- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務經營許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯(lián)網(wǎng)協(xié)會理事單位
- 安全聯(lián)盟認證網(wǎng)站身份V標記
- 域名注冊服務機構許可:滇D3-20230001
- 代理域名注冊服務機構:新網(wǎng)數(shù)碼
一、微服務網(wǎng)關的功能
一個高性能的分布式網(wǎng)關,負責將HTTP請求轉發(fā)到RPC服務、進行接口權限校驗、反作弊攔截等相關功能,如下圖所示。
定長Header包含的內容如上圖所示。
網(wǎng)關很重要的一個作用就是將外部的HTTP請求轉化為內部的RPC請求。
RPC的架構可以看下圖:
http://www.tjdsmy.cn/articles/8502a2cd50c9ade2327ca09ae0897fe1.html
RPC有如下框架:
目前RPC的實現(xiàn)有兩大類。
跟語言平臺綁定的開源 RPC 框架主要有下面幾種。
1.Dubbo:國內最早開源的 RPC 框架,由阿里巴巴公司開發(fā)并于 2011 年末對外開源,僅支持 Java 語言。
2.Motan:微博內部使用的 RPC 框架,于 2016 年對外開源,僅支持 Java 語言。
3.Tars:騰訊內部使用的 RPC 框架,于 2017 年對外開源,僅支持 C++ 語言。
4.Spring Cloud:國外 Pivotal 公司 2014 年對外開源的 RPC 框架,僅支持 Java 語言
而跨語言平臺的開源 RPC 框架主要有以下幾種。
1.gRPC:Google 于 2015 年對外開源的跨語言 RPC 框架,支持多種語言。
2.Thrift:最初是由 Facebook 開發(fā)的內部系統(tǒng)跨語言的 RPC 框架,2007 年貢獻給了 Apache 基金,成為 Apache 開源項目之一,支持多種語言。
3.hprose:一個MIT開源許可的新型輕量級跨語言跨平臺的面向對象的高性能遠程動態(tài)通訊中間件。它支持眾多語言:nodeJs, C++, .NET, Java, Delphi, Objective-C, ActionScript, JavaScript, ASP, PHP, Python, Ruby, Perl, Golang。
二、微服務網(wǎng)關的高性能設計
在介紹了API網(wǎng)關基本功能過后,接下來我們介紹設計出高性能的分布式網(wǎng)關的考慮點。
從增加吞吐量、降低延時的角度,實現(xiàn)網(wǎng)關的無狀態(tài)化是很關鍵的。
接下來,我們先看SpringBoot的WebServer實現(xiàn)網(wǎng)關。
在上圖中,Serverlet好理解,不再贅述。
Filter中包含跨域、反作弊、Session鑒權三大功能。
1.什么是跨域?
跨域指的是跨網(wǎng)絡domain訪問。例如客戶端是1.david.com。與,目標端是10.wei.com。從david.com到wei.com的訪問就叫跨域訪問。
2.什么是反作弊/風控?
客戶端有沒有權限,哪些用戶(uid)是黑名單,哪些ip是黑名單,哪些token是黑名單?
這些沒名單最好加載到網(wǎng)關的本地緩存。因此,在網(wǎng)關層內部,通常設置一個本地緩存,用于存儲hashmap。這樣客戶端請求到來以后,去haspmap去匹配。黑名單中存在則拒絕,不存在則放行。如果緩存不放在本地,會增加相響應延遲。但緩存中的內容需要定期更新。因此需要異步加載的機制。異步加載機制是異步計算出黑名單(通過訪問記錄的spark計算)
接下來,我們查看網(wǎng)關時序圖:
三、跨域的實現(xiàn)
接下來,我們先看一下跨域的代碼實現(xiàn):
1.cross-origin resources sharing CROS:建立豁免清單
2.access-control-allow-credentials 是否允許cookike跨域
3.access-control-allow-origin 對http請求頭設置豁免
4.access-control-allow-method允許提交請求的方法
建立豁免清單:在代碼中,開啟跨域訪問,允許源端為1.david.com的域訪問請求。也就是說從這個源加載腳本或者API,可以訪問目標域。
容許Cookie跨域,做Session檢查
四、Session的無狀態(tài)設計
接下來,我們看session設計。
讀寫請求的上下文對象,我們稱之為session(username+password)。
session和登錄用戶數(shù)有關,有一個用戶登錄就有一個session。如果允許一個用戶多端登錄,那session會更多。因此session不能在網(wǎng)關上單機存儲。需要設置session的分布式。
Session的綁定。這種方法是有狀態(tài)的,不靠譜。
Session全復制,session多了后,這個方案不靠譜!
通過Redis存儲session:
Session存儲在客戶端:
接下來,我們介紹一下Session的生成算法。
Session是遺傳具有一定時效性的加密字符串字符串(通常有效期7天),通常由服務端生成和解析。
Session通常包含的字段有:deviceid、clientType、uid、ts、checksum等。總之要和業(yè)務相關。加密方案通常采用AES,加密和解析都在服務端。
五、網(wǎng)關的反作弊/風控設計
針對惡意流量,從網(wǎng)關層面進行攔截,反正對后端服務造成高并發(fā)壓力。Eileen防止誤傷,對黑名單數(shù)據(jù)定期釋放的能力。通過黑名單,規(guī)避爬蟲、網(wǎng)絡攻擊的問題。
黑名單可以緩存在網(wǎng)關內部的緩存,使用Key-List存儲。
在上面的方案中,如果業(yè)務量特別大時,使用進程內緩存就不靠譜。就需要將黑名單存在外部緩存,但這時候可以增加一個布隆過濾器。(http://www.tjdsmy.cn/post/6844904007790673933)
六、網(wǎng)關的路由邏輯設計
訪問請求通過網(wǎng)關的Filter層以后,就會進入Controller層。這時會先進行請求參數(shù)處理。對請求做一個解析,拿出請求的URI和parm參數(shù)。接下來通過RPC的框架調用ServiceName,然后調用Service的Method。
也就是,首先建立URI和Service的聯(lián)系,然后建立URI和Method的聯(lián)系。而URI就是一個請求包里的CMD。
上圖的核心實現(xiàn):
掃描出URI對ServiceName的映射
RPC通過反射實現(xiàn)遠程調用(通過Invoker)
下面代碼是業(yè)務邏輯層的代碼。
客戶端調用方法如下:
api.wei.com/david/getSettleBillDetaild
網(wǎng)關通過掃描注解獲取映射關系。
下面代碼是網(wǎng)關上的。
路由的本質是通過URI找到method,通過反射進行Service的調用
但是,以上方法很不優(yōu)雅。主要問題在于,當我們業(yè)務邏輯層增加新的模塊時,需要重啟網(wǎng)關。
我們在業(yè)務邏輯層增加Proxy,他負責URI->Class.method的映射。將URI到ServerName的映射放到存儲層,如MySQL中。
通過上圖展示的邏輯,當業(yè)務邏輯層有新的模塊,網(wǎng)關也不需要重啟生效。因為Proxy會自動上報給存儲層,而網(wǎng)關會定期自動掃描存儲層。
我們以客戶端請求如下鏈接為例:10.wei.com/user/get?uid=1
最后,我們看一下proxy的啟動和代理階段:
售前咨詢
售后咨詢
備案咨詢
二維碼
TOP