前言:長亮科技API網(wǎng)關(guān)自誕生以來,已在交通銀行、渤海銀行、民生銀行信用卡、北農(nóng)商等幾十家金融客戶項目應(yīng)用,在高性能和高可靠方面經(jīng)歷了大量的生產(chǎn)實踐考驗。
隨著微服務(wù)架構(gòu)的發(fā)展,原本粗粒度的應(yīng)用被拆分為眾多細(xì)粒度的微服務(wù),每個服務(wù)都有其需要對外暴露的API服務(wù),服務(wù)之間的調(diào)用變得錯綜復(fù)雜,微服務(wù)及其API的統(tǒng)一管理、API的安全防范、流量轉(zhuǎn)發(fā)、流量治理等問題變得尤為突出。
破局—引入API網(wǎng)關(guān)
如何解決這些問題?
那就需要在客戶端和服務(wù)之間引入一個額外層,作為從客戶端向服務(wù)發(fā)起請求路由的反向代理,類似面向?qū)ο笤O(shè)計中的外觀模式,為封裝底層系統(tǒng)架構(gòu)的API提供了一個單一入口,稱為API網(wǎng)關(guān)。
簡而言之,API網(wǎng)關(guān)就是用一套單一且統(tǒng)一的API入口點,來組合一個或多個內(nèi)部API。通過引入API網(wǎng)關(guān),能夠?qū)PI的生命周期進(jìn)行統(tǒng)一管理,API網(wǎng)關(guān)接管所有的入口流量,將所有用戶的請求轉(zhuǎn)發(fā)給后端的服務(wù)器。
但網(wǎng)關(guān)做的僅僅是轉(zhuǎn)發(fā)這么簡單嗎?
當(dāng)然不是,API會針對流量做一些治理(如鑒權(quán)、限流、權(quán)限、熔斷、協(xié)議轉(zhuǎn)換、錯誤碼統(tǒng)一、緩存)、流量監(jiān)控(如日志、監(jiān)控、告警)、安全防范(如協(xié)議安全、訪問安全、報文安全等),將通用的邏輯抽出來,由網(wǎng)關(guān)統(tǒng)一去做,業(yè)務(wù)方也能夠更專注于業(yè)務(wù)邏輯,提升迭代的效率,其重要性可見一斑。
API網(wǎng)關(guān)可為微服務(wù)架構(gòu)系統(tǒng)帶來多項價值:
? 網(wǎng)關(guān)層對外部和內(nèi)部進(jìn)行了隔離,保障了后臺服務(wù)的安全性
? 對外訪問控制由網(wǎng)絡(luò)層面轉(zhuǎn)換成了運(yùn)維層面,減少變更的流程和錯誤成本
? 減少客戶端與服務(wù)的耦合,服務(wù)可以獨立發(fā)展。通過網(wǎng)關(guān)層來做映射
? 通過網(wǎng)關(guān)層聚合,減少外部訪問的頻次,提升訪問效率
? 節(jié)約后端服務(wù)開發(fā)成本,減少上線風(fēng)險
? 為服務(wù)熔斷,灰度發(fā)布,線上測試提供簡單方案
? 便于進(jìn)行應(yīng)用層面的擴(kuò)展
因此作為流量的入口,網(wǎng)關(guān)本身的高性能、高可用、可擴(kuò)展性等非功能特性也至關(guān)重要。
長亮科技API網(wǎng)關(guān)依賴其良好的擴(kuò)展性,在功能上不斷完善豐富,對接了眾多內(nèi)外部的系統(tǒng),擴(kuò)展了多種接入接出協(xié)議;支持多種流量治理策略,提供較為全面的安全防控手段。
下面將從API網(wǎng)關(guān)總體設(shè)計、API治理設(shè)計、API安全防范三方面詳細(xì)分析長亮科技API網(wǎng)關(guān)的設(shè)計實踐。
長亮科技API網(wǎng)關(guān)總體設(shè)計
1、技術(shù)架構(gòu)設(shè)計——最大功能上解耦
目前市面上基本都是一個服務(wù),沒有做到最大功能上的解耦,在此基礎(chǔ)上長亮科技全面創(chuàng)新,將網(wǎng)關(guān)服務(wù)分為管控端和運(yùn)行端兩部分,單獨運(yùn)行,讓網(wǎng)關(guān)運(yùn)行服務(wù)脫離外界依賴,真正將gateway最大化限度的解耦。
API網(wǎng)關(guān)采用前后端分離架構(gòu)模式,以Java語言開發(fā),選用當(dāng)前主流技術(shù)棧Spring Boot,Spring Cloud體系。
? 管控端主要作用為管理網(wǎng)關(guān)配置、UI交互、推送數(shù)據(jù)到網(wǎng)關(guān)運(yùn)行端等,管控端和服務(wù)端分工明確,讓真正負(fù)責(zé)處理請求的網(wǎng)關(guān)運(yùn)行端,爭取資源最大化。
? 網(wǎng)關(guān)運(yùn)行端為真正被調(diào)用的網(wǎng)關(guān)服務(wù),核心機(jī)制為過濾器鏈機(jī)制、接入接出機(jī)制、配置數(shù)據(jù)jvm緩存及本地緩存機(jī)制等;網(wǎng)關(guān)運(yùn)行端對接了多種基礎(chǔ)組件,包括監(jiān)控中心、注冊中心、鏈路中心、日志中心、配置中心等。為保證用戶配置的參數(shù)出現(xiàn)推送丟失的情況,網(wǎng)關(guān)運(yùn)行服務(wù)還會定時向網(wǎng)關(guān)管控服務(wù)拉取數(shù)據(jù),達(dá)到雙向數(shù)據(jù)同步效果。
2、高擴(kuò)展性的設(shè)計——提供更全的擴(kuò)展
網(wǎng)關(guān)運(yùn)行端采用了SPI機(jī)制,大大的增加了網(wǎng)關(guān)的擴(kuò)展性,除市面上都支持的Fileter擴(kuò)展、治理功能的擴(kuò)展外,長亮科技還可提供接入接出(協(xié)議)的擴(kuò)展,加解密方式、報文等多處位置的擴(kuò)展,大大增加了網(wǎng)關(guān)的可擴(kuò)展點:
? Filter擴(kuò)展
網(wǎng)關(guān)的功能在整個項目中屬于一個過濾器鏈,可通過頁面動態(tài)配置對網(wǎng)關(guān)的各個過濾器選擇是否使用;如增加某種認(rèn)證機(jī)制等,也就是針對過濾器鏈進(jìn)行擴(kuò)展。
? 接入接出擴(kuò)展
在現(xiàn)有網(wǎng)關(guān)多協(xié)議基礎(chǔ)上,擴(kuò)展一種接入接出協(xié)議,如dubbo、TSF等;
? 加解密擴(kuò)展
擴(kuò)展新的算法和規(guī)則,對請求響應(yīng)報文加解密、加驗簽;
? 網(wǎng)關(guān)請求響應(yīng)二次擴(kuò)展
支持在網(wǎng)關(guān)層面對接入的請求,接收的響應(yīng)進(jìn)行修改;
? 擴(kuò)展網(wǎng)關(guān)響應(yīng)碼及響應(yīng)信息
對網(wǎng)關(guān)響應(yīng)碼和響應(yīng)信息的擴(kuò)展,用以適配各種不同的響應(yīng)碼響應(yīng)格式要求。
除Filter擴(kuò)展是在過濾器中進(jìn)行擴(kuò)展,其余擴(kuò)展均是針對inbound和outbound進(jìn)行擴(kuò)展。
3、高可用設(shè)計——更易管理和維護(hù)的邏輯集群劃分
網(wǎng)關(guān)分為管控端(數(shù)據(jù)控制)和運(yùn)行端(API調(diào)用)兩個服務(wù),且單獨運(yùn)行,運(yùn)行端采取本地緩存存儲信息不需要任何讀庫操作,在管控端Down機(jī)情況下,仍可以繼續(xù)進(jìn)行API調(diào)用。
網(wǎng)關(guān)服務(wù)器采用無狀態(tài)集群架構(gòu),一個網(wǎng)關(guān)集群可以包含多個網(wǎng)關(guān)實例,集群可以作為邏輯上的實例分類,每個實例只對應(yīng)一個網(wǎng)關(guān)管控端,防止數(shù)據(jù)混亂。相對市面上普遍使用的物理上集群劃分,這種邏輯集群劃分則更好管理和維護(hù)。
網(wǎng)關(guān)管控端會主動向運(yùn)行端發(fā)送心跳檢測,同時網(wǎng)關(guān)運(yùn)行端會定時向管控端進(jìn)行數(shù)據(jù)同步,預(yù)防管控端數(shù)據(jù)同步異常導(dǎo)致的不一致。
客戶端通過負(fù)載均衡器訪問網(wǎng)關(guān)實例,負(fù)載均衡器可采用軟負(fù)載或硬負(fù)載方式,負(fù)載均衡器可使用MS架構(gòu)避免單點故障。
API治理設(shè)計
1、API限流
限制API被訪問的次數(shù),保證服務(wù)在可承受壓力內(nèi)正常運(yùn)行,防止因過高流量導(dǎo)致服務(wù)發(fā)生崩潰,分布式限流采取分布式緩存Redis實現(xiàn)。
當(dāng)請求進(jìn)入RateLimiter Filter 限流過濾器時,會先根據(jù)當(dāng)前的請求構(gòu)建一組Key,然后判斷Redis是否可用,當(dāng)其可用時使用Redis進(jìn)行集群限流:
? 先判斷當(dāng)前實例的緩存是否有該key,如果存在則請求redis lua腳本,腳本中會對遍歷到的規(guī)則執(zhí)行 incr rule,給對應(yīng)的規(guī)則自增1,并判斷返回值,如果返回值小于等于最大值,則允許通過,否則拋出限流異常。
? 當(dāng)Redis不可用時,則使用JVM級別的實例限流。會直接從當(dāng)前實例的緩存中獲取一個Semaphore信號量,并嘗試獲取其許可,當(dāng)獲取成功則表示限流通過,反之拋出限流異常。
2、熔斷降級
當(dāng)服務(wù)故障時,為了防止整個系統(tǒng)的故障,對系統(tǒng)采取熔斷降級策略。可根據(jù)平均響應(yīng)時間、秒級異常比例、分鐘級異常數(shù)等維度進(jìn)行熔斷降級處理。
熔斷降級的三種維度:
? 平均響應(yīng)時間:如在1s內(nèi)連續(xù)處理5個請求,它的平均響應(yīng)時間都超過閾值,那么在后續(xù)的時間窗口中,對于這個API的調(diào)用都會自動熔斷或降級。
? 異常比例:當(dāng)指定資源每秒請求量大于等于5,并且每秒的異常總數(shù)占通過量的比值超過閾值之后(如每秒處理1000個請求,那么其中異常請求數(shù)為500,那么當(dāng)前的比值是50%),那么該資源會進(jìn)入降級狀態(tài)。異常的比率范圍是[0.0.1.0]表示0%到100%。
? 異常數(shù):當(dāng)資源在1分鐘的異常數(shù)據(jù)超過閾值后會進(jìn)行熔斷或降級針對這些規(guī)則。
3、API路由
API路由指根據(jù)調(diào)用將調(diào)用路由對不同的后端服務(wù)、網(wǎng)關(guān)支持基于客戶端IP、比例、調(diào)用者、自定義方式進(jìn)行路由,同時支持配置優(yōu)先級。
API路由的四種模式:
? IP模式:根據(jù)不同IP路由到不同的服務(wù)提供者實例。
? 關(guān)鍵字模式:通過在請求頭或者查詢參數(shù)中的關(guān)鍵字進(jìn)行路由。
? 租戶模式:不同租戶路由不同的服務(wù)提供者。
? 比例模式:設(shè)置不同的比例進(jìn)行路由,例如實例A消化掉90%的API調(diào)用,實例B消化掉10%的API。
API安全防范
1、協(xié)議安全
為保證訪問API過程中的安全問題,API網(wǎng)關(guān)在設(shè)計上增加了對https的支持,可直接使用https的訪問方式訪問網(wǎng)關(guān)中的API。
2、訪問安全
很多情況下,API都直接暴露在公網(wǎng),所以很可能會出現(xiàn)被惡意訪問,而網(wǎng)關(guān)要做的就是防止這種惡意訪問的出現(xiàn)。通過訪問JTW認(rèn)證、權(quán)限控制、簽名認(rèn)證、黑白名單等手段來降低API被惡意訪問的風(fēng)險。
相對單一的訪問安全方式,長亮科技的訪問安全更為全面,且在除現(xiàn)有的幾個訪問安全外,仍可繼續(xù)擴(kuò)展其他安全手段。
? 權(quán)限控制:只有通過管理員授權(quán)的接口,客戶端才有權(quán)限訪問 。如果未授權(quán),在網(wǎng)關(guān)處攔截,響應(yīng)給客戶端沒有訪問權(quán)限。
? 簽名認(rèn)證:按規(guī)則將請求參數(shù)通過SHA256算法|RSA|國密等運(yùn)算生成簽名值,網(wǎng)關(guān)對客戶的簽名進(jìn)行驗簽,驗簽成功后繼續(xù)往下,否則直接被攔截。
? 黑白名單:按黑白名單的配置進(jìn)行驗證,如果在黑名單中,則直接攔截,不在黑名單中可繼續(xù)往下。
? JWT認(rèn)證:在訪問API前先向網(wǎng)關(guān)申請一個Token,每次API訪問時帶入這個Token,網(wǎng)關(guān)則會對Token解析,主要包括Token有效期驗證、訪問權(quán)限驗證、訪問者身份認(rèn)證;通過后繼續(xù)往下,否則直接攔截。
3、報文安全
在客戶端調(diào)用API時,傳入報文的安全是至關(guān)重要的,網(wǎng)關(guān)在這塊通過報文的加密/加簽的方式確保報文的安全性。
? 加密:通過對報文的加密確保訪問過程中報文的安全性;除現(xiàn)支持的AES、DES、RSA、國密方式外,并可以通過SPI的機(jī)制,擴(kuò)展其他的加解密方式。
? 加簽:通過對報文的加簽確保報文在訪問過程中的完整性,除現(xiàn)支持的RSA、SHA256、國密方式外,也可以通過SPI的機(jī)制,擴(kuò)展其他加簽方式。
4、流量安全
網(wǎng)關(guān)作為所有應(yīng)用的一個入口,承載著海量流量的訪問,以及隨時可能爆發(fā)的惡意流量攻擊的壓力。因此流量控制是網(wǎng)關(guān)安全中必須的一環(huán),以保證服務(wù)的正常運(yùn)行,防止服務(wù)因過高流量導(dǎo)致服務(wù)發(fā)生崩潰。
總結(jié)
在豐富的金融客戶實踐中,長亮科技認(rèn)為,API網(wǎng)關(guān)作為企業(yè)能力開放的一個門戶,除了具備基本的請求轉(zhuǎn)發(fā)、協(xié)議轉(zhuǎn)換、路由、安全控制等功能,以及高性能和高穩(wěn)定性外,還需具備良好的擴(kuò)展性,以便于網(wǎng)關(guān)能力的不斷增強(qiáng)。在網(wǎng)關(guān)實施過程中,要規(guī)劃好網(wǎng)關(guān)層與服務(wù)層的交互方式,盡量使得網(wǎng)關(guān)層與服務(wù)層解耦,便于各個團(tuán)隊工作的獨立性;同時在API的管理上,需要提供API全生命周期的發(fā)布、配置、鑒權(quán)、流控、監(jiān)控等配套的管理功能。
無論是微服務(wù)、分布式架構(gòu),還是網(wǎng)格化服務(wù)架構(gòu),API網(wǎng)關(guān)都是不可或缺的部分,隨著各服務(wù)之間的流量變化呈現(xiàn)出爆發(fā)性的增長,API網(wǎng)關(guān)作為系統(tǒng)的入口,將在提升系統(tǒng)的性能和可靠性中承擔(dān)著越來越重要的作用。
