微服务-网关

   在微服务架构中，每个服务都是一个可以独立开发和运行的组件，而一个完整的微服务架构由一系列独立运行的微服务组成。其中每个服务都只会完成特定领域的功能，比如订单服务提供与订单业务场景有关的功能、商品服务提供商品展示功能等。各个微服务之间通过轻量级通信机制REST API或者RPC完成通信。

   实现微服务之后在某些层面会带来一定的影响，比如，一个用户查看一个商品的详情，对于客户端来说，可能需要调用商品服务、评论服务、库存服务、营销服务等多个服务来完成数据的渲染。如图10-1所示，在这个场景中，客户端虽然能通过调用多个服务实现数据的获取，但是会存在一些问题，比如:

• 客户端需要发起多次请求，增加了网络通信的成本及客户端处理的复杂性。
• 服务的鉴权会分布在每个微服务中处理，客户端对于每个服务的调用都需要重复鉴权。
• 在后端的微服务架构中，可能不同的服务采用的协议不同，比如有HTTP、RPC等。客户端如果需要调用多个服务，需要对不同协议进行适配。

一 API网关的作用

   网关可以用来解决这个问题，如图10-2所示，在客户端与服务端之间增加了一个API网关。整体来看，网关有点类似于门面，所有的外部请求都会先经过网关这一层。
对于商品详情展示的场景来说，增加了API网关之后，在API网关层可以把后端的多个服务进行整合，然后提供唯一的业务接口，客户端只需要调用这个接口即可完成数据的获取及展示。在网关中会再消费后端的多个微服务，进行统一的整合，给客户端返回唯一的响应。

网关不仅只是做一个请求的转发及服务的整合，有了网关这个统一的入口之后，它还能提供以下功能。

• 针对所有请求进行统一鉴权、限流、熔断、日志。
• 协议转化。针对后端多种不同的协议，在网关层统一处理后以HTTP对外提供服务。用过Dubbo框架的读者应该知道，针对Dubbo服务还需要提供一个Web应用来进行协议转化。
• 统一错误码处理。
• 请求转发，并且可以基于网关实现内、外网隔离

下面针对上述网关作用的分析，选择几种常见的方案进行详细说明。

二、网关场景说明

2.1 统一认证鉴权

统一认证鉴权包含如下两部分。

• 客户端身份认证:主要用于判断当前用户是否为合法用户，一般的做法是使用账号和密码进行验证。当然，对于一些复杂的认证场景会采用加密算法来实现，比如公、私钥。
• 访问权限控制:身份认证和访问权限一般是相互联系的，当身份认证通过后，就需要判断该用户是否有权限访问该资源，或者该用户的访问权限是否被限制了。

在单体应用中，客户端身份认证及访问权限的控制比较简单，只需要在服务端通过session保存该用户信息即可。但是在微服务架构下，单体应用被拆分成多个微服务，鉴权的过程就会变得很复杂。

• 首先要解决的问题是，原来单体应用中的session方式已经无法用于微服务场景。
• 其次就是如何实现对每个微服务进行鉴权。

当然，对于第一个问题，目前已经有非常多的成熟解决方案了，比如AccessToken、Oauth(开放API)等。对于第二个问题，我们可以把鉴权的功能抽离出一个统一认证服务，所有的微服务在被访问之前，先访问该认证服务进行鉴权。这种解决方案看似合理，但是在实际应用中，一个业务场景中可能会调用多个微服务，就会造成一次请求需要进行多次鉴权操作，增加了网络通信开销。

如图10-3所示，增加API网关之后，在网关层进行请求拦截，获取请求中附带的用户身份信息，调用统一认证中心对请求进行身份认证，在确认了身份之后再检查是否有资源的访问权限。

2.2 灰度发布

互联网公司的产品有一个特点，就是迭代非常快，很多公司会采用一周发布一个版本的选代模式。在这种高频率的迭代模式下，往往会伴随着一些风险，比如:

• 新发布的代码出现兼容性问题。
• 新的功能发布后，用户是否能够接受，如果不能，会造成用户流失。
• 代码中存在隐藏的Bug，导致线上故障。

为了规避这些问题，对于有较大的功能性改动的版本一般都会采取灰度发布(又名金丝雀发布)的方式来实现平滑过渡。

所谓灰度发布，就是指将要发布的功能先开放给一小部分用户使用，把影响范围控制在一个非常小的范围比如A/B Test就是一种灰度发布方式，即一部分用户继续使用A功能，另外一小部分用户使用新的B功能。通过对使用B功能的用户进行满意度调查，以及对新发布的代码的性能和稳定性指标进行评测，逐步放大该新版本的投放，直到全量或者回滚该版本。

对于应用系统来说，无非就是将新的功能发布在特定的灰度机器上，然后根据设定的规则将部分请求路由到灰度服务器上。

网关是所有客户端请求的入口，因此在网关层可以通过灰度规则进行部分流量的路由，从而实现灰度发布。
如图10-4所示，网关对请求进行拦截之后，会根据分流引擎配置的分流规则进行请求的路由。

三、网关的本质及技术选型

通过前面的分析可以发现，网关的本质应该是对请求进行路由转发，以及对请求进行前置和后置的过滤。

• 请求的转发和路由:接收客户端的所有请求，并将请求转发到后端的微服务中。因为微服务的粒度比较细，所以API网关又类似于门面模式，对多个微服务进行功能整合，提供唯一的业务接口给客户端。
• 过滤:网关会拦截所有的请求来完成一系列的横切工作，比如鉴权、限流。

常见的开源API网关实现方案有很多，比如OpenResty、Zuu、GateWay、Orange、Kong、Tyk等，下面

3.1 openResty

OpenResty实际上是由Nginx与Lua集成的一个高性能Web应用服务器，它的内部集成了大量优秀的Lua库、第三方模块。并且OpenResty团队自己研发了很多优秀的Nginx模块，开发人员可以使用Lua脚本来调用Nginx支持的C模块及Lua模块。
简单来说**，OpenResty本质上就是将Lua嵌入Nginx中，在每一个Nginx的进程中都嵌入了一个LuaJIT虚拟机来执行Lua脚本**。
对于OpenResty来说，它本质上仍然是Nginx服务器，可以实现反向代理和负载均衡。但是OpenResty为什么能够实现网关功能呢?

前面我们提到过，网关的本质是对请求进行路由转发及过滤，这意味着OpenResty在接收到客户端的请求时，同样可以拦截请求进行前置和后置的处理。事实上，OpenResty确实支持这种操作，它可以在不同的阶段来挂载Lua脚本实现不同阶段的自定义行为。如图10-5所示，可以看到init_by_lua、init_worker by_lua、setby_ua等11个指令，OpenResty实现网关功能的核心就是在这11个步骤中挂载Lua脚本来实现功能的扩展。

一个请求进入OpenResty之后，会根据请求所在的不同阶段按照如图10-5所示的流程执行不同的指令，每个指令的作用如下。

• init_by_lua:当Nginx Master进程加载Nginx配置文件时会运行这段Lua脚本。
• init_worker_by_lua:每个Nginx worker进程启动时会执行的Lua脚本，可以用来做健康检查
• ssl_certificate_by_lua:当Nginx开始对下游进行SSL(HTTPS)握手连接时，该指令执行用
  

3.2 Spring Cloud Zuul

Zuul是Netflix开源的微服务网关，它的主要功能是路由转发和过滤。大部分读者接触到Zuul应该是在SpringCloud Netflix生态中，它被整合到Spring Cloud中为微服务架构提供API网关的功能。
如图10-6所示，Zuul的核心由一系列过滤器组成，它定义了4种标准类型的过滤器，这些会对应请求的整个生命周期。

• Pre Filters:前置过滤器,请求被路由之前调用，可以用于处理鉴权、限流等。
• Routing Filters:路由过滤器，将请求路由到后端的微服务。
• Post Filters:后置过滤器，路由过滤器中远程调用结束后执行。可以用于做统计、监控、日志等。
• Error Filters:错误过滤器，任意一个过滤器出现异常或者远程服务调用超时会被调用。

3.3 Spring Cloud Gateway

Spring Cloud Gateway是Spring官方团队研发的API网关技术，它的目的是取代Zuul为微服务提供一种简单高效的API网关。
一般来说，Spring团队不会重复造轮子，为什么又研发出一个Spring Cloud Gateway呢?有以下几方面原因。

• Zuul 1.x采用的是传统的thread per connection方式来处理请求，也就是针对每一个请求，会为这个请求专门分配一个线程来进行处理，直到这个请求完成之后才会释放线程，一旦后台服务器响应较慢，就会使得该线程被阻塞，所以它的性能不是很好。
• Zuul本身存在的一些性能问题不适合于高并发的场景，虽然后来Netfix决定开发高性能版Zuul2.x，但是Zuu 2.x的发布时间一直不确定。虽然Zuul 2.x后来已经发布并且开源了，但是Spring Cloud并没有打算集成进来。
• Spring Cloud Gateway是依赖于Spring Boot 2.0、Spring Webflux和Project Reactor等技术开发的网关，它不仅提供了统一的路由请求的方式，还基于过滤链的方式提供了网关最基本的功能。下面通过一些案例来了解Spring Cloud Gateway。

四、Reactor 技术特点

Reactor 是一个用于JVM的完全非阻塞的响应式编程框架，具备高效的需求管理（即对 “背压（backpressure）”的控制）能力。它与 Java 8 函数式 API 直接集成Reactor 是一个用于JVM的完全非阻塞的响应式编程框架，具备高效的需求管理（即对 “背压（backpressure）”的控制）能力。它与 Java 8 函数式 API 直接集成，比如 CompletableFuture， Stream， 以及 Duration。它提供了异步序列 API Flux（用于[N]个元素）和 Mono（用于 [0|1]个元素），并完全遵循和实现了“响应式扩展规范”（Reactive Extensions Specification）。

Reactor 的 reactor-ipc 组件还支持非阻塞的进程间通信（inter-process communication, IPC）。 Reactor IPC 为 HTTP（包括 Websockets）、TCP 和 UDP 提供了支持背压的网络引擎，从而适合 应用于微服务架构。并且完整支持响应式编解码（reactive encoding and decoding）。

<dependencyManagement> 
    <dependencies>
        <dependency>
            <groupId>io.projectreactor</groupId>
            <artifactId>reactor-bom</artifactId>
            <version>2023.0.0</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

<dependencies>
    <dependency>
        <groupId>io.projectreactor</groupId>
        <artifactId>reactor-core</artifactId> 
        
    </dependency>
    <dependency>
        <groupId>io.projectreactor</groupId>
        <artifactId>reactor-test</artifactId> 
        <scope>test</scope>
    </dependency>
</dependencies>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

4.2、响应式编程

响应式编程是一种关注于数据流（data streams）和变化传递（propagation of change）的异步编程方式。 这意味着它可以用既有的编程语言表达静态（如数组）或动态（如事件源）的数据流。
参考：https://blog.csdn.net/qq_63438013/article/details/136461257