原创 | 微服务网关 Kong 科普 - 编程

Kong 是由 Mashape 开发的并于2015年开源的一款API 网关，它是基于OpenResty（Nginx + Lua模块）和 Apache Cassandra/PostgreSQL 构建的，能提供易于使用的RESTful API来操作和配置API管理系统。Kong 可以水平扩展多个 Kong Server，通过前置的负载均衡配置把请求均匀地分发到各个Server，来应对大批量的网络请求。

Kong 的扩展是通过插件机制进行的，并且也提供了插件的定制示例方法。插件定义了一个请求从进入到最后反馈到客户端的整个生命周期，所以可以满足大部分的定制需求，本身 Kong 也已经集成了相当多的插件，包括密钥认证、CORS、文件日志、API 请求限流、请求转发、健康检查、熔断等。官网地址：https://konghq.com/，代码托管地址：https://github.com/Kong/kong。

Nginx、Openresty和Kong三者紧密相连：

Nginx = Http Server + Reversed Proxy + Load Balancer
Openresty = Nginx + Lua-nginx-module，Openresty是寄生在 Nginx 上，暴露 Nginx 处理的各个阶段的钩子，使用 Lua 扩展 Nginx
Kong = Openresty + Customized Framework，Kong作为 OpenResty 的一个应用程序

在使用Kong之前，最好新了解一下 OpenResty和Nginx，可以参考微信公众号「朱小厮博客」中的《Nginx架构原理科普》和《OpenResty概要及原理科普》这两篇文章。

Kong 网关具有以下的特性：

可扩展性: 通过简单地添加更多的服务器，可以轻松地进行横向扩展，这意味着您的平台可以在一个较低负载的情况下处理任何请求。
模块化: 可以通过添加新的插件进行扩展，这些插件可以通过RESTful Admin API轻松配置。
在任何基础架构上运行: Kong 网关可以在任何地方都能运行。可以在云或内部网络环境中部署 Kong，包括单个或多个数据中心设置，以及 public，private 或 invite-only APIs。

Kong的整体架构如下所示：

Kong Restful 管理API提供了API、API消费者、插件、upstreams、证书等管理。
Kong 插件拦截请求/响应，相当于 Servlet中的拦截器，实现请求的AOP处理。
数据中心用于存储 Kong 集群节点信息、API、消费者、插件等信息，目前提供了PostgreSQL和Cassandra支持，如果需要高可用建议使用Cassandra。
Kong 集群中的节点通过 Gossip 协议自动发现其他节点，当通过一个 Kong 节点的管理 API 进行一些变更时也会通知其他节点。每个 Kong 节点的配置信息是会缓存的，如插件，那么当在某一个 Kong 节点修改了插件配置时，需要通知其他节点配置的变更。
Kong 核心基于 OpenResty，实现了请求/响应的 Lua 处理化。

Kong 网关的API接口的典型请求工作流程如下图所示：

当 Kong 运行时，每个对 API 的请求将先被 Kong 命中，然后这个请求将会被代理转发到最终的 API 接口。在请求（Requests）和响应（Responses）之间，Kong 将会执行已经事先安装和配置好的任何插件，授权 API 访问操作。Kong 是每个API请求的入口点（Endpoint）。

Install

Kong 可运行在某些 Linux 发行版、Mac OS X 和 Docker 中，无论是本地机还是云端服务器皆可运行。除了免费的开源版本，Mashape 还提供了付费的企业版^{[1]，其中包括技术支持、使用培训服务以及 API 分析插件。}

为了演示方便，下面就以Docker环境中部署Kong为例来做相关讲解，内容参考官网：https://docs.konghq.com/install/docker/。Kong 安装有两种方式，一种是没有数据库依赖的DB-less 模式，另一种是with a Database 模式。我们这里使用第二种带Database的模式，因为这种模式功能更全。

1. 构建 Kong 的容器网络

首先我们创建一个 docker 自定义网络，以允许容器相互发现和通信。在下面的创建命令中 kong-net 是我们创建的Docker网络名称。

 $ docker network create kong-net

2. 搭建数据库环境

Kong 目前使用 Cassandra 或者PostgreSQL，你可以执行以下命令中的一个来选择你的Database。请注意定义网络 --network=kong-net 。

使用Cassandra：

 docker run -d --name kong-database \
               --network=kong-net \
               -p 9042:9042 \
               cassandra:3

使用 PostgreSQL:

 $ docker run -d --name kong-database \
               --network=kong-net \
               -p 5432:5432 \
               -e "POSTGRES_USER=kong" \
               -e "POSTGRES_DB=kong" \
               -e "POSTGRES_PASSWORD=kong" \
               postgres:9.6

3. 初始化或者迁移数据库

我们使用docker run --rm来初始化数据库，该命令执行后会退出容器而保留内部的数据卷（volume）。这个命令我们还是要注意的，一定要跟你声明的网络，数据库类型、host名称一致。同时注意Kong的版本号，注：当前 Kong 最新版本为 2.x，不过目前的kong-dashboard (Kong Admin UI) 尚未支持 2.x 版的Kong，为了方便后面的演示，这里以最新的 1.x 版的Kong作为演示。（截止2020-04-24时，Kong 最新版为1.5.1）

下面指定的数据库是 PostgreSQL，如果连接的是 Cassandra，可以将下面的 KONG_DATABASE 配置为 cassandra。

$ docker run --rm \
     --network=kong-net \
     -e "KONG_DATABASE=postgres" \
     -e "KONG_PG_HOST=kong-database" \
     -e "KONG_PG_PASSWORD=kong" \
     -e "KONG_CASSANDRA_CONTACT_POINTS=kong-database" \
     kong:1.5.1 kong migrations bootstrap

4. 启动 Kong 容器

完成初始化或者迁移数据库后，我们就可以启动一个连接到数据库容器的 Kong 容器，请务必保证你的数据库容器启动状态，同时检查所有的环境参数 -e 是否是你定义的环境。

 $ docker run -d --name kong \
     --network=kong-net \
     -e "KONG_DATABASE=postgres" \
     -e "KONG_PG_HOST=kong-database" \
     -e "KONG_PG_PASSWORD=kong" \
     -e "KONG_CASSANDRA_CONTACT_POINTS=kong-database" \
     -e "KONG_PROXY_ACCESS_LOG=/dev/stdout" \
     -e "KONG_ADMIN_ACCESS_LOG=/dev/stdout" \
     -e "KONG_PROXY_ERROR_LOG=/dev/stderr" \
     -e "KONG_ADMIN_ERROR_LOG=/dev/stderr" \
     -e "KONG_ADMIN_LISTEN=0.0.0.0:8001, 0.0.0.0:8444 ssl" \
     -p 8000:8000 \
     -p 8443:8443 \
     -p 8001:8001 \
     -p 8444:8444 \
     kong:1.5.1

Kong 默认绑定4个端口：

8000：用来接收客户端的 HTTP 请求，并转发到 upstream。
8443：用来接收客户端的 HTTPS 请求，并转发到 upstream。
8001：HTTP 监听的 API 管理接口。
8444：HTTPS 监听的 API 管理接口。

到这里，Kong 已经安装完毕，我们可以使用 docker ps命令查看当前运行容器，正常情况下可以看到 Kong 和 PostgreSQL 的两个容器：

$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                                                                NAMES
a28160da4a9d        kong:latest         "/docker-entrypoint.…"   10 seconds ago      Up 9 seconds        0.0.0.0:8000-8001->8000-8001/tcp, 0.0.0.0:8443-8444->8443-8444/tcp   kong
6c85a2e5491f        postgres:9.6        "docker-entrypoint.s…"   31 minutes ago      Up 31 minutes       0.0.0.0:5432->5432/tcp                                               kong-database

我们可以通过 curl -i http://localhost:8001/ 来查看 Kong 是否运行完好。

Kong UI

Kong 企业版提供了管理UI，开源版本是没有的。但是有很多的开源的管理 UI ，其中比较 Fashion的有Kong Dashboard和 Konga。Kong Dashboard 当前最新版本（3.6.x）并不支持最新版本的 Kong，最后一次更新也要追溯到1年多以前了，选择 Konga 会更好一点。这里简单介绍一下Kong Dashboard和 Konga。

Kong Dashboard

Kong Dashboard的Github地址为：https://github.com/PGBI/kong-dashboard。docker 环境中安装运行如下：

$ docker run --rm  \
--network=kong-net \
-p 8080:8080 \
pgbi/kong-dashboard start \
--kong-url http://kong:8001

启动之后，可以在浏览器中输入 http://localhost:8080来访问 Kong Dashboard 管理界面。

Konga

Konga （官网地址：https://pantsel.github.io/konga/，Github地址：https://github.com/pantsel/konga）可以很好地通过UI观察到现在 Kong 的所有的配置，并且可以对于管理 Kong 节点情况进行查看、监控和预警。Konga 主要是用 AngularJS 写的，运行于nodejs服务端。具有以下特性：

管理所有Kong Admin API对象。
支持从远程源（数据库，文件，API等）导入使用者。
管理多个Kong节点。使用快照备份，还原和迁移Kong节点。
使用运行状况检查监视节点和API状态。
支持电子邮件和闲置通知。
支持多用户。
易于数据库集成（MySQL，PostgresSQL，MongoDB，SQL Server）。

下面使用的 PostgresSQL 是和上面在docker环境中安装 Kong时的是一致的，注意用户名、密码、数据库名称等配置，docker环境安装启动 Konga:

$ docker run  -d -p 1337:1337 \
        --network kong-net \
        --name konga \
        -e "DB_ADAPTER=postgres" \
        -e "DB_URI=postgresql://kong:kong@kong-database/kong" \
        pantsel/konga

如果Konga容器启动成功，可以通过 http://localhost:1337/访问管理界面。通过注册后进入，然后在 CONNECTIONS 中添加 Kong 服务的管理路径http://xxx.xxx.xxx.xxx:8001。Konga管理界面示例如下：

Kong Admin API

部署好 Kong 之后，则需要将我们自己的接口加入到 Kong 的中管理，Kong 提供了比较全面的RESTful API，每个版本会有所不同，详细可以参考官网：https://docs.konghq.com/2.0.x/admin-api/。Kong 管理API的端口是8001（8044），服务、路由、配置都是通过这个端口进行管理，所以部署好之后页面可以直接访问 http://localhost:8001。

这里我们先来了解一下如何使用 RESTful 管理接口来管理 Service (服务)、Route（路由）。

1. 添加一个Service

$ curl -i -X POST http://localhost:8001/services \
--data name=hello-service \
--data url='http://xxx.xxx.xxx.xxx:8081/hello'

这里的 'http://xxx.xxx.xxx.xxx:8081/hello' 是在《网关 Zuul 科普》中提及的一个简单的基础服务接口，调用这个接口会返回 Hello！。

客户端调用 Service 名称 hello-service 访问 'http://xxx.xxx.xxx.xxx:8081/hello'。添加成功后，系统将返回：

{
  "host": "xxx.xxx.xxx.xxx",
  "created_at": 1587959433,
  "connect_timeout": 60000,
  "id": "d96f418a-8158-4b1d-844d-ed994fdbcc2c",
  "protocol": "http",
  "name": "hello-service",
  "read_timeout": 60000,
  "port": 8081,
  "path": "\/hello",
  "updated_at": 1587959433,
  "retries": 5,
  "write_timeout": 60000,
  "tags": null,
  "client_certificate": null
}

2. 为 Service 添加一个 Route

$ curl -i -X POST \
--url http://localhost:8001/services/hello-service/routes \
--data 'paths[]=/hello' \
--data name=hello-route

添加成功后，系统将返回：

{
  "id": "667bafde-7ca4-4fc4-b4f1-15c3cbec0b09",
  "path_handling": "v1",
  "paths": [
    "\/hello"
  ],
  "destinations": null,
  "headers": null,
  "protocols": [
    "http",
    "https"
  ],
  "methods": null,
  "snis": null,
  "service": {
    "id": "d96f418a-8158-4b1d-844d-ed994fdbcc2c"
  },
  "name": hello-route,
  "strip_path": true,
  "preserve_host": false,
  "regex_priority": 0,
  "updated_at": 1587959468,
  "sources": null,
  "hosts": null,
  "https_redirect_status_code": 426,
  "tags": null,
  "created_at": 1587959468
}

3. 验证

我们可以通过访问 http://localhost:8000/hello 来验证一下配置是否正确。

前面的操作就等效于配置 nginx.conf:

server {
  listen 8000;
  location /hello {
    proxy_pass http://xxx.xxx.xxx.xxx8081/hello;
  }
}

不过，前面的配置操作都是动态的，无需像 Nginx一样需要重启。

Service是抽象层面的服务，它可以直接映射到一个物理服务，也可以指向一个Upstream（同Nginx中的Upstream，是对上游服务器的抽象）。Route是路由的抽象，它负责将实际的请求映射到 Service。除了Serivce、Route之外，还有 Tag、Consumer、Plugin、Certificate、SNI、Upstream、Target等，读者可以从官网的介绍文档^{[2]中了解全貌。}

下面在演示一个例子，修改 Service，将其映射到一个 Upstream：

# 添加 name为 hello-upstream 的 Upstream
$ curl -i -X POST http://localhost:8001/upstreams \
--data name=hello-upstream

# 为 mock-upstream 添加 Target，Target 代表了一个物理服务（IP地址/hostname + port的抽象），一个Upstream可以包含多个Targets
$ curl -i -X POST http://localhost:8001/upstreams/hello-upstream/targets \
--data target="xxx.xxx.xxx.xxx:8081"

# 修改  hello-service，为其配置
$ curl -i -X PATCH http://localhost:8001/services/hello-service \
--data url='http://hello-upstream/hello'

上面的配置等同于 Nginx 中的nginx.conf配置 :

upstream hello-upstream{
  server xxx.xxx.xxx.xxx:8081;
}

server {
  listen 8000;
  location /hello {
    proxy_pass http://hello-upstream/hello;
  }
}

当然，这里的配置我们也可以通过管理界面来操作。上面操作完之后，在Konga中也有相关信息展示出来：

Kong Plugins

Kong通过插件Plugins实现日志记录、安全检测、性能监控和负载均衡等功能。下面我将演示一个例子，通过启动 apikey 实现简单网关安全检验。

1. 配置 key-auth 插件

$ curl -i -X POST http://localhost:8001/routes/hello-route/plugins \
--data name=key-auth

这个插件接收config.key_names定义参数，默认参数名称 ['apikey']。在HTTP请求中 header和params参数中包含apikey参数，参数值必须apikey密钥，Kong网关将坚持密钥，验证通过才可以访问后续服务。

此时我们使用 curl -i http://localhost:8000/hello 来验证一下是否生效，如果如下所示，访问失败（HTTP/1.1 401 Unauthorized，"No API key found in request" ），说明 Kong 安全机制生效了。

HTTP/1.1 401 Unauthorized
Date: Mon, 27 Apr 2020 06:44:58 GMT
Content-Type: application/json; charset=utf-8
Connection: keep-alive
WWW-Authenticate: Key realm="kong"
Content-Length: 41
X-Kong-Response-Latency: 2
Server: kong/1.5.1

{"message":"No API key found in request"}

在Konga中我们也可以看到相关记录：

2. 为Service添加服务消费者（Consumer），定义消费者访问 API Key, 让他拥有访问hello-service的权限。

创建消费者 Hidden：

$ curl -i -X POST http://localhost:8001/consumers/ \
--data username=Hidden

创建成功之后，返回：

{
  "custom_id": null,
  "created_at": 1587970751,
  "id": "95546c8f-248c-45c7-bce5-d972d3d9291a",
  "tags": null,
  "username": "Hidden"
}

之后为消费者 Hidden 创建一个 api key，输入如下命令：

$ curl -i -X POST http://localhost:8001/consumers/Hidden/key-auth/ \
--data key=ENTER_KEY_HERE

现在我们再来验证一下http://localhost:8000/hello：

$ curl -i -X GET http://localhost:8000/hello \
--header "apikey:ENTER_KEY_HERE"

HTTP/1.1 200
Content-Type: text/plain;charset=UTF-8
Content-Length: 7
Connection: keep-alive
Date: Mon, 27 Apr 2020 07:08:38 GMT
X-Kong-Upstream-Latency: 116
X-Kong-Proxy-Latency: 71
Via: kong/1.5.1

Hello!

Well done.

Kong 官网（https://docs.konghq.com/hub/）列出了已有的所有插件，如下图所示：

Kong 网关插件概括为如下：

身份认证插件：Kong提供了Basic Authentication、Key authentication、OAuth2.0 authentication、HMAC authentication、JWT、LDAP authentication认证实现。
安全控制插件：ACL（访问控制）、CORS（跨域资源共享）、动态SSL、IP限制、爬虫检测实现。
流量控制插件：请求限流（基于请求计数限流）、上游响应限流（根据upstream响应计数限流）、请求大小限制。限流支持本地、Redis和集群限流模式。
分析监控插件：Galileo（记录请求和响应数据，实现API分析）、Datadog（记录API Metric如请求次数、请求大小、响应状态和延迟，可视化API Metric）、Runscope（记录请求和响应数据，实现API性能测试和监控）。
协议转换插件：请求转换（在转发到upstream之前修改请求）、响应转换（在upstream响应返回给客户端之前修改响应）。
日志应用插件：TCP、UDP、HTTP、File、Syslog、StatsD、Loggly等。

总结

Kong 作为API网关提供了API管理功能及围绕API管理实现了一些默认的插件，另外还具备集群水平扩展能力，从而提升整体吞吐量。Kong 本身是基于 OpenResty，可以在现有 Kong 的基础上进行一些扩展，从而实现更复杂的特性。虽然有一些特性 Kong 默认是缺失的，如API级别的超时、重试、fallback策略、缓存、API聚合、AB测试等，这些功能插件需要企业开发人员通过 Lua 语言进行定制和扩展。综上所述，Kong API 网关默认提供的插件比较丰富，适应针对企业级的API网关定位。

References

https://github.com/Kong/kong
https://www.jianshu.com/p/a2e0bc8f4bfb
https://docs.konghq.com/install/docker
https://www.cnblogs.com/duanxz/p/9770645.html
https://docs.konghq.com/2.0.x/admin-api/
https://docs.konghq.com/hub/

参考资料

[1]

企业版: http://getkong.org/enterprise/

[2]

官网的介绍文档: https://docs.konghq.com/2.0.x/admin-api/

想知道更多？扫描下面的二维码关注我

原创 | 微服务网关 Kong 科普