于 Nginx 的功能实现。
Nginx 最大的问题是官方没有提供 GUI 方式的管理界面并且在群集方面的支持有限,所有配置都基于文本的配置方式。使用和学习成本较高。
Openresty 通过将 Nginx 和 LuaJit 环境结合起来实现了更复杂更扩展的应用,支持更多的应用场景并且提供了大量的插件。上手比较简单,但是如果要用好或出现问题排查等则需要更多的技能,需要懂代码开发。当然它也不提供 GUI 的管理界面。
Kong 是将 Openresty 结合微服务的发展趋势发展而出的专门整到容器环境的网关(也适合非容器环境),官方不提供 GUI 的管理界面,通过 PGSQL 实现配置内容的保存。在数据转发性能上无法和 Nginx 和 Openresty 相比,实际使用整体感觉比较重。
Apisix 和 Kong 类似,近几年发展较快。通过 ETCD 保存数据并且提供 GUI 管理界面,相对比较轻量。和 Kong 以及 Openresty 相比推出的时间较短。
wget https://github.com/etcd-io/etcd/releases/download/v3.4.17/etcd-v3.4.17-linux-amd64.tar.gz tar zxvf etcd-v3.4.17-linux-amd64.tar.gz mv etcd-v3.4.17-linux-amd64 /usr/local/ mkdir -p /var/lib/etcd vim /etc/systemd/system/etcd.service |
[Unit] Description=Etcd Server After=network.target [Service] Type=notify User=root WorkingDirectory=/var/lib/etcd/ #EnvironmentFile=/etc/etcd/etcd.conf ExecStart=/usr/local/etcd/etcd \ --name etcd_apisix \ --data-dir=/var/lib/etcd \ --listen-client-urls, \ --advertise-client-urls Restart=on-failure RestartSec=5 [Install] WantedBy=multi-user.target |
systemctl systemctl daemon-reload systemctl enable etcd.service systemctl start etcd |
wget https://golang.org/dl/go1.17.2.linux-amd64.tar.gz tar -C /usr/local/ -zxvf go1.17.1.linux-amd64.tar.gz vim /etc/profile source /etc/profile |
wget https://openresty.org/package/centos/openresty.repo --no-check-certificate mv openresty.repo /etc/yum.repos.d/ yum install -y openresty curl git gcc openresty-openssl111-devel unzip |
wget wget https://github.com/luarocks/luarocks/archive/v3.4.0.tar.gz bash ./linux-install-luarocks.sh vim linux-install-luarocks.sh |
#!/usr/bin/env bash set -ex # you might need sudo to run this script if [ -z ${OPENRESTY_PREFIX} ]; then OPENRESTY_PREFIX="/usr/local/openresty" fi tar -xf luarocks-3.4.0.tar.gz cd luarocks-3.4.0 || exit OR_BIN="$OPENRESTY_PREFIX/bin/openresty" OR_VER=$($OR_BIN -v 2>&1 | awk -F '/' '{print $2}' | awk -F '.' '{print $1"."$2}') if [[ -e $OR_BIN && "$OR_VER" == 1.19 ]]; then WITH_LUA_OPT="--with-lua=${OPENRESTY_PREFIX}/luajit" else # For old version OpenResty, we still need to install LuaRocks with Lua WITH_LUA_OPT= fi ./configure $WITH_LUA_OPT \ > build.log 2>&1 || (cat build.log && exit 1) make build > build.log 2>&1 || (cat build.log && exit 1) sudo make install > build.log 2>&1 || (cat build.log && exit 1) cd .. || exit rm -rf luarocks-3.4.0 mkdir ~/.luarocks || true OPENSSL_PREFIX=${OPENRESTY_PREFIX}/openssl if [ -d ${OPENRESTY_PREFIX}/openssl111 ]; then OPENSSL_PREFIX=${OPENRESTY_PREFIX}/openssl111 fi luarocks config variables.OPENSSL_LIBDIR ${OPENSSL_PREFIX}/lib luarocks config variables.OPENSSL_INCDIR ${OPENSSL_PREFIX}/include |
wget https://github.com/apache/apisix/releases/download/2.10.0/apisix-2.10.0-0.el7.x86_64.rpm rpm -Uvh apisix-2.10.0-0.el7.x86_64.rpm sudo yum install -y https://repos.apiseven.com/packages/centos/apache-apisix-repo-1.0-1.noarch.rpm wget https://github.com/apache/apisix-dashboard/releases/download/v2.8/apisix-dashboard-2.8.0-0.el7.x86_64.rpm rpm -Uvh apisix-dashboard-2.8.0-0.el7.x86_64.rpm apisix start curl "" -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' |
apisix start vim /usr/local/apisix/dashboard/conf/conf.yaml manager-api start -p /usr/local/apisix/dashboard/ firewall-cmd --zone=public --add-port=9000/tcp --permanent |
在浏览器输入服务器的IP+9080端口使用 admin 的默认用户名和密码登录
1、apisix 提供对外访问服务,访问地址是
2、在该服务器上通过 python3 -m http.server 10000/10001 的方式模拟上游的服务器。其中不同的端口对应不同的文件内容,该端口不许外网访问(防火墙上未启用该端口)
3、输入会随机访问 10000和10001端口(增加 http 的作用是为了检测 rewrite 的功能)
export ETCDCTL_API=3 etcdctl --endpoints= get / --prefix --keys-only |
etcdctl --endpoints= snapshot save etcd-snapshot-`date +%Y%m%d`.db ETCDCTL_API=3 etcdctl snapshot restore /data/etcd_backup_dir/etcd-snapshot-20191222.db \ --data-dir=/var/lib/etcd/default.etcd |
cat > /etc/logrotate.d/apisix << EOF /usr/local/apisix/logs/*.log { daily rotate 5 missingok dateext compress notifempty postrotate [ -e /usr/local/apisix/logs/nginx.pid ] && kill -USR1 `cat /usr/local/apisix/logs/nginx.pid` endscript } EOF logrotate -f /etc/logrotate.d/apisix logrotate -d -f /etc/logrotate.d/apisix |
不增加 apisix 的代理端口,后面需要直接通过域名的方式转发 dashboard 的请求会直接转发到 apisix 的默认接口导致日志中的403错误。具体的说明可以参考文档。
内网环境或因多种原因无法申请公网 SSL 证书的可以直接通过系统的组件实现自签名证书。
mkdir ca cd ca openssl genrsa -out ./CA.key 4096 openssl req -x509 -new -key ./CA.key -out ./CA.cer -days 3650 -subj /CN="LingFang" mkdir apisix.test.lan penssl genrsa -out ./apisix.test.lan/apisix.test.lan.pem 4096 openssl req -new -key ./apisix.test.lan/test.lan.pem -out ./apisix.test.lan/apisix.test.lan.csr -days 365 openssl x509 -days 365 -req -in ./apisix.test.lan/apisix.test.lan.csr -extensions v3_req -CAkey ./CA.key -CA ./CA.cer -CAcreateserial -out ./apisix.test.lan/apisix.test.lan.crt |
1、使用 https 协议访问和上传,确保传输安全
2、参照 Nginx 的配置文件转为 apisix 的 GUI 配置
参照“4.3 增加自签名证书”的方式增加内部的 SSL 证书
参照 nginx 的配置文件增加 和 的资源
master-initing:配置文件解析完毕,master 进程初始化公用的数据
worker-initing:worker 进程自己的初始化,进程专用的数据
ssl:SSL/TLS 安全通信和验证
preread:在正式处理之前 “预读” 数据,接收 HTTP 请求头
rewrite:检查、改写 URI,实现跳转/重定向
filter:对 contet 阶段产生的内容进行过滤架构处理
init_by_lua:master-initing 阶段,初始化全局配置或模块
init_worker_by_lua:worker-initing 阶段,初始化进程专用功能
ssl_certificate_by_lua:ssl 阶段,在 “握手” 时设置安全证书
set_by_lua:rewrite 阶段,改写 Nginx 变量
access_by_lua:access 阶段,访问控制或限速
content_by_lua: content 阶段,产生响应内容
balancer_by_lua: content 阶段,反向代理时选择后端服务器
header_filter_by_lua:filter 阶段,加工处理响应头
body_filter_by_lua: filter 阶段,加工处理响应体
log_by_lua: log 阶段,记录日志或其他的收尾工作
通过apisix rest api 管理路由转发:
batch-requests: 以 http pipeline 的方式在网关一次性发起多个 http 请求。
HTTPS/TLS:根据 TLS 扩展字段 SNI(Server Name Indication) 动态加载证书。
serverless:允许在 APISIX 中的不同阶段动态运行 Lua 代码。
redirect: URI 重定向
request-validation: 请求验证。
api-breaker: API的断路器,在状态不正常的情况下停止将请求转发到上游。
response-rewrite: 支持自定义修改返回内容的 status code、body、headers。
proxy-rewrite: 支持自定义修改 proxy 到上游的信息。
grpc-transcode:REST <--> gRPC 转码。
authz-keycloak: 支持 Keycloak 身份认证服务器
wolf-rbac 基于 RBAC 的用户认证及授权。
key-auth:基于 Key Authentication 的用户认证。
JWT-auth:基于 JWT (JSON Web Tokens) Authentication 的用户认证。
basic-auth:基于 basic auth 的用户认证。
oauth: 提供 OAuth 2 身份验证和自省。
cors: 为你的API启用 CORS
uri-blocker: 根据 URI 拦截用户请求。
referer-restriction: Referer 白名单。
ip-restriction: IP 黑白名单。
prometheus:以 Prometheus 格式导出 APISIX 自身的状态信息,方便被外部 Prometheus 服务抓取。
OpenTracing:支持 Zikpin 和 Apache SkyWalking。
Skywalking: Supports Apache SkyWalking。
http-logger: 将请求记录到 HTTP 服务器。
tcp-logger: 将请求记录到 TCP 服务器。
kafka-logger: 将请求记录到外部 Kafka 服务器。
udp-logger: 将请求记录到 UDP 服务器。
sys-log: 将请求记录到 syslog 服务。
log-rotate: 日志文件定期切分。