Istio As An API Gateway Discussion Flow ● What is an API Gateway? ● What is a Service Mesh? ● Common Features ● API Gateway + Service Mesh together! ● Istio as the API Gateway ● Advantages ● ● Challenges ● Where It Isn’t a Good Fit? What is an API Gateway? What is a Service Mesh? Common Features Common Features ● Load Balancing ● Request Routing ● Service Discovery ● JWT Authentication Logging, Monitoring, Tracing API Gateway + Service Mesh together! Limitations of This Approach ● Maintaining Two Tools ● Maintaining Two Expert Pools Istio as the API Gateway Advantages Advantages

Creating API Tests Low Effort API Testing for Microservices | CONFIDENTIAL • What has changed? – Migration to microservices triggering need for extensive API tests • Problem: – Creating API tests • What is our solution? – Leverage Istio sidecar to listen to API traffic data and create tests from the data – 10x speed in creating API tests • Can also be sped up by just navigating the application Significantly reduced time and cost for API testing for microservices architectures with Istio – Fewer failures higher up the test pyramid as a result of improved API tests • Istio benefits – Venky / Prasad

API7
⽹关技术⽩⽪书
（版本：2022-02）
⼀.

整体介绍
⽀流科技
API
⽹关产品（以下简称
API7）是基于
Apache
软件基⾦会顶级项⽬
Apache
APISIX
构建 的，包含了
API
⽹关、ManagerAPI
与
Dashboard
控制⾯板
3
个组件。
API
⽹关作为微服务架构中重要组件，是流量的核⼼出⼊⼝，⽤于统⼀处理和业务相关的请求，可有 效解决海量请求、恶意访问等问题，以保障业务安全性与稳定性。 图
1-1
API7
架构图
上图为
API7
产品中控制平⾯（简称
CP）与数据平⾯（简称
DP）的架构⽰意图，并包含了3个部分：
API
⽹关
1. ⽤于承载并处理业务流量，管理员在配置路由规则后，⽹关将根据预设规则将请求转发⾄上游服务。 此外，借助
API7
内置的
50
多种插件，可实现⾝份验证、安全防护、流量控制、分析监控、请求/响应 转换等常⻅业务需求；若内置插件⽆法满⾜需求，我们也⽀持使⽤
Lua、Java、Go、Python
语⾔⾃ 定义插件，可作⽤于请求进⼊、上游响应各个阶段。 Manager
API
2. ⽤于管理
API
⽹关，通过访问其暴露的
RESTful
API
接⼝以实现对路由、上游、证书、全局插件、消 费者等资源的管理。 控制⾯板 3. 为了简化⽹关管理，管理员可以通过
Dashboard
控制⾯板以可视化形式操作⽹关，⽀持监控分析、⽇

Apache APISIX: How to implement plugin orchestration in API Gateway wenming@apache.org Apache APISIX VP Ming Wen 温铭 • Co-founder @ api7.ai • VP and PMC member, Apache APISIX • committer, Apache Apache APISIX • Custom plugin development in API Gateway • Generate APISIX plugins automatically • The future of API Gateway Apache APISIX • Cloud Native API Gateway （https://github.com/apache/apisix） Zero-Trust gateway Technology Architecture Custom plugin development in API Gateway Difficulties of gateway implementation • API Gateway is not an out-of-the-box infra project, which is different from

从 Apache APISIX 来看 API 网关的演进 温铭 wenming@apache.org 关于我 • Apache APISIX PPMC • 深圳支流科技创始人 • 《OpenResty 从入门到实战》极客时间专栏作者 • 曾在奇虎 360 担任企业安全架构师，开源委员会发起人、委员 • 40 多项安全方面的专利 大纲 • Apache APISIX 是什么？ 是什么？ • Apache APISIX 能解决什么问题？ • API 网关的演进 • 微服务是如何演进到 Service Mesh 的？ • 下一代微服务架构是什么？ Apache APISIX 是什么？ • 云原生微服务 API 网关 • 基于 Nginx 和 etcd 实现 • 集成了控制面和数据面 • 提供灵活的插件机制 • 动态上游、动态路由、插件热加载 孵化器，国内唯一由初创公司贡献的项目 • 11 月全面支持 ARM64 平台，并推出 apisix-ingress-controller • 12 月：即将推出新一代微服务架构方案 NASA 也在使用 API 网关的传统功能 • 让 API 请求更安全、更高效的得到处理 • 覆盖 Nginx 的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL 证书、动态限流限速 • 主动/被动健康检查、服务熔断

蚂蚁金服 API Gateway Mesh 思考与实践 靳文祥（花名：贾岛） 蚂蚁金服 高级技术专家1/21 /01 /02 /03 API Gateway Mesh 的定义 蚂蚁金服 API Gateway Mesh 实践 云原生 API Gateway 的思考2/21 API Gateway Mesh 的定义 /013/21 LB\Ingress API Gateway POD Sidecar App POD Traffic Control Plane K8S Cluster API Gateway in Service Mesh4/21 API Gateway Service Mesh vs 南北流量（内外） API Gateway vs Service Mesh A infrastructure to decouple the application Service Mesh is Patterns SofaRPC API Gateway MQ Client Service Code6/21 LB\Ingress API Gateway Sidecar App POD Sidecar App POD Traffic Control Plane Cluster API Gateway Mesh An infrastructure

APACHE APISIX的全流量API网关 温铭, 来自一家在远程工作方式下商业化开源项目的创业公司(支流科技), 担任CEO&联合创始人, Apache 顶级项目APISIX的PMC主席, Skywalking开源项目的贡献者(commiter)。在创业之前, 在360做企业安全, 360开源委员会的发起人, 腾讯的TVP, TARS基金会的TOC成员, 在安全领域有四十多个专利, 最近三年全 加速了技术落地。新的时代中每个公司的技术都是非常重要的组成部分, 在一个商业竞争激烈的 时代, 公司愈早的占据技术顶峰愈是能够占据商业顶峰。网关作为云原生入口, 是掌握云原生的一个必经 之地, 是开启"财富"的密钥。 微服务和 API 网关的演进 从2014-2015年, 谷歌搜索引擎上"微服务"关键字的搜索趋势直线上 升 在单体架构上, 任一请求都会负载到整个的单体服务集群上 在微服务架构上, 对应请求会负载到对应的微服务子服务集群上 间隔离、降低故障率 但是同样的带来的一些问题: 接口之间通用的功能重复开发、膨胀的 服务数量、难以管理 使用API网关模式 使用API网关进行API聚合 使用API网关实现灰度发布 使用API网关实现服务熔断 与传统API网关的功能 • 让 API 请求更安全、更高效的得到处理 • 覆盖 Nginx 的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL 证书、动态限流限速

macOS Windows PC 镜像加速器 使用镜像 获取镜像 列出镜像 删除本地镜像 利用 commit 理解镜像构成 使用 Dockerfile 定制镜像 Dockerfile 指令详解 COPY 复制文件 ADD 更高级的复制文件 CMD 容器启动命令 ENTRYPOINT 入口点 ENV 设置环境变量 2 1.7.6.6 1.7.6.7 1.7.6.8 1 config 相关内容 增加 LinuxKit 相关内容 更新 CoreOS 章节 更新 etcd 章节，基于 3.x 版本 删除 Docker Compose 中的 links 指令 替换 docker daemon 命令为 dockerd 替换 docker ps 命令为 docker container ls 替换 docker images 命令为 Docker Registry API 的服务端实现，足以支持 docker 命令，不影响使用。但不包含图形界面，以及镜像维护、用户管理、访问控制等高级 功能。在官方的商业化版本 Docker Trusted Registry 中，提供了这些高级功能。 除了官方的 Docker Registry 外，还有第三方软件实现了 Docker Registry API，甚至提供了用 户界面以及一些高级功能。比如，VMWare

12. 安全 i. 内核名字空间 ii. 控制组 iii. 服务端防护 iv. 内核能力机制 v. 其它安全特性 vi. 总结 13. Dockerfile i. 基本结构 ii. 指令 iii. 创建镜像 14. 底层实现 i. 基本架构 ii. 名字空间 iii. 控制组 iv. 联合文件系统 v. 容器格式 vi. 网络 15. Docker Compose docker build 来创建一个新的镜像。为此，首先需要创建一个 Dockerfile，包含一些如何创建镜像的指令。 新建一个目录和一个 Dockerfile $ mkdir sinatra $ cd sinatra $ touch Dockerfile Dockerfile 中每一条指令都创建镜像的一层，例如： # This is a comment FROM ubuntu:14.04 MAINTAINER install ruby ruby-dev RUN gem install sinatra Dockerfile 基本的语法是 使用 # 来注释 FROM 指令告诉 Docker 使用哪个镜像作为基础 接着是维护者的信息 RUN 开头的指令会在创建中运行，比如安装一个软件包，在这里使用 apt-get 来安装了一些软件 编写完成 Dockerfile 后可以使用 docker build

具体是指定资源限值，如 CPU 使用 量、内存使用量，以及构建或 Pod 执行时间。 OpenShift Container Platform 构建系统提供对构建策略的可扩展支持，它们基于构建 API 中指定的可选 择类型。可用的构建策略主要有三种： Docker 构建 Source-to-Image (S2I) 构建 Custom 构建 默认情况下，支持 Docker 构建和 S2I 构建。 2.1. BUILDCONFIG 构建配置描述单个构建定义，以及一组规定何时创建新构建的触发器（trigger）。构建配置通过 BuildConfig 定义，它是一种 REST 对象，可在对 API 服务器的 POST 中使用以创建新实例。 构建配置或 BuildConfig 的特征就是构建策略和一个或多个源。策略决定流程，而源则提供输入。 根据您选择使用 OpenShift Container ssh/id_rsa。 为安全起见，不应在应用程序镜像中公开您的凭证。 示例中描述的是 Java 应用程序，但您可以使用相同的方法将 SSL 证书添加到 /etc/ssl/certs 目录，以及 添加 API 密钥或令牌、许可证文件等。 3.6.1. 添加输入 secret 和配置映射 有时候，构建操作需要凭证或其他配置数据才能访问依赖的资源，但又不希望将这些信息放在源代码控制 中。您可以定义输入 secret