什麼是Kong
Openrestry是一個基於
Nginx與Lua
的高效能平臺,內部有大量的Lua庫。其中
ngx_lua_moudule
使開發人員能使用Lua指令碼呼叫Nginx模組。Kong是一個Openrestry程式,而Openrestry執行在Nginx上,用Lua擴充套件了nginx。所以可以認為Kong = Openrestry + nginx + lua。Kong有很高的擴充套件性,可以透過其外掛機制實現擴充套件。
原理
客戶端請求到達Kong,Kong識別出是哪個Consumer,根據路由規則將請求轉發給Service對應的上游服務。我們來看看這個過程中涉及到的核心元件
Consumer:代表一個應用,可以為Consumer定義plugin,制定其請求規則。
Route:客戶端與服務匹配的規則,是Kong的入口,一旦匹配Route規則,則將其代理到與其關聯的Service,一個Route對應一個Service,一個Service有多個Route
Service:管理我們的API或者Upstream Server,Service主要屬性是url,埠,協議等
Upstream:位於Kong之後的服務/API,多例項部署實現負載均衡
Plugin:提供高階功能並擴充套件Gateway。例如身份認證,速率限制等。
安裝Kong
大家可以安裝企業版或者開源版,我這次安裝企業版,但只使用其中的開源功能
#拉映象 docker pull kong/kong-gateway:2。6。0。0-alpine#打標籤 docker tag kong/kong-gateway:2。6。0。0-alpine kong-ee#建立網路 docker network create kong-ee-net#執行資料庫容器 docker run -d ——name kong-ee-database ——network=kong-ee-net -p 5432:5432 -e “POSTGRES_USER=kong” -e “POSTGRES_DB=kong” -e “POSTGRES_PASSWORD=kong” postgres:9。6#資料庫遷移docker run ——rm ——network=kong-ee-net -e “KONG_DATABASE=postgres” -e “KONG_PG_HOST=kong-ee-database” -e “KONG_PG_PASSWORD=kong” -e “KONG_PASSWORD={PASSWORD}” kong-ee kong migrations bootstrap#執行Kongdocker run -d ——name kong-ee ——network=kong-ee-net -e “KONG_PROXY_LISTEN=0。0。0。0:8000,0。0。0。0:9080 http2” -e “KONG_DATABASE=postgres” -e “KONG_PG_HOST=kong-ee-database” -e “KONG_PG_PASSWORD=kong” -e “KONG_PROXY_ACCESS_LOG=/dev/stdout” -e “KONG_ADMIN_ACCESS_LOG=/dev/stdout” -e “KONG_PROXY_ERROR_LOG=/dev/stderr” -e “KONG_ADMIN_ERROR_LOG=/dev/stderr” -e “KONG_ADMIN_LISTEN=0。0。0。0:8001” -e “KONG_ADMIN_GUI_URL=http://{HOSTNAME}:8002” -p 8000:8000 -p 8443:8443 -p 8001:8001 -p 8444:8444 -p 8002:8002 -p 8445:8445 -p 8003:8003 -p 8004:8004 -p 9080:9080 kong-ee
安裝視覺化介面Konga
docker pull pantsel/kongadocker run -d -p 1337:1337 ——network kong-ee-net -e “TOKEN_SECRET=kongtoken” -e “DB_ADAPTER=postgres” -e “DB_HOST=kong-ee-database” -e “DB_USER=kong” -e “DB_PASSWORD=kong” ——name konga pantsel/konga
訪問localhost:1337,新建使用者,登入後建立連線:test/http://192。168。43。94:8001,指定kong api的埠8001
Kong代理HTTP服務
我們用的演示專案是https://github。com/cysnet/gateway-aspnetcore-demo,其中包含以下內容
Http服務:Server1與Server2
Grpc服務:GrpcService1與GrpcService2
Grpc客戶端:GrpcClient
IdentityServer4服務:Idstest
日誌服務:LogServer
1。代理Http服務我們用Server1,啟動Server1
2。透過admin api在Kong中建立Service,也可使用視覺化介面Konga建立
POST http://192。168。43。94:8001/services ——data name=server1 ——data url=‘http://192。168。43。94:5000’
3。透過admin api建立路由,也可使用視覺化介面Konga建立
http://192。168。43。94:8001/services/server1/routes ——data ’paths[]=/http1‘——data name=http1
4。測試
Kong代理Grpc服務
1。代理Grpc我們用GrpcService1,啟動GrpcService1
2。透過admin api在Kong中建立Service,也可使用視覺化介面Konga建立
POST 192。168。43。96:8001/services ——data name=gserver1 ——data protocol=grpc ——data host=192。168。43。94 ——data port=6001
3。透過admin api建立路由,也可使用視覺化介面Konga建立
POST 192。168。43。94:8001/services/gserver1/routes ——data protocols[]=grpc ——data name=r-gserver1 ——data paths[]=/greet
4。測試,執行GrpcClient
Kong負載Http服務
1。啟動Server1與Server2
2。透過admin api在Kong中建立upstreams,也可使用視覺化介面Konga建立
POST http://192。168。43。94:8001/upstreams ——data name=u-http1
3。為u-http1建立target,指向server1與server2
POST http://192。168。43。94:8001/upstreams/u-http1/targets ——data target=’192。168。43。94:5000’POST http://192。168。43。94:8001/upstreams/u-http1/targets ——data target=‘192。168。43。94:5001’
4。修改http1 service的指向,讓其指向u-htttp1這個upstream
PATCH http://192。168。43。94:8001/services/server1 ——data host=‘u-http1’
5。測試,呼叫以下api
http://192。168。43。94:8000/http1/Name
Kong負載Grpc服務
1。啟動GrpcService1與GrpcService2
2。透過admin api在Kong中建立upstreams,也可使用視覺化介面Konga建立
POST http://192。168。43。94:8001/upstreams ——data name=u-gserver1
3。為u-gserver1建立target,指向GrpcService1與GrpcService2
POST http://192。168。43。94:8001/upstreams/u-gserver1/targets ——data target=’192。168。43。94:6001’POST http://192。168。43。94:8001/upstreams/u-gserver1/targets ——data target=‘192。168。43。94:6002’
4。修改gserver1 service的指向,讓其指向u-gserver1這個upstream
PATCH http://192。168。43。94:8001/services/gserver1 ——data host=‘u-gserver1’
5。測試,執行GrpcClient
整合IdentityServer4實現JWT認證
1。給server1開啟jwt外掛
POST http://localhost:8001/services/server1/plugins -d “name=jwt ” –d “config。key_claim_name=client_id”
2。建立consumer
POST localhost:8001/consumers -d “username=c-server1”
3。獲取ids4證書公鑰與私鑰
openssl安裝https://slproweb。com/products/Win32OpenSSL。html
openssl pkcs12 -in chester。pfx -nocerts -nodes -out private_pc。key從金鑰對中提取私鑰(頭部格式:——-BEGIN RSA PUBLIC KEY——-)openssl rsa -in private_pc。key -out private。pem從金鑰對提取公鑰(頭部格式:——-BEGIN PUBLIC KEY——-)openssl rsa -in private_pc。key -pubout -out public。key
4。為C-server1建立憑證
POST localhost:8001/consumers/c-server1/jwt -d “algorithm=RS256” -d “key=big_cat” -d “secret=xxxxxx” -d “rsa_public_key=xxxxxxxxx“
5。啟動id4test獲取jwttoken
6。呼叫api驗證token
RateLimit限流外掛
POST http://
多次呼叫觸發則觸發限流
Cache外掛
POST http://localhost:8001/plugins ——data name=proxy-cache ——data config。content_type=”text/plain; charset=utf-8“ ——data config。cache_ttl=30 ——data config。strategy=memory
多次呼叫X-Cache-Status=Hit則命中快取成功
日誌外掛
啟動LogServer
開啟日誌外掛
POST http://localhost:8001/services/server1/plugins ——data ”name=http-log“ ——data ”config。http_endpoint=http://192。168。43。94:5555/Log“ ——data ”config。method=POST“
請求http://192。168。43。94:8000/http1/Name,檢視LogServer輸出