API网关

阿里-于怀

已于 2024-12-11 10:33:15 修改

阅读量1.3k

点赞数 14

文章标签：后端云原生

于 2024-10-30 14:59:46 首次发布

本文链接：https://blog.youkuaiyun.com/xingxuechao/article/details/143365334

版权

API网关的作用介绍-为什么需要有这么个API网关？

API网关作为现代应用程序架构中的关键组件，主要作用在于为内外部服务提供安全、可控的访问通道。

当企业想要将内部服务开放给外部合作伙伴或客户使用时，直接暴露这些服务可能会引发一系列问题，比如安全风险、难以管理等。

通过API网关，可以有效地解决这些问题。首先，在安全性方面，API网关能够实现身份验证和授权机制，确保只有经过认证的请求才能访问后端服务；

其次，它还支持流量控制与监控，帮助运维团队更好地理解应用性能，并在必要时采取限流措施以保护系统稳定。

例如，一家电商平台可能希望向第三方开发者开放其商品查询接口，此时就可以利用API网关来设置访问权限、记录调用日志以及限制每秒请求数量，从而既促进了生态合作又保证了自身系统的安全性与可用性。

API网关的核心功能

API网关作为现代应用程序架构中的关键组件，主要提供了多项核心功能。

协议转换能力：

协议转换是网关的最核心能力。能够将不同格式的数据请求转换为后端服务可识别的格式，比如将HTTP请求转化为gRPC调用，确保了前后端技术栈解耦。

安全隔离：

通过设置访问控制策略，如仅允许特定IP地址访问敏感API，从而保护内部服务免受未授权访问。

流量控制：

该功能则体现在高峰期时自动限制请求速率，例如当每秒请求数超过1000次时触发限流措施，保障系统稳定运行。

API管理：

API管理简单说就是帮你管理所有的可以对外服务和产生收益的API，他涵盖了从创建、发布到监控整个生命周期的支持，使得开发者可以轻松地对公开或私有的API进行版本管理和文档化处理，促进团队协作与服务迭代效率提升。

有哪些主流的API网关

API网关作为现代软件架构中不可或缺的一环，也有非常多的不同实现：

Higress

是阿里巴巴推出的一款面向云原生时代的下一代微服务网关，旨在解决传统API网关在性能、稳定性以及多集群/多云场景下遇到的问题，同时支持Istio服务网格与Kubernetes服务发现，非常适合大型分布式系统使用。

Kong

是一个非常受欢迎的选择，它基于Nginx构建，支持插件化扩展，易于配置且功能强大，适用于微服务、容器或云原生环境下的API管理。

Apache APISIX

是另一个高性能的开源API网关，以其低延迟和高吞吐量著称，支持多种协议包括HTTP、gRPC等，并提供了灵活的安全性和流量控制选项。

Tyk

专注于为开发者提供一个简单易用但又极其强大的API管理和分析平台，通过其模块化的设计允许企业快速自定义功能。

AWS API Gateway

由亚马逊提供，作为一项完全托管的服务，帮助用户轻松创建、发布、维护、监控及保护任意规模的API。

API网关选型的主要考虑要素与说明

在选择API网关时，我建议从如下角度做考虑：

1）生态兼容性

这是一个非常关键的因素。

因为企业往往已经采用了多种技术栈和服务来支持其业务需求，而一个具有良好生态兼容性的API网关能够更容易地与现有系统集成，减少迁移成本，并促进跨平台或服务间的通信效率。它不仅需要支持广泛使用的协议（如HTTP/HTTPS, WebSockets等），还应该能够无缝对接各种流行的开发框架、数据库以及云服务提供商的产品。

2）性能

这对于API网关来说同样至关重要。作为所有内外部请求的入口点，API网关直接影响到整个系统的响应速度和用户体验。高效的路由处理能力、低延迟的数据传输以及高并发的支持都是衡量其性能好坏的重要指标。优秀的API网关能够在保证稳定运行的同时提供快速的服务响应时间，从而确保即使是在流量高峰期间也能保持良好的服务质量。

3）扩展性

这也是评价API网关优劣的一个重要维度。随着业务规模的增长和技术架构的变化，API网关可能需要添加新的功能模块或者调整现有配置以适应新需求。因此，一个好的API网关解决方案应当具备高度灵活且易于扩展的特点，允许开发者通过插件化等方式轻松添加自定义逻辑或第三方服务集成，同时也要支持水平扩容以应对日益增长的数据处理需求。

4）安全性

这是任何API网关不可或缺的一部分。考虑到API通常会暴露给外部网络访问，因此必须采取强有力的安全措施来保护敏感信息不被泄露。这包括但不限于身份验证机制（例如OAuth2.0）、授权控制、数据加密传输等功能。此外，还需要具备强大的日志记录与监控能力，以便于及时发现并响应潜在的安全威胁。综上所述，选择一个安全可靠的API网关对于保障企业的数字资产安全具有极其重要的意义。

API网关选型对比参照表：

依托于上述的考量因素，我们构建了一个比较详细的对比表，供您批判性参考。

注：在笔者发文以后，有可能部分产品会新增功能，如果您发现有类似的问题欢迎留言。

核心维度	子维度	说明	Higress	Java 类网关（典型：Spring Cloud Gateway）	OpenResty 类网关（典型：Kong）	Envoy 类网关（典型：Gloo）	Go 类网关（典型：Traefik）
生态兼容性	K8s 微服务生态（Ingress/Istio/Kruise/Argo/...）	对云原生应用友好	有		有	有	有
生态兼容性	Java 微服务生态（Nacos/Dubbo/Spring Cloud/...）	对传统微服务应用友好	有	有
扩展性	Wasm 多语言扩展（C++/Rust/GO/JS/...）	通过沙箱隔离确保内存安全支持多种编程语言有编译过程，类型检查，相比 Lua 弱类型更可靠（例子：7行代码让B站崩溃3小时）	有 40+ 插件生态 100+ 开发者生态插件版本可以独立于网关版本升级，且流量完全无损			有
扩展性	Lua 语言扩展	脚本型扩展，适合写简单逻辑	有		有	有
高性能	无 GC 开销	高并发下，低 CPU，低内存	有		有 lua 扩展有 GC 开销	有
高性能	CryptoMB/QAT 等适配	可以适配Intel等特定CPU实现软硬件结合的加速能力	有			有
配置热更新（含插件变更）	短连接无损	适用： HTTP 1.0 HTTP 1.1（将长连接变为短连接）	有		有	有
配置热更新（含插件变更）	长连接无损	适用： HTTP 2 gRPC WebSocket	有			有
AI 业务亲和性	多 LLM Provider 支持	统一协议对接所有 LLM 厂商	有		有 kong 支持一部分	有收费功能
	模型 fallback 能力	当主用模型不可用时，自动降级到备用模型，提高依赖 AI 业务的稳定性	有
	AIGC 安全防护	数据脱敏输入/输出封禁	有支持对接阿里云内容安全服务
	基于单词Token的限流	用于实现对单个调用方或IP等维度，限制每分钟/每天允许的单词 Token 开销，用于精确控制 AI 业务成本	有		有收费功能
	语义化缓存	基于语义相似度进行结果缓存，在 RAG 场景下可大幅提升响应速度，以及降低成本	有		有收费功能	有收费功能
	语义化路由策略	支持基于 LLM 识别请求意图，将特定请求转发给特定模型，或者对特定意图开启语义化缓存等	有		有收费功能，仅支持语义化路由

Higress 介绍：来自阿里的开源 API网关

Higress，源自阿里巴巴的开源API网关，展现了卓越的生态兼容性、性能、扩展性和安全性。在生态兼容性方面，它遵循开源Ingress/Gateway API标准，并且支持包括Nacos和K8s Service在内的多种注册中心，使得开发者可以灵活地选择适合其架构的服务发现机制。例如，在与Nacos集成时，无论是否指定了命名空间或服务分组信息，都可以通过配置相应的McpBridge对象实现服务发现与路由。

此外，Higress针对超大规模路由场景进行了优化，即使面对10000个路由这样的挑战，也能在3秒内完成更新生效，同时相比于Ingress Nginx，显著降低了资源消耗——CPU成本节省高达50%，内存成本更是减少了90%。这表明Higress不仅能够处理复杂的企业级应用场景，还非常注重效率和成本效益。

对于需要高度自定义功能的应用而言，Higress提供了动态配置热更新的能力以及基于Java编程模型的扩展接口，允许用户根据实际需求轻松添加新的特性和逻辑。安全特性方面，Higress全面覆盖了key-auth、hmac-auth及jwt-auth等主流鉴权方式，确保了应用的安全运行环境。

综上所述，作为阿里集团多年实战经验结晶而推出的完全开源免费项目，Higress无疑是一个值得考虑的强大网关解决方案。

Higress具体使用样例-基于docker的单机版快速部署

Higress基于Docker的单机版快速部署与HelloWorld应用

Higress 是一个现代化的云原生网关，旨在提供高性能、高可用和易于管理的服务。以下是如何通过 Docker 完成 Higress 的单机版快速部署，并通过一个简单的 HelloWorld 应用进行演示。

前提条件

已安装 Docker 并且可以正常使用。

了解基本的 Docker 操作命令。

步骤一：准备环境

确保你的机器上已安装 Docker。可以通过运行以下命令来检查：

docker --version

如果未安装，请访问 Docker 官方网站下载并安装适合您操作系统的版本。

步骤二：拉取 Higress 镜像

打开终端或命令行工具，执行以下命令以从 Docker Hub 拉取最新的 Higress 镜像：

docker pull higress/higress:latest

这将下载 Higress 的最新镜像到本地。

步骤三：启动 Higress 容器

使用以下命令来启动 Higress 容器。这里我们使用了几个常用的选项来配置容器的行为：

-p 80:80 和 -p 443:443 将宿主机上的端口映射到容器内对应端口，以便可以通过浏览器直接访问。

--name higress 给容器命名。

-d 表示以后台模式运行容器。

--network host 允许容器使用主机网络，这对于某些情况下可能更方便地访问外部资源（可选）。

docker run -d --name higress -p 80:80 -p 443:443 higress/higress:latest

步骤四：验证 Higress 是否成功运行

等待一段时间后，您可以使用 docker ps 查看当前正在运行的所有容器，确认 Higress 是否已经正常启动。另外，尝试通过浏览器访问 http://<your-machine-ip>:9000/higress 来验证是否能够看到 Higress 控制台页面。（注意替换 <your-machine-ip> 为您的实际IP地址）

步骤五：创建并部署 HelloWorld 应用

创建一个新的目录用于存放我们的测试项目文件。

在该目录下创建一个名为 hello.py 的 Python 文件，内容如下：

from flask import Flask
app = Flask(__name__)

@app.route('/')
def hello_world():
    return 'Hello, World!'

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

同样在这个目录中，创建一个 Dockerfile 文件，用来构建包含上述应用程序的 Docker 镜像：

# 使用官方 Python 运行时作为父镜像
FROM python:3.8-slim

# 设置工作目录
WORKDIR /app

# 复制当前目录下的所有文件到容器内的 /app 目录
COPY . /app

# 安装所需的依赖
RUN pip install --no-cache-dir -r requirements.txt

# 使端口 5000 可供外部访问
EXPOSE 5000

# 运行 Flask 应用程序
CMD ["python", "hello.py"]

构建并运行这个简单的 Web 应用程序：

docker build -t my-hello-world .
docker run -d --name my-hello-world -p 5000:5000 my-hello-world

步骤六：配置 Higress 访问新应用

登录到 Higress 管理界面，添加新的路由规则指向刚刚创建的应用服务 my-hello-world。通常需要指定目标服务的 IP 地址和端口号等信息。完成设置后，应该可以通过定义好的路径访问到“Hello, World!”消息了。