在数字化时代,微服务架构已被广泛采用。不过,你可能不知道,为了确保安全,这些微服务通常会在内网中部署,或者关闭对外访问端口。若要从互联网访问,就需要一个统一的入口,也就是服务网关。各种产品都能实现这一功能,其中的技巧和门道可不少。
微服务安全与网关的需求
将微服务部署在内部网络或限制端口,确实有助于保障应用的安全。以企业内部业务系统为例,无论是过去还是现在,许多企业都将它们安置在公司内部的服务器上,通常位于数据中心。这样的布局减少了外部直接攻击的风险。由于对外没有统一的入口,外部访问变得相当困难。以一家大型电商企业为例,其内部有许多微服务分别负责订单处理、商品管理等不同业务,若没有网关,外部访问这些分散的服务将变得尤为不易。
问题在服务网关部署后得到了解决。这就像为整个微服务体系搭建了一个前台。以某互联网企业为例,其众多运营服务此前各自独立,难以统一管理外部访问,但网关的引入后情况有了明显改善。
org.springframework.cloud
spring-cloud-starter-gateway
org.springframework.boot
spring-boot-starter-webflux
commoncom.lynn.blog
1.e-SNAPSHOT
市面上相关产品的选择
服务网关的实现产品种类丰富。比如Nginx,很多企业在构建网络架构时都会考虑它。它的应用非常广泛,全球众多企业都在使用。不少小公司在建立网站时,就会选用Nginx作为服务器。Apache作为老牌产品,也有众多技术高手在不同场景下使用它。例如,一些科研机构在开发内部服务管理工具时,可能会选择Apache。
server:
port: 8088spring:
application:
name: gatewaycloud:
#Spring Cloud Gateway路由配置方式gateway:
#是否与服务发现组件进行结合,通过serviceId(必须设置成大写)转发到具体的服务实例。默认为false,设为true便开启通过服务中心的自动根据serviceId创建路由的功能discovery:
#路由访问方式:http://Gateway_HOST:Gateway_PORT/大写的serviceId/**,其中微服务应用名默认大写访问
locator:
enabled: true
logging:
#配置网关日志策略level:
org.springframework.cloud.gateway : trace
org.springframework.http.server.reactive: debug
org.springframework.web.reactive: debug
reactor.ipc.netty: debug
feign:
hystrix:
#开启熔断器
enabled: trueZuul和Spring Cloud Gateway等工具也是常见的。Spring Cloud Gateway以其独特的特性而著称,它基于WebFlux框架。许多新兴的互联网创业公司在搭建微服务架构时,若选用这些技术,往往更倾向于选择Spring Cloud Gateway。但需留意其依赖关系,使用它时不能添加Web依赖,否则会导致网关工程无法启动。
Spring Cloud Gateway的配置
spring:
cloud :
config:
name: eurekaclient,gatewaylabel: master
discovery :
enabled: trueserviceId: configusername: admin
password: admin
eureka:
client:
serviceUrl:
defaultzone: http: // admin :admin123@localhost:8101/eureka/在使用Spring Cloud Gateway时,有几个配置细节需要留意。比如,spring.cloud.gateway.discovery.locator.enabled这个配置项默认是关闭的。若将其设置为开启状态,便可以通过serviceId在注册中心获取路由地址。以某公司的微服务架构为例,若业务部门的服务较多,将其设置为开启状态,有助于统一管理路由地址。访问路由时,格式为Gateway_PORT/serviceId/。此外,微服务应用名默认是大写的。
spring:
cloud:
inetutils:
preferred-networks : 127.0.e.1
eureka:
instance:
prefer-ip-address: trueclient:
register-with-eureka: truefetch-registry: true
#开启熔断器
feign:
hystrix:
enabled: true存在一个logging.level配置,它设定了服务网关的日志记录规则。这些日志相当于服务网关的操作记录,详细记录了其所有动作。一旦服务出现故障,通过查阅日志可以迅速找到问题发生的具体时间点和位置。
服务网关与统一HTTP入口
网关承担着提供统一HTTP接入点的关键作用。这对于服务接口的管理极为便利。以一家游戏开发公司为例,其内部包含角色、道具等多种微服务。通过网关实现统一接入,公司对外只需展示一个接口即可。
若没有网关进行拦截,鉴权环节将变得相当复杂。以在线教育平台为例,若每项服务都需独立编写鉴权代码,那么开发人员的工作量将显著上升。从成本考量,企业的研发投入也会随之增加。此外,代码的维护和扩展都会变得相当棘手,因为鉴权逻辑被重复实现。
服务网关的过滤器功能
服务网关配备了多种过滤器,其中GatewayFilter和GlobalFilter尤为常见。GatewayFilter主要针对单个路由请求进行处理,例如在用户注册等特定业务场景中,它会专门负责这一路由请求,执行一些特定操作,比如对注册信息格式进行规范化处理。
@Component
public class ApiGlobalFilter implements GlobalFilter {
@Override
public Monofilter(ServerwebExchange exchange,GatewayFilterChain chain){
String token = exchange.getRequest().getQueryParams().getFirst("token");
if ( StringUtils.isBlank( token)) i
ServerHttpResponse response = exchange.getResponse();3SONObject message = new JSONObject();
message.put( ""status", -1);
message.put( "data","鉴权失败");
byte[] bits = message.toJSONString().getBytes(StandardCharsets.UTF_8);DataBuffer buffer = response.bufferFactory( ).wrap(bits);
response. setStatuscode(HttpStatus. UNAUTHORIZED);
response.getHeaders().add("content-Type", "text/json;charset=UTF-8");return response.writewith(Mono.just(buffer));
}
return chain.filter( exchange);
}
}GlobalFilter,顾名思义,是一种全局过滤器。若需对整个服务体系实施统一规则管控,例如监控所有路由请求的来源,那么GlobalFilter就能派上用场。以电商平台为例,若要统一管理所有API请求的权限验证,GlobalFilter同样适用。它能够筛选出合法的访问请求,有效阻止恶意访问。
服务网关的异常处理
在实际使用中,遇到500错误这类问题会让用户感到不便。因此,服务网关需要妥善处理这类异常情况。具体操作是向客户端发送统一的JSON数据。以资讯类APP为例,若其服务网关未能妥善处理异常,用户在遇到错误时看到的将是杂乱无章、难以理解的信息。而如果处理得当,则会返回格式统一的提示信息,错误发生的时间、操作等信息都会清晰展示。在拥有成千上万微服务的项目中,服务网关统一执行安全机制等操作显得尤为重要。
你是否曾在职场或学术领域亲手搭建过微服务架构中的网关部分?欢迎发表你的看法,参与讨论。若觉得本文对您有所助益,不妨点赞并转发。