江苏龙网

  1. 主页 > 生活百科 > >

API网关的背景、架构以及落地方案( 二 )

API


Filter 以及 Filter的PRPE模型,是典型的「前正后反模型」的实现,为集成的标准化做好了框架层面的铺垫 。
Netflix其实并没有对API GW进行深入的功能实现(或者说面相业务友好的相关功能),整体上它只提供了一个技术框架、和一些标准的filter实例实现,相信了解过filter chain原理的分布式中间件工程师也能搭出这样的框架 。这么做的原因,我认为很大原因是API GW所扮演的角色是一个业务平台,而非技术平台,将行业特征很强的业务部分开源,对于受众意义也不是特别大 。另外,除了Netflix Zuul,在商业产品上还有apigee公司所提供的方案,在轻量级开源实现上还有基于Nginx的kong,kong其实提供了19个插件式的功能实现,涵盖的面主要在于安全、监控等领域,但缺少对报文转换的能力(为什么缺 也很显而易见——避免产生业务场景的耦合,更通用) 。
另外,还有基于TCP协议的GW,比如携程无线应用的后端实现有HTTP和TCP两种,有兴趣的读者也可以深入关注 。
· · ·
InfoQ:在API网关的设计上,需要包含哪些要素?
王延炯:从三个方面说吧,API网关本身以及API网关客户端,还有配套的自助服务平台 。具体如下:
API GW本身
• NIO接入,异步接出
• 流控与屏蔽
• 秘钥交换
• 客户端认证与报文加解密
• 业务路由框架
• 报文转换
• HTTP DNS/ Direct IP
API GW 客户端 SDK / Library
• 基本通信
• 秘钥交换与Cache
• 身份认证与报文加解密
配套的在线自助服务平台
• 代码生成
• 文档生成
• 沙盒调测
· · ·
InfoQ:在API网关的落地上,你有可行的方案吗?在API网关的落地上,难点是什么?
王延炯:在我所服务过的阿里系、非电商互联网公司里,内部的分布式服务调用采用的是Dubbo,但移动应用是IOS和Android,基本上没有PC Web端的客户端,在这种条件下,API GW所承担的一个重要角色就是报文转换,并且是跨语言、跨运行平台的报文转换 。报文就是数据,在跨平台、跨语言的条件下,对于数据的描述——元数据——也就是类定义,对于API GW的系统性挑战是巨大的:传输时,报文内不能传输类定义,跨语言的类定义转换、生成与加载 。
API GW的落地技术基本贯通没有太大的难度,但形成最佳的实践,有一些外围的前置条件,比如:
后端API粒度
能和原子业务能力找到映射最好,一定要避免「万能接口」的出现 。
业务路由的实现和含报文转换的API不停机发布
尽可能的在报文头里面存放业务路由所需要的信息,避免对报文体进行解析 。
API GW上线后,面临的很大问题都是后端服务如何自助发布到外部,同时不能重启网关服务,以保障业务的连续 。在此过程中,如果涉及到报文格式的转换,那对API网关实现的技术要求比较高 。如果让网关完成报文转换,第一种方案,网关需要知道报文的具体格式(也就是报文的元数据,或者是类定义),这部分要支持热更新 。第二种方案,需要客户端在报文内另外附加元数据,网关通过运行期加载元数据对报文进行解析在进行报文的转换,这种方案性能不会很好 。第三种方案,就是在运行期首次报文转换的时候,根据元数据生成报文转换代码并加载,这种方案对技术实现要求比较高,对网关外围平台支撑力度要求也不低 。
客户端的秘钥管理
很多人都会把安全问题简单的用加密算法来解决,这是一个严重的误区,很多时候都存在对秘钥进行系统性管理的短板 。打个比方,加密算法就好比家里的保险箱,而秘钥是保险箱的钥匙,而缺乏秘钥管理的安全方案,就好比把钥匙放在自家的客厅茶几上 。更何况,安全方案里加解密也只是其中的一部分 。
· · ·
InfoQ:你认为一个设计良好的API网关应该做到什么?
王延炯:目前业界关注的API GW,主要是在前三类,下文对于API网关的设计上,侧重于「面向接入」的API GW 。
在API网关的设计上,仅仅有类似Zuul这样的「面向接入」的运行期框架是远远不够的,因为一个完整的、「面向接入」的API GW需要包含以下功能:
面向运行期
• 对客户端实现身份认证
• 通信会话的秘钥协商,报文的加密与解密
• 日常流控与应急屏蔽
• 内部响应报文的场景化裁剪
• 支持「前正后反模型」的集成框架


推荐阅读


上一篇:白琳工夫红茶的历史以及重回舞台

下一篇:工夫茶的饮用禁忌 白琳工夫茶有什么副作用