云原生安全实战:API网关Envoy的鉴权与限流详解

最新推荐文章于 2025-10-11 06:52:43 发布
原创 最新推荐文章于 2025-10-11 06:52:43 发布 · 1.1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云原生 #网络安全 #安全 #系统安全 #微服务

 

🔥「炎码工坊」技术弹药已装填!
点击关注 → 解锁工业级干货【工具实测|项目避坑|源码燃烧指南】

 

一、基础概念

1. API网关

作为微服务架构的统一入口,负责路由转发、安全控制、流量管理等核心功能。 

2. Envoy

由Lyft开源的高性能云原生代理,支持动态配置、可扩展性,常用于服务网格(如Istio)或边缘网关场景。 

3. 鉴权(Authentication & Authorization)

  • 认证:验证请求身份(如Token、API Key)。 
  •  授权:确认身份是否有权限访问目标资源(如RBAC角色控制)。

4. 限流(Rate Limiting)

通过限制单位时间内的请求量,防止系统过载或恶意攻击(如DDoS)。 

二、技术实现

1. Envoy鉴权实现

Envoy通过External Authorization插件调用外部服务进行鉴权: 

http_filters:  
  - name: envoy.ext_authz  
    typed_config:  
      "@type": type.googleapis.com/envoy.extensions.filters.http.ext_authz.v3.ExtAuthz  
      grpc_service:  
        envoy_grpc:  
          cluster_name: extauth_service  # 外部鉴权服务地址  

流程: 

  1.  客户端请求到达Envoy → 
  2. Envoy将请求头、路径等信息发送给鉴权服务 → 
  3. 鉴权服务返回
最低0.47元/天 解锁文章
云原生网关】Higress 从部署到使用详解
congge
10-20 7831
Higress 从部署到使用详解
Higress 入门:初探阿里云原生 AI 网关
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
05-15 1249
Higress 是一款由阿里巴巴推出的云原生 API 网关,其内核基于 Istio 和 Envoy传统 API 网关不同,它深度聚焦于 AI 场景,支持国内外众多主流模型供应商,如 OpenAI、百度文心一言等,还兼容基于 vllm/ollama 等自建的 DeepSeek 模型,能够满足不同类型企业对 AI 能力集成管理的需求。Higress 作为一款功能强大的云原生 API 网关,在 AI 时代展现出独特的优势。
Envoy Proxy的多面性:边缘网关、服务网格和混合网桥
weixin_34162695的博客
01-07 713
在美国西雅图召开的首届EnvoyCon大会上,来自Pinterest、Yelp和Groupon的工程师们展示了他们目前的Envoy Proxy用例。最重要的信息是,Envoy Proxy似乎离实现他们的愿景越来越近了:为现代网络提供“通用[代理]数据层API”,其中包括边缘网关、服务网格和混合网桥。正文:在美国西雅图召开的首届EnvoyCon大会上,来自Pinterest、Yelp和Groupon...
Envoy基础快速入门-Day 02
qq_42515722的博客
09-07 3620
本章主要讲envoy的基本理论和基本用法。
十、高并发模型服务网关:基于Envoy的智能路由、流量控制(限流/熔断)毫秒级响应优化
最新发布
没事学AI的博客
10-11 1025
摘要:大模型服务网关需应对高并发、精细化路由、弹性流量控制等挑战。基于Envoy的分层架构(接入层-业务层-数据层)实现智能路由(按业务属性、请求复杂度、健康状态动态转发)、流量控制(多维度限流熔断)和性能优化(GPU/CPU资源隔离)。该方案显著提升服务稳定性,错误率降至0.5%,延迟波动减少80%,支持模型版本平滑迭代,使资源利用率提升30%以上。
envoy 介绍
热门推荐
包泽旭
12-02 1万+
Envoy 一. 什么是Envoy envoy 是作为微服务服务架构中以独立进程方式实现高级网络功能的,轻量级的7层服务代理程序,通常以sidecar的方式运行在应用程序的周边,也可以作为网络的边缘代理来运行 envoy 的特性 进程外体系结构 ,L3/L4过滤器体系结构,HTTP L7过滤器体系结构, 一流的HTTP/2支持, HTTP/3支持(目前为alpha),HTTP L7路由,gR...
Envoy 作为 Kubernetes 的 API 网关
weixin_34160277的博客
06-19 726
2019独角兽企业重金招聘Python工程师标准>>> ...
envoy api 网关_在边缘,作为网关或在网格中构建控制平面以管理Envoy代理的指南...
最佳 Java 编程
07-05 1002
envoy api 网关 最近, Envoy已成为流行的网络组件。 马特·克莱因( Matt Klein )在几年前写了一个博客,内容涉及Envoy的动态配置API,以及它如何成为Envoy的采用曲线向右移的部分原因。 他称该博客为“通用数据平面API”。 由于有许多其他项目采用Envoy作为其产品的核心组件,因此可以说“ Envoy已成为应用程序/ L7网络解决方案的云原生体系结构中的通用数...
云原生内容分享(八):云原生网关调研
之乎者也·的博客
01-29 1293
Istio是不是可以替换掉Ingress-controller?开题还是从一个问题入手吧,相信在容器化、Mesh化过程中,我们想替换掉的不仅仅是ingress-controller吧,例如各种ServiceProxy、Api Gateway等,因为云原生架构下有更好的扩展支持,但是请大家先不要急着说答案。下面我们先来看下Tyk博客上的一篇文章节选。标题:“ServiceProxy,ServiceMesh,API gateway 我们怎么选?服务代理、服务网格还是API网关
微服务架构设计实战:从API网关到服务通信代码详解 (适合初学者)
IT深耕十余载,大道之简
07-08 1279
微服务架构实战指南:拆解巨石应用,构建弹性系统 本文深入剖析微服务架构的核心价值关键技术。面对单体架构的扩展困境,微服务通过拆分独立自治的小型服务,实现敏捷开发、技术异构和弹性伸缩。文章重点解析分布式系统的四大基石:服务发现、配置管理、容错机制和链路追踪,并详细讲解API网关作为统一门户的关键功能(路由转发、认证授限流熔断等)。同时对比主流网关方案(Spring Cloud Gateway/Kong/Envoy),为技术选型提供指导。通过系统化的分布式概念解读和实战场景分析,帮助开发者掌握构建现代化可
Go语言的EnvoyAPI网关
AI天才研究院
01-21 1263
1.背景介绍 1. 背景介绍 Go语言的EnvoyAPI网关是一种高性能、可扩展的网络代理和API管理解决方案。Envoy是一个由LinkedIn开发的开源项目,旨在提供一种可插拔的、高性能的网络代理层,用于支持服务到服务的通信。API网关则是一种用于管理、安全化和路由API请求的解决方案。 在微服务架构中,服务之间需要通过网络进行通信。这种通信需要处理的问题包括负载均衡、故障转移、安全性...
Istio使用Envoy配置网关
ycloud
05-06 1296
使用Envoy代理来配置网关,以实现对服务流量的管理和控制。而为了能在对外提供服务的同时,不向客户端暴露整个服务网格
使用Envoy构建.NET架构的网关代理GRPC
library_git106的博客
09-16 232
通过使用Envoy作为.NET架构的网关代理,我们可以实现灵活、高性能的GRPC服务代理。本文介绍了如何使用Envoy配置和启动代理,并提供了一个简单的.NET GRPC客户端示例代码。在上面的配置文件中,我们定义了一个名为grpc_listener的监听器,它会监听本地的50051端口。然后,我们定义了一个名为grpc_cluster的集群,它将转发请求到指定的GRPC服务器地址和端口。在此示例中,我们将使用C#和Grpc.Net.Client库来实现一个简单的GRPC客户端。如有任何问题,请随时提问。
网易基于 Envoy云原生网关实践
jinggege_795的博客
10-20 565
简介:Envoy 是由 Lyft 开源的高性能网络代理软件。相比于 Nginx、HAProxy 等经典代理软件,Envoy 具备丰富的可观察性和灵活的可扩展性,并且引入了基于 xDS API 的动态配置方案。目前,Envoy 被广泛应用于新兴微服务网关服务网格之中作为核心数据面。而本次分享将从网易数帆实践出发,介绍网易数帆是如何基于开源 Envoy 构建高性能、易扩展、可观察的云原生微服务网关函谷(Hango)的。 函谷开源地址: github.com/hango-io/hango-gateway ..
latex如何使节标题居左_为使节构建控制平面的指南第3部分-特定于域的配置API...
最佳 Java 编程
07-06 546
latex如何使节标题居左 这是探索为Envoy Proxy构建控制平面的系列文章的第3部分。 在本博客系列中,我们将研究以下领域: 采用一种机制来动态更新Envoy的路由,服务发现和其他配置 确定哪些组件构成了控制平面,包括后备存储,服务发现API安全组件等。 等 建立最适合您的用例和组织的任何特定于域的配置对象和API (此条目) 考虑如何最好地使控制平面可在需要的...
Envoy实现.NET架构的网关(一)静态配置文件动态配置
dotNET跨平台
10-30 1970
什么是Gateway在微服务体系结构中,如果每个微服务通常都会公开一组精细终结点,这种情况可能会有以下问题如果没有 API 网关模式,客户端应用将内部微服务相耦合。在客户端应用中,单个页...
Envoy实现.NET架构的网关(四)集成IdentityServer4实现OAuth2认证
dotNET跨平台
11-02 613
.NET网关Gateway实战-Envoykong课程什么是OAuth2认证简单说,OAuth 就是一种授机制。数据的所有者告诉系统,同意授第三方应用进入系统,获取这些数据。系统从...
基于envoy的分布式网关-contour
yevvzi的博客
05-28 1807
contour Contour是开源的Kubernetes入口控制器, 为Envoy边缘和服务代理提供控制平面. Contour支持动态配置更新和多团队入口委托,同时保持轻量级配置文件。 特点 内置envoy Contour是基于Envoy,高性能L7代理和负载均衡器的控制平面 灵活的架构 轮廓可以部署为Kubernetes部署或守护程序集 TLS证书授 管理员可以安全地委派通配符证书访问 架构原理 Envoy,提供高性能的反向代理。 Contour,充当Envoy的管理服务器并为其提供配置
集成 Envoy Gateway 作为 Istio 服务网格中的入口网关
ServiceMesher
08-14 1177
本文介绍了如何将 Envoy Gateway 作为 Istio 服务网格中的入口网关集成,增强应用的安全性和可访问性。阅读原文请转到:https://jimmysong.io/blog/envoy-gateway-integration-istio-mesh/Istio提供了对入口网关的强大而灵活的支持,利用 Envoy 代理在其 sidecar 模式下运行。尽管 Istio 专注于管理集群内服...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值