[云框架]KONG API Gateway v1.0

2017-05-23 本文已影响9325人好雨Rainbond

[云框架]KONG API Gateway v1.0

kong业务架构.png

<a name="框架说明-组件"></a>框架说明-组件

本例使用KONG本身实现ROUTING，并添加了OAuth 2.0（AUTHENTICATION实现）、IP Restriction（SECURITY实现）、Rate Limiting（TRAFFIC CONTROL实现）、File（LOGGING实现)等4个插件。（查看更多官方插件）

以下管理配置通过命令行实现。KONG也可以通过UI管理界面进行管理和配置，方法请参考KONG DASHBOARD。

<a name="组件架构"></a>组件架构如下图所示：

kong组件架构.png

newinfo端口仅通过KONG实现与user端口的路由，其他插件未使用
- KONG代理方式包括：1）应用通过携带HOST头部路由到对应的API应用；2）通过不同的uri路由到API应用
- 以上两种方式均为基于Openresty动态增加upstream以及对upstream的DNS resolver来实现
- 客户端将先请求KONG服务器，并被代理到最终的API应用，而插件在API响应循环的生命周期中被执行
user端口信息敏感，限制访问用户；newinfo端口信息不敏感，无需限制访问用户（AUTHENTICATION实现）
user端口控制访问地址，仅规定IP可访问；newinfo端口无此限制（SECURITY实现）
user端口控制访问频率，newinfo端口可无限制访问（TRAFFIC CONTROL实现）
user端口可获取每次访问日志（LOGGING实现）

<a name="KONG基本使用"></a>KONG基本使用

<a name="注册API"></a>注册API

使用Kong代理API，首先需要把API注册到Kong，并通过返回数据查看注册是否成功，如：

curl -i -X POST \
      --url http://127.0.0.1:8001/apis/ \
      --data 'name=personapi' \
      --data 'hosts=personapi' \
      --data 'upstream_url=https://本机IP:8080/api/persons'          # 本机IP通过ifconfig查看

<a name="添加用户"></a>添加用户

API可能没有用户概念，会出现随意调用的情况。为此Kong提供了一种consumer对象（全局共用），如某API启用了key-auth，没有身份的访问者将无法调用该API，

命令如下：

创建一个consumer

curl -X POST \
    --data "username=oauthadmin" \
    --data "custom_id=personapi"
   http://127.0.0.1:8001/consumers/ \

在key-auth插件中为此consumer生成key

curl -X POST \
   http://127.0.0.1:8001/consumers/personapi/key-auth \

此时即可使用key来通过权限验证访问API了，需要注意的是：

若另一API也开通了key-auth插件，那么这个consumer也是可以通过key-auth验证访问这个API的，想要控制这种情况，需借助Kong的ACL插件
对于Kong来讲，认证与权限是两个不同的概念

<a name="API添加插件"></a>API添加插件

目前，Kong默认提供了31种插件，插件独立作用于每一个API，不同的API可以使用完全不同的插件。

这是一种非常科学的设计，因为在实际情况中很可能会出现有的API完全开放，不需要任何认证，有的API会涉及敏感数据，权限控制需要非常严格；有的API完全不在乎调用频次或者日志，有的API则严格限制调用频次或者日志等类似情况。

命令如下：

添加插件：

curl -i -X POST \
  --url http://127.0.0.1:8001/apis/personapi/plugins/ \
  --data 'name=key-auth'

访问验证：

curl -H 'Host: personapi' -H 'TT: 78182b121a074fe6961555d802e40b3b' http://127.0.0.1:8000

curl -H 'Host: personapi' http://127.0.0.1:8000/

<a name="ROUTING"></a>ROUTING实现

user端口和newinfo端口之间实现路由，需先将服务注册到Kong，外部访问将统一走api gateway代理。

命令如下：

注册user api

    curl -i -X POST \
          --url http://127.0.0.1:8001/apis/ \
          --data 'name=personapi' \
          --data 'hosts=personapi' \
          --data 'upstream_url=https://本机IP:8080/api/persons'

注册newinfo api

    curl -i -X POST \
          --url http://127.0.0.1:8001/apis/ \
         --data 'name=newinfoapi' \
         --data 'hosts=newinfoapi' \
         --data 'upstream_url=https://本机IP:8080/api/newinfos'

注册成功后即可通过Kong代理访问

用户信息（user端口）

命令：

curl -H 'Host: personapi' http://127.0.0.1:8000

[
    {"pid":1,"name":"lucien","age":30},
    {"pid":2,"name":"Joe","age":28},
    {"pid":3,"name":"smith","age":32},
    {"pid":4,"name":"Tod","age":56},
    {"pid":5,"name":"linken","age":34},
    {"pid":6,"name":"truple","age":23},
    {"pid":7,"name":"tdt","age":20}
]

新闻信息（newinfo端口）

命令：

curl -H 'Host: newinfoapi' http://127.0.0.1:8000

[
    {"nid":1,"title":"一路一代代","content":"what happending...."},
    {"nid":2,"title":"雪中悍刀行","content":"人生三不朽,立功立德立言"}
]

此时，可以将用户信息、新闻通知对外访问控制限制为只有Kong可以访问，外部请求全部通过Kong进行代理。

<a name="AUTHENTICATION"></a>AUTHENTICATION实现

通过OAuth 2.0 Authentication插件实现user端口的用户访问限制，

注册Oauth2插件，详情参见配置说明。

curl -X POST \
    --data 'name=oauth2' \
    --data 'enable_password_grant=true' \
    --data 'provision_key=qwe1238amsdh23' \
    --data 'config.scopes=read,write' \
    http://127.0.0.1:8001/apis/personapi/plugins

添加Consumer及Consumer对应的credentials

curl -X POST \
    --data "username=oauthadmin" \
    --data "custom_id=personapi"
    http://127.0.0.1:8001/consumers/ \

curl -X POST \
    --data "name=oauthadmin" \
    --data "redirect_uri=https://本机IP:8080/api/persons"
    http://127.0.0.1:8001/consumers/personapi/oauth2

申请accesstoken并访问

curl -k -H 'Host: personapi' \
    --data "client_id=5bee1b6679e5463599d7ce64b14c2795" \
    --data "client_secret=54f2a058f30f46e8b5ccc8d6788eb081" \
    --data "provision_key=qwe1238amsdh23" \
    --data "authenticated_userid=b48bf407-c2b7-41a9-8e0f-43eead2fc60f" 
    --data "grant_type=password" 
    https://127.0.0.1:8443/oauth2/token

{
    "refresh_token":"e87d871957eb4717bb0002054ae8c9a3",
    "token_type":"bearer",
    "access_token":"bad2a7ee579e4389880ae29b3610c639",
    "expires_in":7200
}

访问

使用token访问user api

命令：

curl -H 'Host: personapi' \
    -H 'Authorization: bearer bad2a7ee579e4389880ae29b3610c639' \
    http://127.0.0.1:8000

[
    {"pid":1,"name":"lucien","age":30},
    {"pid":2,"name":"Joe","age":28},
    {"pid":3,"name":"smith","age":32},
    {"pid":4,"name":"Tod","age":56},
    {"pid":5,"name":"linken","age":34},
    {"pid":6,"name":"truple","age":23},
    {"pid":7,"name":"tdt","age":20}
]

不使用token访问user api

命令：

curl -H 'Host: personapi' http://127.0.0.1:8000

{
    "error_description":"The access token is missing",
    "error":"invalid_request"
}

newinfo端口由于数据不敏感，无需特殊配置。

<a name="SECURITY"></a>SECURITY实现

通过添加IP Restriction插件，实现对user端口的访问限制，即仅规定IP可访问。

为user端口添加IP Restriction插件扩展，并设置白名单（只有名单内的IP可以访问API）

curl -X POST \
     --data 'name=ip-restriction' \
     --data 'config.whitelist=172.17.0.1' \
     http://127.0.0.1:8001/apis/personapi/plugins

访问效果：

白名单内IP访问：

命令：

curl -H 'Host: personapi' http://127.0.0.1:8000

[
    {"pid":1,"name":"lucien","age":30},
    {"pid":2,"name":"Joe","age":28},
    {"pid":3,"name":"smith","age":32},
    {"pid":4,"name":"Tod","age":56},
    {"pid":5,"name":"linken","age":34},
    {"pid":6,"name":"truple","age":23},
    {"pid":7,"name":"tdt","age":20}
]

其他IP访问：

命令：

curl -H 'Host: personapi' http://172.17.0.1:8000

{
    "message":"Your IP address is not allowed"
}

newinfo端口无需配置此插件。

<a name="TRAFFICCONTROL"></a>TRAFFIC CONTROL实现

user端口通过Rate Limiting插件控制用户访问频率，避免无限制访问。

为user端口添加Rate Limiting插件扩展（此处设置1分钟内只能访问1次）

curl -X POST \
     --data 'name=rate-limiting' \
     --data 'config.minute=1' \
     http://127.0.0.1:8001/apis/personapi/plugins

访问效果：

正常访问展示:

命令：

curl -H 'Host: personapi' http://127.0.0.1:8000

[
    {"pid":1,"name":"lucien","age":30},
    {"pid":2,"name":"Joe","age":28},
    {"pid":3,"name":"smith","age":32},
    {"pid":4,"name":"Tod","age":56},
    {"pid":5,"name":"linken","age":34},
    {"pid":6,"name":"truple","age":23},
    {"pid":7,"name":"tdt","age":20}
]

超出次数的访问展示:

命令：

curl -H 'Host: personapi' http://127.0.0.1:8000

{
    "message":"API rate limit exceeded"
}

newinfo端口无需配置此插件。

<a name="LOGGING"></a>LOGGING实现

user端口通过File-log插件实现对于每次访问日志的获取，需要注意为日志文件写权限，日志格式参考Log Format。

为user端口添加File-log插件，并设置为日志文件路径设为:/tmp/file.log

curl -X POST \
     --data 'name=file-log' \
     --data 'config.path=/tmp/file.log' \
     http://127.0.0.1:8001/apis/personapi/plugins

添加日志插件后，每次访问都会被记录

newinfo端口无需配置此插件。

<a name="KONG插件开发"></a>KONG插件开发

git clone Kong到本地

git clone git@github.com:Mashape/kong.git

创建自定义插件目录

cd ${KONG_DIR}
cd kong
mkdir custom_plugins

新增插件

cd ${KONG_DIR}
cd kong
mkdir custom_plugins
cd custom_plugins
mkdir xxx

编辑插件的schema.lua、handler.lua, 根据实际情况完成插件逻辑（lua教程）
修改${KONG_DIR}/templates/kong_defaults.lua，配置custom_plugins=xxx
执行luaracks make安装插件到本地进行测试
制作kong镜像，并快速部署

KONG插件开发示例：log2zmq

KONG插件开发示例：accesslimiting

<a name="#生产环境"></a>生产环境

TODO

<a name="#常见问题"></a>常见问题

TODO

<a name="#更新计划"></a>更新计划

组件 增加SERVERLESS实现
组件 增加ANALYTICS&MONITORING实现
组件 增加TRANSFORMATIONS实现

<a name="#社群贡献"></a>社群贡献

QQ群: 117317266
参与贡献
联系我们

云框架系列主题，遵循APACHE LICENSE 2.0协议发布。

[云框架]KONG API Gateway v1.0

[云框架]KONG API Gateway v1.0

<a name="框架说明-组件"></a>框架说明-组件

<a name="KONG基本使用"></a>KONG基本使用

<a name="注册API"></a>注册API

<a name="添加用户"></a>添加用户

<a name="API添加插件"></a>API添加插件

<a name="ROUTING"></a>ROUTING实现

<a name="AUTHENTICATION"></a>AUTHENTICATION实现

<a name="SECURITY"></a>SECURITY实现

<a name="TRAFFICCONTROL"></a>TRAFFIC CONTROL实现

<a name="LOGGING"></a>LOGGING实现

<a name="KONG插件开发"></a>KONG插件开发

<a name="#生产环境"></a>生产环境

<a name="#常见问题"></a>常见问题

<a name="#更新计划"></a>更新计划

<a name="#社群贡献"></a>社群贡献

猜你喜欢

热点阅读