⼝以实现对路由、上游、证书、全局插件、消 费者等资源的管理。 控制⾯板 3. 为了简化⽹关管理，管理员可以通过
Dashboard
控制⾯板以可视化形式操作⽹关，⽀持监控分析、⽇ 志审计、多租⼾管理、多集群切换、多⼯作分区等能⼒。 1.1
技术架构
数据平⾯ 1. 数据平⾯⽤于接收并处理调⽤⽅请求，使⽤
Lua
与
Nginx
动态控制请求流量。当请求进⼊时，将根据 预设路由规则 务器中，QPS
约为
140K，延迟约 为
0.2
ms；
全动态能⼒ 6. 修改⽹关配置、增加或修改插件等，⽆需重启⽹关服务即可实时⽣效；⽀持动态加载
SSL
证书；
扩展能⼒强 7. 借助灵活的插件机制，可针对内部业务完成功能定制；⽀持⾃定义负载均衡算法与路由算法，不受限 于
API
⽹关实现；通过运⾏时动态执⾏⽤⼾⾃定义函数⽅式来实现
Serverless，使⽹关边缘节点更加 ⽤⼾系统：借助⽤⼾系统，管理员将对系统内各个⽤⼾进⾏权限资源划分，⽤⼾不可越权访问资 源。⽀持账⼾密码登陆与
SSO
登陆；
• 权限系统：内置基于⻆⾊的权限管理系统（RBAC），管理员可借助控制台创建不同⻆⾊，通过将 ⽤⼾与⻆⾊绑定，可实现针对某类⽤⼾细粒度的权限管控； • 多租⼾（多⼯作分区）：⽀持基于⼯作分区隔离的多租⼾模型，管理员可创建不同的⼯作分区，并 指定哪些⽤⼾对⼯作分区有哪些资源的访问权限； •

安全防护 服务网格的痛点  方案众多，各有缺陷  与基础设施整合成本高  性能损耗  资源的额外消耗  扩展难度高 理想的服务网格应该是什么样？ 易于扩展 理想的服务网格 业务无感知 落地成本低 动态且增量配置 安全管控 可观测 流量精细化管理 跨集群部署 性能损耗低 资源消耗低 按需下发配置 理想的服务网格 整体使用体验上 • 学习和上手成本低 • 社区开放、活跃度高 社区开放、活跃度高 且快速响应 理想的服务网格 控制面 • 易于上手 • 权限安全管控 • 配置方式被大众接受 理想的服务网格 数据面 • 支持多种协议，甚至是自定义协议 • 性能损耗低 • 资源占用在可控范围 • 启动速度快 • 方便定位问题 • 扩展能力强 APISIX 在 Service Mesh 上的尝试 控制面的抉择 控制面 - 拥抱 Istio  Istio 是当前最为流行的服务网格方案 几乎所有主流云厂商都对 istio 有支持  基于 istio 做商业支持的公司也很多，比如 tetrate， solo APISIX作为Istio数据面  使用动态库的方式加载到APISIX 与APISIX生命周期一致 转换 xDS 协议  资源消耗可控  APISIX原生支持 增加了xds discovery  配合CRD进行扩展 Apache APISIX  高性能云原生网关 

API7
是建⽴在
Apache
APISIX
的基础上，由深圳⽀流科技有限公司维护。Apache
APISIX是⼀个动 态、实时、⾼性能的
API
⽹关。APISIX
提供丰富的流量管理功能，如负载平衡、动态上游、灰度发 布、熔断、认证、可观测等。你可以使⽤
Apache
APISIX
来处理传统的南北流量，以及服务之间的东 西向流量。它也可以作为⼀个
k8s
ingress
controller。
务、路由和消费者信息，包括前⾯负载均衡器的
IP
地址或fully
qualified
domain
name（FQDN）。
Kong
有⼀个插件⽣态系统（Kong
Hub），⽀持开源和企业版的插件，如
LDAP
认证、CORS、动态
SSL、AWS
Lambda、Syslog等。因为它是基于
NGINX
的，所以
Kong
允许⽤⼾使⽤LuaJIT
创建⾃⼰ 的插件。 3
-
GigaOm
API负载测试设置
API
压⼒测试
验证，并使⽤
JWT
凭据对每个请求 进⾏⾝份验证。我们使⽤10,000
rps的压测条件进⾏测试。
在第四个测试中，我们⽣成了1000个相同的路由，并以10,000
rps
在所有路由上平均分配请求。
测试结果记录在报告的第四节。 测试环境
单节点
名称
数量
EC2
攻击节点
1
c4.4xlarge
API⽹关数据平⾯
1
c4.2xlarge
API⽹关控制平⾯
+
存储:

a b o u t 关于 OpenResty 和 Lua 的思考 一个菜鸟的视角 02 关于 OpenResty 和 Lua 的思考 Lua 适合 “ 平均水平 ” 的大团队做大工程吗 •动态类型语言 •网关产品对 runtime error 容忍度比较低 •Lua 开发环境，特别是 OpenResty 相关的比较弱 •难招人，后端开发转 lua 成本高昂 “A programming 构建为 shared object 供 lua 直接使用 • 支持 rust 高级语义 基于 Apache APISIX 破局 基于 Apache APISIX 破局 在 Luajit 上引入动态 lib 的性能考虑 • C/Rust to Lua的context switch • 参数和结果的类型转换 • jit下无需担心 ASLR / PLT，但也是indirect call 基于 Apache APISIX 破局 基于 Apache APISIX 破局 IPC比较 解决 Nginx 带来的问题 When Not To • 类型转换开销： • 不要在 rust 中做分配大段内存再同步回 lua 的操作 • 不要在 rust 中通过指针回调 lua • 做好性能测试 解决 Nginx 带来的问题 为什么不考虑... ... • C/C++？ 没有 rust

的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL 证书、动态限流限速 • 主动/被动健康检查、服务熔断 不同的云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> gRPC） • 身份认证：OpenID Relying Party、OP（Auth0、okta…） • 高性能、无状态、随意扩容和缩容 • 动态配置，不用 reload 6.7 亿美元收购 NGINX Apache APISIX 简介 关于 Apache APISIX • 天然的云原生 API 网关 • 中国最快毕业的 Apache 顶级项目 • 全动态：路由、SSL 证书、上游、插件… • 40 多个插件，覆盖：身份认证、安全、日志、可观测性… Apache APISIX 设计思路 • API 网关的数据面和控制面分离 • 通过插件机制来方便二次开发和运维 的长度有关，和路由数量无关；kong 的路由时间复杂 度是 O(n)，随着路由数量线性增长。 • Apache APISIX 的 IP 匹配时间复杂度是 O(1)，不会随着大量 IP 判断而导致 cpu 资源跑满；kong 的最 新版本也换用了 Apache APISIX 的 IP 匹配库； • Apache APISIX 的路由匹配，接受 nginx 的所有变量作为条件，并且支持自定义函数；其他网关都是

下一代微服务架构是什么？ Apache APISIX 是什么？ • 云原生微服务 API 网关 • 基于 Nginx 和 etcd 实现 • 集成了控制面和数据面 • 提供灵活的插件机制 • 动态上游、动态路由、插件热加载 快速的成长 • 6 月 6 号开源 • 7 月被纳入 CNCF 全景图 • 8 月首家付费央企 • 9 月贝壳找房上生成环境，每日处理近 3 亿流量 • 10 月：即将推出新一代微服务架构方案 NASA 也在使用 API 网关的传统功能 • 让 API 请求更安全、更高效的得到处理 • 覆盖 Nginx 的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL 证书、动态限流限速 • 主动/被动健康检查、服务熔断 云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> • Spring CLoud • Dubbo 痛点：语言绑定、升级难 3. 微服务从 proxy 到 sidecar • 技术变革：云原生 • proxy 的痛点：路由、上游、证书等不能动态 4. 从 sidecar 到 Service Mesh • 痛点：不通用、抽象层次不够 • Service Mesh 想做为基础设施下沉 • Istio + Envoy：控制面和数据面

下一代微服务架构是什么？ Apache APISIX 是什么？ • 云原生微服务 API 网关 • 基于 Nginx 和 etcd 实现 • 集成了控制面和数据面 • 提供灵活的插件机制 • 动态上游、动态路由、插件热加载 快速的成长 • 6 月 6 号开源 • 7 月被纳入 CNCF 全景图 • 8 月首家付费央企 • 9 月贝壳找房上生成环境，每日处理近 3 亿流量 • 10 月：即将推出新一代微服务架构方案 NASA 也在使用 API 网关的传统功能 • 让 API 请求更安全、更高效的得到处理 • 覆盖 Nginx 的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL 证书、动态限流限速 • 主动/被动健康检查、服务熔断 云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> • Spring CLoud • Dubbo 痛点：语言绑定、升级难 3. 微服务从 proxy 到 sidecar • 技术变革：云原生 • proxy 的痛点：路由、上游、证书等不能动态 4. 从 sidecar 到 Service Mesh • 痛点：不通用、抽象层次不够 • Service Mesh 想做为基础设施下沉 • Istio + Envoy：控制面和数据面

社 区 M e e t u p 第 四 期 · ⼴ 州 站 后端架构演变史 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 后端架构演变 -- 7 层处理 • 动态、性能、功能，不可兼得 • 控制⾯能⼒弱 • 技术栈不统⼀ • ⽆标准化⾼可⽤⽅案 • ⼆次开发成本 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 Nginx 和 Kong ⾼性能 • 动态 • 社区活跃 • 云原⽣架构 • 多语⾔ • 插件编排 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 APISIX 定位 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 LB / API Gateway (1) • 基于 Nginx，⽀持 Nginx -> APISIX 灰度迁移 • 全动态，⽆需 reload 全世界最活跃的 API ⽹关项⽬ • 全动态⾼性能，云原⽣架构 • 多语⾔：Java、Golang、JS 等 • ⽀持插件编排的 API ⽹关 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 Kubunetes Ingress • 项⽬地址：https://github.com/apache/apisix-ingress-controller • 全动态，⽆需 reload • ⽀持原⽣

6 8⽉月 10 ⽉月 7⽉月 9⽉月 今天 Apache APISIX 第⼀一⾏行行代码 4⽉月 Apache APISIX ⾃自豪 • 核⼼心代码量量，3892 ⾏行行 • 极致的动态转发性能 • 平均请求延迟： 740 us • 插件热加载/卸载 • 允许插件挂载任何阶段 • 路路由⾃自身也是插件 Apache APISIX ⾃自豪 • ⽀支持 ARM64 配置中⼼心 • 语⾔言或开发平台 • 数据校验 • 加分项：顶级路路由实现 Apache APISIX 技术选型 • 配置中⼼心：⾼高可⽤用、增量量订阅、历史记录 • 语⾔言或开发平台：动态、⾼高性能、⽹网关的周边资 源丰富 • 数据校验：开放标准、有⼀一定的⽣生态系统 • 学习竞对：从 Ganter 报告中获取前辈列列表，做分 析、⽐比较 Apache APISIX 技术选型 Apache APISIX 技术选型 开发平台：Lua 或 Golang •OpenResty >= 1.15.8 •Tengine >= 2.3.2 •基于 Nginx •调⽤用动态库：C/C++，Golang 等 Apache APISIX 技术选型 数据校验：jsonschema • 数据校验规范：Google 排名第⼀一 • 有多个不不同语⾔言客户端，涵盖了了⼏几乎⽬目前主流的

1、认证鉴权功能从业务代码剥离 APISIX helm模板 APISIX 插件模板 APISIX upstream&API 应用模板 应用发布 安信PaaS平台如何管理APISIX 版本、节点数、资源、配置文件 链路、监控、日志、认证、流控 APISIX 告警模板 对接内部告警平台 初始化 upstream 和 API service1 service2 service3 service1/* worker_processes ingress做网关入口可能产生的问题 1、独立集群 or 共享集群 2、插件场景匹配 3、云原生环境下的问题 下一步 04 共享集群、API市场、请求数据分析... 资源共享、工作分区隔离 中台系统的公共接口，比如日志平台、监控平台、告警平台等的对外接口 接口权限统一管理、流量控制 调用量、异常响应、延迟 Top N... 1、共享集群建设 2、API 市场