APISIX插件系统深度探索
项目地址: https://gitcode.com/gh_mirrors/api/apisix 本文深入探讨了Apache APISIX插件系统的核心架构与实现机制。文章首先详细解析了插件系统的模块化设计和热插拔技术,包括插件加载器、生命周期管理和事件驱动架构。接着深入分析了认证授权插件(JWT、Key Auth等)的工作原理和配置实践,以及流量管理插件(限流、熔断等)的实际应用场景。最后全面介绍了日志与监控插件的配置方案,包括Prometheus监控、多种日志输出方式和高级配置技巧。
插件架构与热插拔机制
Apache APISIX的插件系统是其核心竞争力的关键所在,它采用了高度模块化的架构设计,支持真正的热插拔机制,能够在运行时动态加载、卸载和更新插件,而无需重启网关服务。这种设计使得APISIX在微服务架构中具备了极高的灵活性和可扩展性。
插件架构核心设计
APISIX的插件架构基于Lua模块系统构建,每个插件都是一个独立的Lua模块,遵循统一的接口规范。插件系统采用分层设计,主要包括以下几个核心组件:
插件加载器(Plugin Loader)
插件加载器负责动态加载和卸载插件模块,其核心逻辑包含在apisix/plugin.lua文件中。加载器通过Lua的require机制动态加载插件,并维护两个重要的数据结构:
local_plugins: 按优先级排序的插件列表local_plugins_hash: 插件名称到插件对象的映射表
local local_plugins = core.table.new(32, 0)
local local_plugins_hash = core.table.new(0, 32)
local stream_local_plugins = core.table.new(32, 0)
local stream_local_plugins_hash = core.table.new(0, 32)
插件生命周期管理
每个插件都必须实现标准的生命周期方法,APISIX定义了清晰的插件接口规范:
-- 示例插件结构
local _M = {
version = 0.1,
priority = 0, -- 执行优先级
name = "example-plugin",
schema = schema, -- 配置schema
metadata_schema = metadata_schema,
}
function _M.init()
-- 插件加载时调用
end
function _M.destroy()
-- 插件卸载时调用
end
function _M.rewrite(conf, ctx)
-- 重写阶段
end
function _M.access(conf, ctx)
-- 访问控制阶段
end
function _M.header_filter(conf, ctx)
-- 响应头过滤阶段
end
function _M.body_filter(conf, ctx)
-- 响应体过滤阶段
end
function _M.log(conf, ctx)
-- 日志记录阶段
end
热插拔机制实现原理
APISIX的热插拔机制基于事件驱动架构和动态模块加载技术,实现了真正的零停机插件更新。
事件系统集成
APISIX使用lua-resty-worker-events或lua-resty-events作为事件驱动框架,通过事件通知机制实现插件热重载:
插件加载流程
插件加载过程采用原子性操作,确保在更新过程中不会影响正在处理的请求:
- 预处理阶段:收集需要加载的插件名称,去重处理
- 卸载阶段:调用现有插件的
destroy()方法,清理资源 - 加载阶段:动态加载新插件,调用
init()方法初始化 - 排序阶段:按优先级对插件进行排序
- 缓存更新:更新插件哈希表和列表
local function load(plugin_names, wasm_plugin_names)
local processed = {}
-- 预处理和去重
for _, name in ipairs(plugin_names) do
processed[name] = true
end
-- 卸载现有插件
for name, plugin in pairs(local_plugins_hash) do
unload_plugin(name, plugin.type)
end
-- 加载新插件
for name, value in pairs(processed) do
load_plugin(name, local_plugins, PLUGIN_TYPE_HTTP)
end
-- 按优先级排序
if #local_plugins > 1 then
sort_tab(local_plugins, sort_plugin)
end
-- 更新缓存
for i, plugin in ipairs(local_plugins) do
local_plugins_hash[plugin.name] = plugin
end
end
插件配置管理
APISIX使用统一的配置管理机制,插件配置通过JSON Schema进行验证:
local schema = {
type = "object",
properties = {
i = {type = "number", minimum = 0},
s = {type = "string"},
t = {type = "array", minItems = 1},
ip = {type = "string"},
port = {type = "integer"},
},
required = {"i"},
}
配置验证确保插件配置的合法性和安全性,防止错误配置导致系统异常。
插件执行流程
APISIX采用阶段化的插件执行模型,插件可以在请求处理的不同阶段介入:
优先级调度机制
插件按优先级顺序执行,优先级数值越大执行越早:
| 插件名称 | 优先级 | 执行阶段 | 描述 |
|---|---|---|---|
| real-ip | 10000 | access | 获取真实客户端IP |
| limit-req | 2000 | access | 请求限流 |
| key-auth | 2500 | access | 密钥认证 |
| proxy-rewrite | 1000 | rewrite | 代理重写 |
热插拔的优势与挑战
优势特性
- 零停机更新:插件更新无需重启网关,保证业务连续性
- 动态配置:支持运行时修改插件配置并立即生效
- 资源隔离:插件间相互隔离,单个插件故障不影响整体系统
- 版本管理:支持多版本插件共存和灰度发布
技术挑战与解决方案
| 挑战 | 解决方案 |
|---|---|
| 内存泄漏 | 完善的插件卸载机制和资源清理 |
| 并发冲突 | 原子性操作和版本控制 |
| 配置一致性 | 分布式配置管理和一致性协议 |
| 性能开销 | 高效的插件调度和缓存机制 |
插件开发最佳实践
基于APISIX插件架构的特点,开发高性能插件需要遵循以下原则:
- 资源管理:在
init()中初始化资源,在destroy()中释放资源 - 配置验证:严格定义配置schema,确保配置安全性
- 错误处理:完善的错误处理和日志记录机制
- 性能优化:避免阻塞操作,使用缓存提高性能
-- 示例:资源安全的插件实现
function _M.init()
-- 初始化共享内存等资源
local dict_name = "plugin_" .. plugin_name
_M.dict = ngx.shared[dict_name]
if not _M.dict then
error("failed to get ngx.shared dict when load plugin " .. plugin_name)
end
end
function _M.destroy()
-- 清理资源,避免内存泄漏
_M.dict = nil
end
APISIX的插件架构与热插拔机制体现了现代API网关的设计理念,通过模块化、动态化和事件驱动的架构设计,为微服务架构提供了强大而灵活的扩展能力。这种设计不仅提高了系统的可维护性和可扩展性,还为持续集成和持续部署提供了良好的基础设施支持。
认证授权插件详解(JWT、Key Auth等)
Apache APISIX 提供了强大的认证授权插件系统,其中 JWT 和 Key Auth 是两个最常用的认证插件。这些插件不仅能够保护 API 的安全,还提供了灵活的配置选项和丰富的功能特性。
Key Auth 插件深度解析
Key Auth 插件是 APISIX 中最基础的认证插件之一,它通过 API 密钥来验证请求的合法性。让我们深入了解其核心实现机制:
插件架构与配置
Key Auth 插件采用模块化设计,主要包含以下核心组件:
local schema = {
type = "object",
properties = {
header = {
type = "string",
default = "apikey",
},
query = {
type = "string",
default = "apikey",
},
hide_credentials = {
type = "boolean",
default = false,
},
anonymous_consumer = schema_def.anonymous_consumer_schema,
},
}
该配置支持从 HTTP 头部或查询参数中获取 API 密钥,并提供了隐藏凭据和匿名消费者等高级功能。
认证流程详解
Key Auth 的认证过程遵循清晰的逻辑流程:
核心认证函数实现
local function find_consumer(ctx, conf)
local from_header = true
local key = core.request.header(ctx, conf.header)
if not key then
local uri_args = core.request.get_uri_args(ctx) or {}
key = uri_args[conf.query]
from_header = false
end
if not key then
return nil, nil, "Missing API key in request"
end
local consumer, consumer_conf, err = consumer_mod.find_consumer(plugin_name, "key", key)
if not consumer then
core.log.warn("failed to find consumer: ", err or "invalid api key")
return nil, nil, "Invalid API key in request"
end
-- 隐藏凭据处理
if conf.hide_credentials then
if from_header then
core.request.set_header(ctx, conf.header, nil)
else
local args = core.request.get_uri_args(ctx)
args[conf.query] = nil
core.request.set_uri_args(ctx, args)
end
end
return consumer, consumer_conf
end
配置示例与实践
以下是一个完整的 Key Auth 配置示例:
# 路由配置
routes:
- uri: /protected/*
plugins:
key-auth:
header: X-API-Key
hide_credentials: true
anonymous_consumer:
username: anonymous_user
upstream:
nodes:
"127.0.0.1:8080": 1
# 消费者配置
consumers:
- username: api_user
plugins:
key-auth:
key: "secure-api-key-12345"
JWT Auth 插件深度解析
JWT Auth 插件提供了基于 JSON Web Token 的认证机制,支持多种加密算法和灵活的令牌验证策略。
JWT 插件架构
JWT Auth 插件支持丰富的配置选项:
local schema = {
type = "object",
properties = {
header = { type = "string", default = "authorization" },
query = { type = "string", default = "jwt" },
cookie = { type = "string", default = "jwt" },
hide_credentials = { type = "boolean", default = false },
key_claim_name = { type = "string", default = "key", minLength = 1 },
store_in_ctx = { type = "boolean", default = false },
anonymous_consumer = schema_def.anonymous_consumer_schema,
},
}
支持的加密算法
JWT Auth 插件支持多种标准的 JWT 加密算法:
| 算法类型 | 算法名称 | 密钥格式 | 适用场景 |
|---|---|---|---|
| 对称加密 | HS256 | 共享密钥 | 内部服务通信 |
| 对称加密 | HS512 | 共享密钥 | 高安全性要求 |
| 非对称加密 | RS256 | RSA 公钥/私钥 | 跨服务认证 |
| 非对称加密 | ES256 | ECDSA 密钥对 | 移动端应用 |
JWT 令牌验证流程
JWT 认证过程涉及多个验证步骤:
核心验证函数
local function find_consumer(conf, ctx)
local jwt_token, err = fetch_jwt_token(conf, ctx)
if not jwt_token then
return nil, nil, "Missing JWT token in request"
end
local jwt_obj = jwt:load_jwt(jwt_token)
if not jwt_obj.valid then
return nil, nil, "JWT token invalid: " .. jwt_obj.reason
end
local key_claim_name = conf.key_claim_name
local user_key = jwt_obj.payload and jwt_obj.payload[key_claim_name]
if not user_key then
return nil, nil, "missing user key in JWT token"
end
local consumer, consumer_conf, err = consumer_mod.find_consumer(plugin_name, "key", user_key)
if not consumer then
return nil, nil, "Invalid user key in JWT token"
end
local auth_secret, err = get_auth_secret(consumer.auth_conf)
if not auth_secret then
return nil, nil, "failed to retrieve secrets"
end
local claim_specs = jwt:get_default_validation_options(jwt_obj)
claim_specs.lifetime_grace_period = consumer.auth_conf.lifetime_grace_period
jwt_obj = jwt:verify_jwt_obj(auth_secret, jwt_obj, claim_specs)
if not jwt_obj.verified then
return nil, nil, "failed to verify jwt: " .. jwt_obj.reason
end
return consumer, consumer_conf
end
JWT 配置最佳实践
# JWT 消费者配置示例
consumers:
- username: jwt_user
plugins:
jwt-auth:
key: "user-identifier"
secret: "your-secret-key"
algorithm: "HS256"
exp: 3600
lifetime_grace_period: 300
# 路由配置
routes:
- uri: /api/*
plugins:
jwt-auth:
key_claim_name: "sub"
hide_credentials: true
cookie: "auth_token"
upstream:
nodes:
"127.0.0.1:8080": 1
高级特性与安全考量
凭据隐藏机制
两个插件都支持 hide_credentials 选项,可以在认证成功后移除请求中的敏感信息:
if conf.hide_credentials then
if from_header then
core.request.set_header(ctx, conf.header, nil)
else
local args = core.request.get_uri_args(ctx)
args[conf.query] = nil
core.request.set_uri_args(ctx, args)
end
end
匿名访问支持
通过 anonymous_consumer 配置,可以允许未经认证的请求访问特定资源:
plugins:
key-auth:
anonymous_consumer:
username: guest
plugins:
limit-count:
count: 100
time_window: 3600
多因素认证集成
JWT 和 Key Auth 可以与其他认证插件组合使用,实现多因素认证:
plugins:
multi-auth:
auths:
- jwt-auth
- key-auth
mode: "all" # 或 "any"
性能优化建议
- 密钥缓存: 对于频繁访问的消费者,实现本地缓存机制
- JWT 验证优化: 使用高效的 JWT 解析库,避免重复解析
- 连接池管理: 优化与认证后端的数据连接
- 异步验证: 对于非关键路径的认证,采用异步处理模式
错误处理与监控
两个插件都提供了详细的错误信息和日志记录:
-- Key Auth 错误处理
if not consumer then
if not conf.anonymous_consumer then
return 401, { message = err}
end
consumer, consumer_conf, err = consumer_mod.get_anonymous_consumer(conf.anonymous_consumer)
if not consumer then
return 401, { message = "Invalid user authorization"}
end
end
通过合理的配置和使用,JWT 和 Key Auth 插件能够为 APISIX 网关提供强大而灵活的认证授权能力,满足各种复杂的业务场景需求。
流量管理插件实战(限流、熔断等)
在现代微服务架构中,流量管理是保障系统稳定性和可靠性的关键技术。APISIX提供了丰富的流量管理插件,包括请求限流、连接数限制、API熔断等功能,帮助开发者构建健壮的API网关系统。
请求限流插件(limit-req)
请求限流插件基于漏桶算法实现,能够控制单位时间内通过的请求数量,防止系统被突发流量冲垮。
核心配置参数
| 参数 | 类型 | 描述 | 默认值 | 必填 |
|---|---|---|---|---|
| rate | number | 请求速率(请求/秒) | 无 | 是 |
| burst | number | 突发请求容量 | 无 | 是 |
| key | string | 限流键,如remote_addr | 无 | 是 |
| rejected_code | integer | 拒绝时的HTTP状态码 | 503 | 否 |
| policy | string | 限流策略(local/redis/redis-cluster) | local | 否 |
配置示例
{
"plugins": {
"limit-req": {
"rate": 10,
"burst": 5,
"key": "remote_addr",
"rejected_code": 429,
"rejected_msg": "请求过于频繁,请稍后再试",
"policy": "local"
}
}
}
工作原理流程图
连接数限制插件(limit-conn)
连接数限制插件用于控制并发连接数,防止单个客户端占用过多服务器资源。
核心配置参数
| 参数 | 类型 | 描述 | 默认值 | 必填 |
|---|---|---|---|---|
| conn | integer | 最大连接数 | 无 | 是 |
| burst | number | 突发连接容量 | 无 | 是 |
| default_conn_delay | number | 默认连接延迟时间 | 无 | 是 |
| key | string | 连接限制键 | 无 | 是 |
配置示例
{
"plugins": {
"limit-conn": {
"conn": 100,
"burst": 20,
"default_conn_delay": 0.5,
"key": "remote_addr",
"rejected_code": 503,
"policy": "local"
}
}
}
API熔断器插件(api-breaker)
API熔断器插件实现了断路器模式,当后端服务出现故障时自动熔断,避免故障扩散。
核心配置参数
| 参数 | 类型 | 描述 | 默认值 | 必填 |
|---|---|---|---|---|
| break_response_code | integer | 熔断时返回的状态码 | 无 | 是 |
| max_breaker_sec | integer | 最大熔断时间(秒) | 300 | 否 |
| unhealthy.failures | integer | 触发熔断的失败次数 | 3 | 否 |
| unhealthy.http_statuses | array | 视为失败的状态码 | [500] | 否 |
| healthy.successes | integer | 恢复正常的成功次数 | 3 | 否 |
| healthy.http_statuses | array | 视为成功的状态码 | [200] | 否 |
配置示例
{
"plugins": {
"api-breaker": {
"break_response_code": 502,
"max_breaker_sec": 60,
"unhealthy": {
"http_statuses": [500, 502, 503],
"failures": 3
},
"healthy": {
"http_statuses": [200, 201],
"successes": 2
},
"break_response_body": "服务暂时不可用,请稍后重试"
}
}
}
熔断器状态转换图
实战场景配置
场景1:电商API限流保护
{
"uri": "/api/products/*",
"plugins": {
"limit-req": {
"rate": 50,
"burst": 20,
"key": "remote_addr",
"rejected_code": 429,
"rejected_msg": "商品接口访问过于频繁"
},
"api-breaker": {
"break_response_code": 503,
"unhealthy": {
"http_statuses": [500, 502, 503],
"failures": 5
},
"healthy": {
"http_statuses": [200],
"successes": 3
}
}
}
}
场景2:用户登录连接限制
{
"uri": "/api/auth/login",
"plugins": {
"limit-conn": {
"conn": 10,
"burst": 5,
"default_conn_delay": 1,
"key": "remote_addr",
"rejected_code": 503
},
"limit-req": {
"rate": 5,
"burst": 2,
"key": "remote_addr",
"rejected_code": 429
}
}
}
高级配置技巧
1. 基于消费者级别的限流
{
"plugins": {
"limit-req": {
"rate": 100,
"burst": 30,
"key": "consumer_name",
"key_type": "var"
}
}
}
2. Redis集群限流策略
{
"plugins": {
"limit-req": {
"rate": 1000,
"burst": 100,
"key": "remote_addr",
"policy": "redis-cluster",
"redis_cluster": {
"nodes": [
"redis-node1:6379",
"redis-node2:6379",
"redis-node3:6379"
]
}
}
}
}
3. 组合键限流
{
"plugins": {
"limit-req": {
"rate": 50,
"burst": 10,
"key": "$remote_addr-$service_id",
"key_type": "var_combination"
}
}
}
监控与调试
APISIX提供了丰富的监控指标,可以通过Prometheus插件收集流量管理相关的metrics:
apisix_http_requests_total:总请求数apisix_http_requests_rejected:被拒绝的请求数apisix_plugin_limit_req_delay_seconds:限流延迟时间apisix_plugin_api_breaker_state:熔断器状态
性能优化建议
- 本地策略优先:对于单节点部署,使用
policy: "local"避免网络开销 - 合理设置突发容量:根据业务特点设置适当的burst值
- 分级限流:对不同重要性的API设置不同的限流阈值
- 监控告警:设置熔断和限流事件的告警机制
- 逐步恢复:熔断器恢复时采用渐进式策略,避免二次冲击
通过合理配置APISIX的流量管理插件,可以构建出既能够承受高并发访问,又具备故障隔离能力的稳健API网关系统。这些插件的高度可配置性使得它们能够适应各种复杂的业务场景需求。
日志与监控插件配置
在现代微服务架构中,完善的日志记录和监控体系是保障系统稳定运行的关键。Apache APISIX 提供了丰富的日志和监控插件,支持多种日志输出方式和监控数据采集方案,能够满足不同场景下的可观测性需求。
核心监控插件:Prometheus
Prometheus 插件是 APISIX 中最核心的监控组件,它提供了丰富的指标数据采集能力。该插件默认暴露 metrics 端点 /apisix/prometheus/metrics,支持多种维度的监控指标。
Prometheus 插件配置
# 路由级别配置
routes:
- uri: /api/*
plugins:
prometheus: {}
upstream:
nodes:
"127.0.0.1:8080": 1
# 全局规则配置(对所有请求生效)
global_rules:
- id: 1
plugins:
prometheus: {}
支持的监控指标
APISIX Prometheus 插件提供了以下核心指标:
| 指标名称 | 类型 | 描述 |
|---|---|---|
http_requests_total | Counter | HTTP 请求总数 |
http_status | Counter | 按状态码统计的请求数 |
http_latency | Histogram | 请求延迟分布 |
bandwidth | Counter | 网络带宽使用情况 |
nginx_http_current_connections | Gauge | 当前连接数 |
etcd_reachable | Gauge | etcd 连接状态 |
指标数据示例
# HELP apisix_http_status The HTTP status codes per service in APISIX
# TYPE apisix_http_status counter
apisix_http_status{code="200",route="1",service="",consumer="",node="127.0.0.1"} 42
apisix_http_status{code="404",route="",service="",consumer="",node=""} 3
# HELP apisix_http_latency HTTP request latency in milliseconds
# TYPE apisix_http_latency histogram
apisix_http_latency_bucket{route="1",le="100"} 12
apisix_http_latency_bucket{route="1",le="500"} 35
apisix_http_latency_bucket{route="1",le="1000"} 42
日志输出插件
APISIX 支持多种日志输出方式,可以根据实际需求选择合适的日志插件。
HTTP Logger 插件
HTTP Logger 插件允许将访问日志以 HTTP POST 请求的方式发送到指定的日志收集服务。
plugins:
http-logger:
uri: http://log-collector:8080/logs
batch_max_size: 1000
timeout: 5
include_req_body: true
include_resp_body: false
concat_method: "json"
auth_header: "Bearer your-token-here"
配置参数说明:
uri: 日志接收端点的 URLbatch_max_size: 批量发送的最大日志条数timeout: 请求超时时间(秒)include_req_body: 是否包含请求体include_resp_body: 是否包含响应体concat_method: 日志拼接方式(json 或 new_line)auth_header: 认证头信息
TCP Logger 插件
TCP Logger 插件通过 TCP 连接发送日志数据,适用于需要可靠传输的场景。
plugins:
tcp-logger:
host: "log-server.example.com"
port: 5140
batch_max_size: 100
timeout: 3
tls: true
tls_options:
verify: true
sni: "log-server.example.com"
Kafka Logger 插件
对于高吞吐量的日志场景,可以使用 Kafka Logger 插件将日志发送到 Kafka 集群。
plugins:
kafka-logger:
broker_list:
- "kafka1:9092"
- "kafka2:9092"
kafka_topic: "apisix-logs"
producer_type: "async"
batch_max_size: 1000
key: "route_1"
高级配置技巧
自定义日志格式
APISIX 支持自定义日志格式,可以根据业务需求灵活配置日志字段。
plugins:
http-logger:
uri: http://log-collector:8080/logs
log_format:
host: "$host"
uri: "$uri"
status: "$status"
request_time: "$request_time"
upstream_addr: "$upstream_addr"
consumer: "$consumer_name"
route_id: "$route_id"
service_id: "$service_id"
条件日志记录
通过表达式控制日志记录的条件,避免不必要的日志输出。
plugins:
http-logger:
uri: http://log-collector:8080/logs
include_req_body_expr:
- - arg_debug
- ==
- "true"
include_resp_body_expr:
- - status
- >=
- 400
多日志输出
可以同时配置多个日志插件,实现日志的多路输出。
plugins:
prometheus: {}
http-logger:
uri: http://monitoring:8080/logs
tcp-logger:
host: "backup-log-server"
port: 5140
监控数据可视化
结合 Grafana 可以创建丰富的监控仪表盘,以下是一个典型的监控面板配置:
性能优化建议
- 批量处理: 合理设置
batch_max_size参数,平衡实时性和性能 - 异步处理: 使用异步模式避免阻塞请求处理
- 缓存策略: 对频繁访问的监控数据实施缓存
- 采样率: 在高流量场景下考虑采样率配置
plugin_attr:
prometheus:
refresh_interval: 0.1
http-logger:
buffer_duration: 60
max_retry_count: 3
retry_delay: 1
通过合理的日志和监控配置,APISIX 能够提供全面的可观测性能力,帮助运维团队快速发现和解决系统问题,保障业务的稳定运行。
总结
APISIX的插件系统通过高度模块化的架构设计和真正的热插拔机制,为现代微服务架构提供了强大的扩展能力和灵活性。认证授权插件确保了API的安全性,流量管理插件保障了系统的稳定性,而完善的日志监控体系则提供了全面的可观测性。这些插件的有机结合使得APISIX能够满足各种复杂的业务场景需求,为零停机更新、动态配置和资源隔离等高级特性提供了坚实的技术基础。通过合理的配置和使用,APISIX插件系统能够帮助企业构建高性能、高可用的API网关解决方案。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
