路由、上游、证书、全局插件、消 费者等资源的管理。 控制⾯板 3. 为了简化⽹关管理，管理员可以通过
Dashboard
控制⾯板以可视化形式操作⽹关，⽀持监控分析、⽇ 志审计、多租⼾管理、多集群切换、多⼯作分区等能⼒。 1.1
技术架构
数据平⾯ 1. 数据平⾯⽤于接收并处理调⽤⽅请求，使⽤
Lua
与
Nginx
动态控制请求流量。当请求进⼊时，将根据 预设路由规则进⾏匹配， 预设路由规则进⾏匹配，匹配到的请求将被⽹关转发⾄对应上游服务。在此过程中，⽹关有能⼒根据 预设规则中不同插件的配置，使⽤⼀系列插件对请求从进⼊到离开的各个阶段进⾏操作。例如：请求 可能会经过⾝份认证（避免重放攻击、参数篡改等）、请求审计（请求来源信息、上游处理时⻓ 等）、路由处理（根据预设规则获取最终上游服务地址）、请求转发（⽹关将请求转发⾄上游⽬标节 点）、请求响应（上游处理完成后，⽹关将结果返回给调⽤⽅）等⼏个步骤。 创建不同⻆⾊，通过将 ⽤⼾与⻆⾊绑定，可实现针对某类⽤⼾细粒度的权限管控； • 多租⼾（多⼯作分区）：⽀持基于⼯作分区隔离的多租⼾模型，管理员可创建不同的⼯作分区，并 指定哪些⽤⼾对⼯作分区有哪些资源的访问权限； • 多环境：⽀持多
ETCD
集群，集群之间数据不共享；
• ⾝份验证：包含多种认证类插件，如
basic-auth、jwt-auth、key-auth、wolf-rbac
等。此外，借

主动/被动健康检查、服务熔断 不同的云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> gRPC） • 身份认证：OpenID Relying Party、OP（Auth0、okta…） • 高性能、无状态、随意扩容和缩容 • 动态配置，不用 reload 服务 • 支持多云、混合云 • 容器优先，Kubernetes 顶级项目 • 全动态：路由、SSL 证书、上游、插件… • 40 多个插件，覆盖：身份认证、安全、日志、可观测性… Apache APISIX 设计思路 • API 网关的数据面和控制面分离 • 通过插件机制来方便二次开发和运维 • 高可用，没有单点故障 • 安全和稳定第一：基于 Nginx 实现；mTLS 认证；敏感信息加密加盐(salt)保存 • 高性能：单核心 QPS 1.5 万，延迟低于 etcd Nginx + postgres ⾼高可⽤用 ⾮非常可靠，没有单点 ⼀一般，有数据库 的单点 精细化路路由 ⽀支持 Nginx 变量量和⾃自 定义函数 固定的⼏几个条件 配置⽣生效时间 事件驱动，⼩小于 1 毫秒 轮询拉取，5 秒 处理理延迟 0.2 毫秒 2 毫秒 性能（单核，开启两个限流和 prometheus插件） 18000 1700 支持流量量复制和故障 是 否 注⼊ 是 否 支持SkyWalking

理标准的机会。此外，也扩⼤了数据交换 范围，从移动技术和智能设备到物联⽹，因为企业可以在任何设备上共享数据。 由于
API
的激增，公司需要管理内外部所依赖的众多服务。API在协议、⽅法、授权/认证和使⽤⽅⾯ 差异很⼤。此外，IT部⻔需要对
API
进⾏精细化控制，限制速率、调⽤次数，制定策略和⽤⼾⾝份识 别来确保⾼可⽤性，防⽌滥⽤和安全漏洞。公开
API
为许多合作伙伴打开了⼤⻔，他们可以在不了解 态、实时、⾼性能的
API
⽹关。APISIX
提供丰富的流量管理功能，如负载平衡、动态上游、灰度发 布、熔断、认证、可观测等。你可以使⽤
Apache
APISIX
来处理传统的南北流量，以及服务之间的东 西向流量。它也可以作为⼀个
k8s
ingress
controller。
API7
是
APISIX
的企业版，其功能包括多集群管理、多分区、权限管理、版本管理、审计、统计报告 等，满⾜企业⽤⼾的核⼼需求。 务、路由和消费者信息，包括前⾯负载均衡器的
IP
地址或fully
qualified
domain
name（FQDN）。
Kong
有⼀个插件⽣态系统（Kong
Hub），⽀持开源和企业版的插件，如
LDAP
认证、CORS、动态
SSL、AWS
Lambda、Syslog等。因为它是基于
NGINX
的，所以
Kong
允许⽤⼾使⽤LuaJIT
创建⾃⼰ 的插件。 3
-
GigaOm
API负载测试设置

kafka-logger ... APISIX在安信PaaS平台的应用 1、路由转发 2、认证 3、鉴权 4、链路 5、监控 6、日志 CAS 与 casbin 2、用户状态支持本地存储 3、用户状态支持redis存储 4、casbin 兼容 RBAC with domain 1、认证鉴权功能从业务代码剥离 APISIX helm模板 APISIX 插件模板 APISIX APISIX upstream&API 应用模板 应用发布 安信PaaS平台如何管理APISIX 版本、节点数、资源、配置文件 链路、监控、日志、认证、流控 APISIX 告警模板 对接内部告警平台 初始化 upstream 和 API service1 service2 service3 service1/* service2/* service3/* DB 中间件 发布 环境选择

主动/被动健康检查、服务熔断 云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> gRPC）、websocket • 身份认证：OpenID Relying Party、OP（Auth0、okta…） • Serverless • 高性能、无状态、随意扩容和缩容 • 支持多云、混合云 • 容器优先，Kubernetes

主动/被动健康检查、服务熔断 云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> gRPC）、websocket • 身份认证：OpenID Relying Party、OP（Auth0、okta…） • Serverless • 高性能、无状态、随意扩容和缩容 • 支持多云、混合云 • 容器优先，Kubernetes

golang  python  java  wasm  ...... 满足多协议的需求 APISIX Service Mesh  上手成本低  开发及扩展相当容易  性能优（尤其是多路由场景）  生态丰富，80+ 插件开箱即用  兼容 xDS，方便迁移  自定义 CRD ，增量推送策略  支持多协议 https://github.com/api7/amesh 下一个版本发布时间 APISIX专用插件配置等通过Amesh 下发 APISIX 全流量代理的价值  节约成本  统一技术栈  统一管理  复用技术经验 未来  结合APISIX xRPC实现  原生异构多协议支持  覆盖Istio各类场景/配置  降低用户迁移成本 Apache APISIX Ingress  一种Kubernetes Ingress controller实现  Kubernetes集群南北向流量网关

⽹网关 重复造轮⼦子 why? ⾏行行业⽼老老⼤大：⼤大多基于 Java + JS，性能差，不不⽀支持⼆二 次开发。⽐比如 Apigee、3Scale、Amazon 等。 ⾏行行业远⻅见者：多基于 OpenResty + Golang，少数开 源，⽐比如：Tyk、Kong 等，代码量量较重。 Apache APISIX 机会：轻巧 + 极致性能 + 热插件 宣布开源 CNCF ⾸首个商业⽤用户