Zuul 網關
Zuul 是 Netfilx 開源的一個 API Gateway 服務器,本質是一個 Web Servlet 應用。其在微服務架構體系中提供動態路由、監控、彈性、安全等邊緣服務。
使用 Zuul 作為網關,其主要原因有以下幾點:
1、Zuul、Ribbon 以及 Consul 客戶端結合使用,能夠輕松實現智能路由、負載均衡功能;
2、在網關層統一對外提供 API 接口,保護了實際提供接口的微服務實現細節,同時也方便測試人員對微服務接口進行測試;
3、在網關層能夠統一添加身份認證、鑒權等功能,防止對微服務 API 接口的非法調用;
4、在網關層可以方便地對訪問請求進行記錄,實現監控相關功能;
5、在網關層實現流量監控,在流量比較大時,方便對服務實施降級。
Zuul 工作原理
Zuul 的核心是一系列的 Filters,其作用可以類比 Servlet 框架的 Filter,或者 AOP。Zuul 中定義了四種標準過濾器類型,分別是 pre、post、routing 以及 error 過濾器。
1、pre 過濾器:在請求路由到具體微服務之前執行,其主要用于身份驗證、鑒權等功能;
2、routing 過濾器:其主要功能是將請求路由到具體的微服務實例;
3、post 過濾器:在對具體微服務調用之后執行,其主要用于收集統計信息、指標以及對請求響應數據進行處理等;
4、error 過濾器:在以上三種過濾器執行出錯時執行。
yang-gateway
pom.xml
<parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.1.0.RELEASE</version><relativePath/> <!-- lookup parent from repository --></parent><properties><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding><project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding><java.version>1.8</java.version><spring-cloud.version>Greenwich.M3</spring-cloud.version></properties><dependencies><!--Actuator--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-actuator</artifactId></dependency><!--Consul--><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-consul-discovery</artifactId></dependency><!--Zuul--><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-netflix-zuul</artifactId></dependency></dependencies><dependencyManagement><dependencies><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-dependencies</artifactId><version>${spring-cloud.version}</version><type>pom</type><scope>import</scope></dependency></dependencies></dependencyManagement> bootstrap.yml
server:port: 1003 spring:application:name: yang-gatewaycloud:consul:host: 127.0.0.1port: 8500discovery:register: truehealthCheckPath: /server/consul/healthhealthCheckInterval: 10sinstance-id: ${spring.application.name} zuul:routes:yang-service:path: /**serviceId: yang-diver
Application.java
@SpringBootApplication @EnableZuulProxy public class GatewayApplication {public static void main(String[] args) {SpringApplication.run(GatewayApplication.class, args);} }
訪問路徑:http://localhost:1003/user/list
此時Gateway訪問到了yang-diver服務的內容了。
路由配置
傳統的路由配置
在不依賴于服務發現機制的情況下,通過在配置文件中具體指定每個路由表達式與服務實例的映射關系來實現API網關對外部請求的路由。
單實例配置
通過一組zuul.routes.<route>.path與zuul.routes.<route>.url參數對的方式配置。
server:port: 1003 spring:application:name: yang-gateway zuul:routes:yang-service:path: /yang-diver/**url: http://localhost:1002/
凡是路徑為:http://localhost:1003/yang-diver/**?的請求,都會轉發請求到http://localhost:1002/**?地址
多實例配置
通過一組zuul.routes.<route>.path與zuul.routes.<route>.serviceId參數對的方式配置
zuul:routes:yang-service:path: /yang-diver/**serviceId: yang-diverribbon:eureka:enabled: false # 沒有配置服務治理(Eureka)就需要關閉,否則會找不到服務yang-service:ribbon:# 為serviceId去指定具體的服務實例地址listOfServers: http://localhost:1001/,http://localhost:1002/
此時,凡是路徑為:http://localhost:1003/yang-diver/**?的請求,都會轉發請求到http://localhost:1001/**?和http://localhost:1002/**?地址
服務路由配置
整合服務治理后,只需要提供一組zuul.routes.<route>.path與zuul.routes.<route>.serviceId參數對的配置即可。
server:port: 1003 spring:application:name: yang-gatewaycloud:consul:host: 127.0.0.1port: 8500discovery:register: truehealthCheckPath: /server/consul/healthhealthCheckInterval: 10sinstance-id: ${spring.application.name} zuul:routes:yang-service:path: /**serviceId: yang-diver
還可以通過zuul.routes.<serviceId>=<path>,直接進行路由轉。,其中<serviceId>用來指定路由的具體服務名,<path>用來配置匹配的請求表達式。
zuul:routes:yang-diver:path: /** # serviceId: yang-diver
實際上,服務注冊中心已經維護了serverId與實例地址的映射關系。當Gateway注冊到服務注冊中心后,就能從注冊中心獲取所有服務以及它們的實例清單。
服務網關之過濾器
Spring Cloud Zuul的過濾器的作用。
以權限控制為例。每個系統并不會將所有的微服務接口都開放出去。為了實現對客戶端請求的安全校驗和權限控制,有以下幾點方案:
1、為每個微服務應用都實現一套用于校驗簽名和鑒別權限的過濾器或攔截器。【權限的實現方式大同小異,開發繁瑣、維護困難,不推薦】
2、實現鑒權服務,直接在微服務應用中通過調用鑒權服務來實現校驗。【分離不徹底】
3、通過前置的網關服務來完成這些非業務性質的校驗,即通過在網關中完成校驗和過濾。【推薦】
AccessFilter
``` /*** 系統訪問 Filter** @Author YangXuyue* @Date 2018/11/28 23:34*/ @Component("accessFilter") public class AccessFilter extends ZuulFilter {private static final Logger LOGGER = LoggerFactory.getLogger(AccessFilter.class);/*** 過濾器的類型,它決定過濾器在請求的哪個生命周期中執行。* 這里定義為pre,代表會在請求被路由之前執行** @return* @Author YangXuyue* @Date 2018/11/28 23:39*/@Overridepublic String filterType() {return "pre";}/*** 過濾器的執行順序。當請求在一個階段中存在多個過濾器時,需要根據該方法返回的值來依次執行** @return* @Author YangXuyue* @Date 2018/11/28 23:39*/@Overridepublic int filterOrder() {return 0;}/*** 判斷該過濾器是否需要被執行** @return* @Author YangXuyue* @Date 2018/11/28 23:39*/@Overridepublic boolean shouldFilter() {return true;}/*** 過濾器的具體邏輯* 實現在請求被路由之前檢查HttpServletRequest中是否有accessToken參數* 若有就進行路由,若沒有就拒絕訪問,返回401 Unauthorized錯誤。** @return* @throws ZuulException* @Author YangXuyue* @Date 2018/11/28 23:37*/@Overridepublic Object run() throws ZuulException {RequestContext ctx = RequestContext.getCurrentContext();HttpServletRequest request = ctx.getRequest();LOGGER.info("send {} request to {}", request.getMethod(), request.getRequestURL().toString());Object accessToken = request.getParameter("accessToken");if (accessToken == null) {LOGGER.warn("access token is empty");ctx.setSendZuulResponse(false);// 未授權ctx.setResponseStatusCode(401);return null;}LOGGER.info("access token ok");return null;} }
此時訪問:http://localhost:1003/user/list出現401未授權的問題
?
如果訪問:http://localhost:1003/user/list?accessToken=true請求就能成功被轉發。
?
)
守護線程的創建和運行)
)
