[云框架]KONG API Gateway v1.5 -框架说明、快速部署、插件开发

前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到教程。

当前版本采用KONGv0.12.3

当我们决定对应用进行微服务改造时,应用客户端如何与微服务交互的问题也随之而来,毕竟服务数量的增加会直接导致部署授权、负载均衡、通信管理、分析和改变的难度增加。

面对以上问题,API GATEWAY是一个不错的解决方案,其所提供的访问限制、安全、流量控制、分析监控、日志、请求转发、合成和协议转换功能,可以解放开发者去把精力集中在具体逻辑的代码,而不是把时间花费在考虑如何解决应用和其他微服务链接的问题上。

在众多API GATEWAY框架中,Mashape开源的高性能高可用API网关和API服务管理层——KONG(基于NGINX)特点尤为突出,它可以通过插件扩展已有功能,这些插件(使用lua编写)在API请求响应循环的生命周期中被执行。于此同时,KONG本身提供包括HTTP基本认证、密钥认证、CORS、TCP、UDP、文件日志、API请求限流、请求转发及NGINX监控等基本功能。目前,Kong在Mashape管理了超过15,000个API,为200,000开发者提供了每月数十亿的请求支持。

本篇云框架将结合数据查询服务实例介绍KONG API GATEWAY及其最佳实践方法。

相关云框架:[云框架]基于Spring Cloud的微服务架构-用户指南

 

快速部署

一键部署

一键部署至好雨云帮

本地部署

  1. 准备Docker环境

  2. 克隆仓库

    git clone https://github.com/cloudframeworks-apigateway/user-guide-apigateway
    
  3. 基于docker-compose运行命令 (docker-compose.yml)

    docker-compose -f docker-compose.yml up -d
    
  4. 访问路径

    http://本机IP:8000 - kong url

    http://本机IP:8001 - kong admin url

    https://本机IP:8443 - kong https url

    http://本机IP:8081 - kong dashboard ui

    https://本机IP:8080/api/persons - user api url

    https://本机IP:8080/api/newinfos - newinfo api url

查看分步快速部署

框架说明-业务

数据查询应用,顾名思义提供简单的数据查询服务,应用对外提供两个端口:

  • user:处理敏感数据,如限制访问

  • newinfo:普通数据,对所有人开放

对比以上两个端口,我们可以相对清楚的理解KONG及其插件的效果和配置方法。

本例数据查询应用业务架构比较简明,如下图所示:

框架说明-组件

本例使用KONG本身实现ROUTING,并添加了OAuth 2.0(AUTHENTICATION实现)、IP Restriction(SECURITY实现)、Rate Limiting(TRAFFIC CONTROL实现)、File(LOGGING实现)等4个插件。(查看更多官方插件)

以下管理配置通过命令行实现。KONG也可以通过UI管理界面进行管理和配置,方法请参考KONG DASHBOARD。

 

 

  • newinfo端口仅通过KONG实现与user端口的路由,其他插件未使用

    • KONG代理方式包括:1)应用通过携带HOST头部路由到对应的API应用;2)通过不同的uri路由到API应用

    • 以上两种方式均为基于Openresty动态增加upstream以及对upstream的DNS resolver来实现

    • 客户端将先请求KONG服务器,并被代理到最终的API应用,而插件在API响应循环的生命周期中被执行

  • user端口信息敏感,限制访问用户;newinfo端口信息不敏感,无需限制访问用户(AUTHENTICATION实现)

  • user端口控制访问地址,仅规定IP可访问;newinfo端口无此限制(SECURITY实现)

  • user端口控制访问频率,newinfo端口可无限制访问(TRAFFIC CONTROL实现)

  • user端口可获取每次访问日志(LOGGING实现)

KONG基本使用

注册API

使用Kong代理API,首先需要把API注册到Kong,并通过返回数据查看注册是否成功,如:

curl -i -X POST \--url http://127.0.0.1:8001/apis/ \--data 'name=personapi' \--data 'hosts=personapi' \--data 'upstream_url=https://本机IP:8080/api/persons'          # 本机IP通过ifconfig查看

添加用户

API可能没有用户概念,会出现随意调用的情况。为此Kong提供了一种consumer对象(全局共用),如某API启用了key-auth,没有身份的访问者将无法调用该API,

命令如下:

  1. 创建一个consumer

    curl -X POST \--data "username=oauthadmin" \--data "custom_id=personapi" \http://127.0.0.1:8001/consumers/ 
    
  2. 在key-auth插件中为此consumer生成key

    curl -X POST \http://127.0.0.1:8001/consumers/oauthadmin/key-auth \
    

此时即可使用key来通过权限验证访问API了,需要注意的是:

  • 若另一API也开通了key-auth插件,那么这个consumer也是可以通过key-auth验证访问这个API的,想要控制这种情况,需借助Kong的ACL插件

  • 对于Kong来讲,认证与权限是两个不同的概念

API添加插件

目前,Kong默认提供了31种插件,插件独立作用于每一个API,不同的API可以使用完全不同的插件。

这是一种非常科学的设计,因为在实际情况中很可能会出现有的API完全开放,不需要任何认证,有的API会涉及敏感数据,权限控制需要非常严格;有的API完全不在乎调用频次或者日志,有的API则严格限制调用频次或者日志等类似情况。

命令如下:

  1. 添加插件:

    curl -i -X POST \--url http://127.0.0.1:8001/apis/personapi/plugins/ \--data 'name=key-auth'
    
  2. 访问验证:

    curl -H 'Host: personapi' -H 'TT: {KEY}' http://127.0.0.1:8000
    
    curl -H 'Host: personapi' http://127.0.0.1:8000/
    

ROUTING实现

user端口和newinfo端口之间实现路由,需先将服务注册到Kong,外部访问将统一走api gateway代理。

命令如下:

  1. 注册user api

    curl -i -X POST \--url http://127.0.0.1:8001/apis/ \--data 'name=personapi' \--data 'hosts=personapi' \--data 'upstream_url=https://本机IP:8080/api/persons'
    
  2. 注册newinfo api

    curl -i -X POST \--url http://127.0.0.1:8001/apis/ \--data 'name=newinfoapi' \--data 'hosts=newinfoapi' \--data 'upstream_url=https://本机IP:8080/api/newinfos'
    
  3. 注册成功后即可通过Kong代理访问

    • 用户信息(user端口)

      命令:

      curl -H 'Host: personapi' http://127.0.0.1:8000
      

      返回:

      [{"pid":1,"name":"lucien","age":30},{"pid":2,"name":"Joe","age":28},{"pid":3,"name":"smith","age":32},{"pid":4,"name":"Tod","age":56},{"pid":5,"name":"linken","age":34},{"pid":6,"name":"truple","age":23},{"pid":7,"name":"tdt","age":20}
      ]
    • 新闻信息(newinfo端口)

      命令:

      curl -H 'Host: newinfoapi' http://127.0.0.1:8000
      

      返回:

      [{"nid":1,"title":"一路一代代","content":"what happending...."},{"nid":2,"title":"雪中悍刀行","content":"人生三不朽,立功立德立言"}
      ]

此时,可以将用户信息、新闻通知对外访问控制限制为只有Kong可以访问,外部请求全部通过Kong进行代理。

AUTHENTICATION实现

通过OAuth 2.0 Authentication插件实现user端口的用户访问限制,

  1. 注册Oauth2插件,详情参见配置说明

    curl -X POST \--data 'name=oauth2' \--data 'config.enable_password_grant=true' \--data 'config.provision_key=qwe1238amsdh23' \http://127.0.0.1:8001/apis/personapi/plugins
    
  2. 添加Consumer及Consumer对应的credentials

    curl -X POST \--data "username=oauthadmin" \--data "custom_id=personapi" \http://127.0.0.1:8001/consumers/ 
    
    curl -X POST \--data "name=oauthadmin" \--data "client_id=personapi" \--data "redirect_uri=https://本机IP:8080/api/persons" \http://127.0.0.1:8001/consumers/oauthadmin/oauth2
    
  3. 申请accesstoken并访问

    命令:

    curl -k -H 'Host: personapi' \--data "client_id=5bee1b6679e5463599d7ce64b14c2795" \--data "client_secret=54f2a058f30f46e8b5ccc8d6788eb081" \--data "provision_key=qwe1238amsdh23" \--data "authenticated_userid=b48bf407-c2b7-41a9-8e0f-43eead2fc60f" \--data "grant_type=password" \https://127.0.0.1:8443/oauth2/token
    

    返回:

    {"refresh_token":"e87d871957eb4717bb0002054ae8c9a3","token_type":"bearer","access_token":"bad2a7ee579e4389880ae29b3610c639","expires_in":7200
    }
  4. 访问

    • 使用token访问user api

      命令:

      curl -H 'Host: personapi' \-H 'Authorization: bearer bad2a7ee579e4389880ae29b3610c639' \http://127.0.0.1:8000
      

      返回:

      [{"pid":1,"name":"lucien","age":30},{"pid":2,"name":"Joe","age":28},{"pid":3,"name":"smith","age":32},{"pid":4,"name":"Tod","age":56},{"pid":5,"name":"linken","age":34},{"pid":6,"name":"truple","age":23},{"pid":7,"name":"tdt","age":20}
      ]
    • 不使用token访问user api

      命令:

      curl -H 'Host: personapi' http://127.0.0.1:8000
      

      返回:

      {"error_description":"The access token is missing","error":"invalid_request"
      }
      

newinfo端口由于数据不敏感,无需特殊配置。

SECURITY实现

通过添加IP Restriction插件,实现对user端口的访问限制,即仅规定IP可访问。

  1. 为user端口添加IP Restriction插件扩展,并设置白名单(只有名单内的IP可以访问API)

    curl -X POST \--data 'name=ip-restriction' \--data 'config.whitelist=172.17.0.1' \http://127.0.0.1:8001/apis/personapi/plugins 
    
  2. 访问效果:

    • 白名单内IP访问:

      命令:

      curl -H 'Host: personapi' http://127.0.0.1:8000
      

      返回:

      [{"pid":1,"name":"lucien","age":30},{"pid":2,"name":"Joe","age":28},{"pid":3,"name":"smith","age":32},{"pid":4,"name":"Tod","age":56},{"pid":5,"name":"linken","age":34},{"pid":6,"name":"truple","age":23},{"pid":7,"name":"tdt","age":20}
      ]
    • 其他IP访问:

      命令:

      curl -H 'Host: personapi' http://172.17.0.1:8000
      

      返回:

      {"message":"Your IP address is not allowed"
      }

newinfo端口无需配置此插件。

TRAFFIC CONTROL实现

user端口通过Rate Limiting插件控制用户访问频率,避免无限制访问。

  1. 为user端口添加Rate Limiting插件扩展(此处设置1分钟内只能访问1次)

    curl -X POST \--data 'name=rate-limiting' \--data 'config.minute=1' \http://127.0.0.1:8001/apis/personapi/plugins 
    
  2. 访问效果:

    • 正常访问展示:

      命令:

      curl -H 'Host: personapi' http://127.0.0.1:8000
      

      返回:

      [{"pid":1,"name":"lucien","age":30},{"pid":2,"name":"Joe","age":28},{"pid":3,"name":"smith","age":32},{"pid":4,"name":"Tod","age":56},{"pid":5,"name":"linken","age":34},{"pid":6,"name":"truple","age":23},{"pid":7,"name":"tdt","age":20}
      ]
    • 超出次数的访问展示:

      命令:

      curl -H 'Host: personapi' http://127.0.0.1:8000
      

      返回:

      {"message":"API rate limit exceeded"
      }

newinfo端口无需配置此插件。

LOGGING实现

user端口通过File-log插件实现对于每次访问日志的获取,需要注意为日志文件写权限,日志格式参考Log Format。

  1. 为user端口添加File-log插件,并设置为日志文件路径设为:/tmp/file.log

    curl -X POST \--data 'name=file-log' \--data 'config.path=/tmp/file.log' \http://127.0.0.1:8001/apis/personapi/plugins 
    
  2. 添加日志插件后,每次访问都会被记录

newinfo端口无需配置此插件。

KONG插件开发

  1. git clone Kong到本地

    git clone git@github.com:Mashape/kong.git
    
  2. 创建自定义插件目录

    cd ${KONG_DIR}
    cd kong
    mkdir custom_plugins
    
  3. 新增插件

    cd ${KONG_DIR}
    cd kong
    mkdir custom_plugins
    cd custom_plugins
    mkdir xxx
    
  4. 编辑插件的schema.lua、handler.lua, 根据实际情况完成插件逻辑(lua教程)

  5. 修改${KONG_DIR}/templates/kong_defaults.lua,配置custom_plugins=xxx

  6. 执行luaracks make安装插件到本地进行测试

  7. 制作kong镜像,并快速部署

KONG插件开发示例:log2zmq

KONG插件开发示例:accesslimiting

 

 

转自: https://github.com/cloudframeworks-apigateway/user-guide-apigateway#KONG%E5%9F%BA%E6%9C%AC%E4%BD%BF%E7%94%A8

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/449443.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python 游戏 —— 汉诺塔(Hanoita)

一、汉诺塔问题 1. 问题来源 问题源于印度的一个古老传说,大梵天创造世界的时候做了三根金刚石柱子,在一根柱子上从下往上按照大小顺序摞着64片黄金圆盘。大梵天命令婆罗门把圆盘从下面开始按大小顺序重新摆放在另一根柱子上。并且规定,在小圆…

error: failed to push some refs to 'https://gitee.com/xxx/xxx'

一开始以为是本地版本和线上的差异 果断先直接pull 之后 还是不对,哎 不瞎搞了 搜... 获得消息: git pull --rebase origin master 原来如此:是缺失了文件 转载于:https://www.cnblogs.com/G921123/p/10605956.html

DevOps团队结构类型汇总:总有一款适合你

前言 组织中任何DevOps工作的主要目标都是改进客户和业务的价值交付,而不是降低成本、提升自动化或者通过配置管理驱动一切;这意味着,为了实现有效的Dev和Ops协同,不同的组织可能需要不同的团队结构。 概述 具体哪种DevOps团队结构…

magic

转载于:https://www.cnblogs.com/P201821430028/p/10611080.html

Vue 后台管理

这里是结合vue和element快速成型的一个demo 里面展示了基本的后台管理界面的大体结构和element的基本操作 GitHub的地址:https://github.com/wwwming/adminDemo 转载于:https://www.cnblogs.com/wangming1002/p/10613014.html

Linux查看MySQL版本的四种方法

前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到教程。 1 在终端下执行 mysql -V 2 在help中查找 mysql --help |grep Distrib 3 在mysql 里查看 select version() 4 在mysql 里查看 status…

行业指数动量策略+akshare

以周为单位,获取本周最强的5只行业指数,进行均值购买。 数据源采用akshare。 导入包 import akshare as ak import pandas as pd import numpy as np import matplotlib 日线换为周线 #日线换为周线数据 def transferToWeekLine(df):data1dfstock_da…

2019-03-28 SQL Server Pivot

--现在我们是用PIVOT函数将列[WEEK]的行值转换为列,并使用聚合函数Count(TotalPrice)来统计每一个Week列在转换前有多少行数据,语句如下所示 select * from ShoppingCart as C PIVOT(count(TotalPrice) FOR [Week] IN([1],[2],[3],[4],[5],[6],[7])) AS…

C/C++开发者必不可少的15款编译器+IDE

摘要:C/C这两门语言依然活跃在编程领域里,其不仅拥有强大的功能集,而且还提供了强大的安全保障。为此,笔者专为C/C编码者收集了15款令人印象深刻的IDE和编译器。 Web开发者可选择的编程语言有很多比如,Java、.Net、PH…

白山云科技 CTO 童剑:空降后,如何有技术又有艺术地破局?

TGO 鲲鹏会北京分会举行了一场线下分享活动——《 CTO 空降如何平稳落地 》,白山云科技(下称“白山”)CTO 童剑分享了他的故事和经验。在工作中,“空降”这个问题不仅仅是 CTO 会遇到,每一个带团队的领导都会遇到。如何…

如何理解指向指针的指针?

本文由 伯乐在线 - 菜鸟浮出水 翻译自 StackOverflow。欢迎加入 技术翻译小组。转载请参见文章末尾处的要求。问题:如何理解指向指针的指针? 我在一篇教程中看到下面这段,它描述指向指针的指针是如何运作的。 引用文章相关段落如下&#x…

Linux定时任务Crontab命令详解

前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到教程。 linux 系统则是由 cron (crond) 这个系统服务来控制的。Linux 系统上面原本就有非常多的计划性工作,因此这个系统服务是默认…

中小企业网络安全提升

为什么80%的码农都做不了架构师?>>> 据外媒报道,绝大多数网络罪犯的目标是中小企业,然而研究表明,大多数企业主并不认为自己有成为网络犯罪分子目标的可能。为了保护自己不受网络攻击,企业应该关注以下五个…

用Linux命令行生成随机密码的十种方法

本文由 极客范 - 小道空空 翻译自 Lowell Heddings。欢迎加入极客翻译小组,同我们一道翻译与分享。转载请参见文章末尾处的要求。Linux操作系统的一大优点是对于同样一件事情,你可以使用高达数百种方法来实现它。例如,你可以通过数十种方法…

[个人网站搭建]·Django增加评论功能(Python3)

[个人网站搭建]Django增加评论功能 个人主页--> https://xiaosongshine.github.io/ 个人网站搭建github地址:https://github.com/xiaosongshine/djangoWebs 安装django插件 pip install django-contrib-comments配置settings.py INSTALLED_APP(#...,django_com…

一周工作60个小时并不值得骄傲,这是个问题!

本文由 极客范 - yesky 翻译自 Jeff Archibald。欢迎加入极客翻译小组,同我们一道翻译与分享。转载请参见文章末尾处的要求。当我们声称自己在这周,上周或是上个月超负荷地工作了多少时间时,一种自豪感便会油然而生。 我之所以这么说是因为…

DOM的那些事

到底调用函数时要不要加()? 在html中,onclick后必须接字符串调用,而在js中则必须接函数进行调用。 addEventListener和click区别 onclick只是一个属性,且是唯一的。其只能绑定一个事件,容易在不…

解决 -- 代码没有问题时接口报错:Status Code: 404 Not Found

前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到教程。 我能确定这个工程的接口代码肯定没有问题,这时请求接口依旧报 404。 如: 经过多方检查 最终确认问题原因&…

java版开源工作流引擎ccflow从表数据数据源导入设置

为什么80%的码农都做不了架构师?>>> 关键字驰骋工作流引擎 流程快速开发平台 workflow ccflow jflow .net开源工作流 从表数据导入设置 概要说明在从表的使用中我一般都会用到从数据库引入一些数据到表单中,这时候就需要有一个功能能够查询…

一周消息树:程序员想找好工作?那就学好Linux!

摘要:从一小众化的系统发展到今天在国际上支撑着绝大部分公司的重量级系统,Liunx现在被越来越多的公司重视。而Linux人才却没有跟上,为此,MongoDB公司的副总裁Matt Asay给软件开发者们一个建议:要学好Linux。 近期&…