7
-
关于GigaOm19
8
-
关于API720
1
-
摘要
本报告重点介绍了部署在云上的API管理平台。云让企业通过微服务快速地构建差异和创新，在⼏分钟 内就能完成API节点的克隆和扩展。与本地部署相⽐，云有良好的扩展性，能更快地进⾏服务器部署和 应⽤程序开发，且能降低计算成本的开销。 更重要的是，许多组织也依赖API和微服务来实现⾼性能和可⽤性。在本⽂中，我们将“⾼性能”定义 为每秒负载超 差异很⼤。此外，IT部⻔需要对
API
进⾏精细化控制，限制速率、调⽤次数，制定策略和⽤⼾⾝份识 别来确保⾼可⽤性，防⽌滥⽤和安全漏洞。公开
API
为许多合作伙伴打开了⼤⻔，他们可以在不了解 底层技术的情况下共同创建和扩展核⼼平台。 根据企业需求和底层架构，云上管理
API
有很⼤差异。所以为了便于讨论，我们把云上的
API
管理划 分成两种部署⽅式： 混合云
-
混合云
API
管理⽅案允许企业部署、配置在⾃ e
或
Google。在 本次测试中，我们没有测试完全托管的云计算产品。 API
管理供应商提供⾃建或完全托管的云部署，少数的供应商同时提供这两种⽅式。虽然有很多平台 可以提供管理
API
的功能，但我们对⾼性能场景更感兴趣。同样，为了本报告的测试⽬标，我们将"⾼ 性能"
定义为每秒负载超过
1000
个交易，并在后端
API
和微服务中的最⼤延迟⼩于
30
毫秒。
本⽂的⽬的是探讨⾼性能要求下的
API
管理产品。

得数据平⾯不会受到控制平⾯影响。配置中⼼默认为
ETCD，但也⽀持
Consul、Nacos、Eureka
等， 可根据您的实际情况进⾏选择。此外，企业⽤⼾只需关注业务本⾝，与业务⽆关的⼤部分功能交给
API7
内置插件即可实现，如⾝份验证、性能分析等。
1.2
技术亮点
图
1-2
API7
技术亮点
云原⽣ 1. API7
是⼀个云原⽣⽹关，与平台⽆关，没有供应商锁定的⻛险。它⽀持裸⾦属、虚拟机、
约为
140K，延迟约 为
0.2
ms；
全动态能⼒ 6. 修改⽹关配置、增加或修改插件等，⽆需重启⽹关服务即可实时⽣效；⽀持动态加载
SSL
证书；
扩展能⼒强 7. 借助灵活的插件机制，可针对内部业务完成功能定制；⽀持⾃定义负载均衡算法与路由算法，不受限 于
API
⽹关实现；通过运⾏时动态执⾏⽤⼾⾃定义函数⽅式来实现
Serverless，使⽹关边缘节点更加 灵活； 治理能⼒丰富 治理能⼒丰富 8. 如故障隔离、熔断降级、限流限速等；在启⽤主动健康检查后，⽹关将⽀持智能跟踪不健康上游节点 的能⼒，并⾃动过滤不健康节点，以提⾼整体服务稳定性。 1.3
功能架构
API
⽹关主要包含了如下功能模块：
⽤⼾系统：借助⽤⼾系统，管理员将对系统内各个⽤⼾进⾏权限资源划分，⽤⼾不可越权访问资 源。⽀持账⼾密码登陆与
SSO
登陆；
• 权限系统：内置基于⻆⾊的权限

draft6/draft7，性能提升5 - 10 倍 • 是 xeipuuv/gojsonschema 性能的 1000 倍 Apache APISIX 技术选型 • 必须⾼高性能 • 匹配条件灵活且易易扩展 • 必需：uri、host • 可选：IP 地址、请求参数、请求头、 Cookie等，可以做数值、字符串串以及正则 匹配。 • ⾃自定义函数 路路由是 API ⽹网关的⽣生命 Apache 前缀树路路由 • apisix/core：⾼高性能基础库 • Nginx 变量量提取增强 • 错误⽇日志优化 • table 池优化 Apache APISIX 功能 Apache APISIX 功能 • Cloud-Native • Dynamic Load Balancing • Hash-based Load Balancing • SSL • Forward • REST API • Clustering • Scalability • High performance • Custom plugins Apache APISIX 功能 • Hot Updates And Hot Plugins • Health Checks • Circuit-Breaker • Proxy Rewrite • Prometheus

安信PaaS平台建设 中间件PaaS建设 DBaaS建设 API网关建设 信创容器云建设 ~ CICD工具链 Docker gRPC框架 为什么选择Apache APISIX 1、高性能 2、可扩展性强，对开发者友好 3、云原生发展规划与安信证券技术路线符合 4、社区活跃 W r i t e h e r e S o m e t h i n g a b o u t APISIX 在安信 4、链路 5、监控 6、日志 CAS 与 casbin 2、用户状态支持本地存储 3、用户状态支持redis存储 4、casbin 兼容 RBAC with domain 1、认证鉴权功能从业务代码剥离 APISIX helm模板 APISIX 插件模板 APISIX upstream&API 应用模板 应用发布 安信PaaS平台如何管理APISIX 版本、节点数、资源、配置文件

应用专注于业务逻辑  注册发现  流量管理  可观测性  安全防护 服务网格的痛点  方案众多，各有缺陷  与基础设施整合成本高  性能损耗  资源的额外消耗  扩展难度高 理想的服务网格应该是什么样？ 易于扩展 理想的服务网格 业务无感知 落地成本低 动态且增量配置 安全管控 可观测 流量精细化管理 跨集群部署 性能损耗低 资源消耗低 按需下发配置 理想的服务网格 整体使用体验上 • 易于上手 • 权限安全管控 • 配置方式被大众接受 理想的服务网格 数据面 • 支持多种协议，甚至是自定义协议 • 性能损耗低 • 资源占用在可控范围 • 启动速度快 • 方便定位问题 • 扩展能力强 APISIX 在 Service Mesh 上的尝试 控制面的抉择 控制面 - 拥抱 Istio  Istio 是当前最为流行的服务网格方案  社区活跃  几乎所有主流云厂商都对 与APISIX生命周期一致 转换 xDS 协议  资源消耗可控  APISIX原生支持 增加了xds discovery  配合CRD进行扩展 Apache APISIX  高性能云原生网关  数据面和控制面分离  强大的扩展能力  丰富的生态集成 Apache APISIX的应用案例 https://apisix.apache.org/zh/blog/tags/case-studies/

间隔离、降低故障率 但是同样的带来的一些问题: 接口之间通用的功能重复开发、膨胀的 服务数量、难以管理 使用API网关模式 使用API网关进行API聚合 使用API网关实现灰度发布 使用API网关实现服务熔断 与传统API网关的功能 • 让 API 请求更安全、更高效的得到处理 • 覆盖 Nginx 的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL 证书、动态限流限速 证书、动态限流限速 • 主动/被动健康检查、服务熔断 不同的云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> gRPC） • 身份认证：OpenID Relying Party、OP（Auth0、okta…） • 高性能、无状态、随意扩容和缩容 • 动态配置，不用 reload 服务 • 支持多云、混合云 • 容器优先，Kubernetes mesh 和 API 网关的位置和愿景不同，但功能基本一致 • istio + Envoy 已经成为 service mesh 的标准 全流量通吃 • 南北向 API 网关 -> 东西向微服务 • 东西向服务网格 -> 南北向接入层 • Envoy、Kong、Apache APISIX：全流量接入层 • 接入层不再是 Nginx 和 F5 的传统功能和领地 • 开源项目百花齐放：BFE、MOSN

• 12 月：即将推出新一代微服务架构方案 NASA 也在使用 API 网关的传统功能 • 让 API 请求更安全、更高效的得到处理 • 覆盖 Nginx 的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL 证书、动态限流限速 • 主动/被动健康检查、服务熔断 云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST

• 12 月：即将推出新一代微服务架构方案 NASA 也在使用 API 网关的传统功能 • 让 API 请求更安全、更高效的得到处理 • 覆盖 Nginx 的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL 证书、动态限流限速 • 主动/被动健康检查、服务熔断 云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST

e e t u p 第 四 期 · ⼴ 州 站 后端架构演变史 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 后端架构演变 -- 7 层处理 • 动态、性能、功能，不可兼得 • 控制⾯能⼒弱 • 技术栈不统⼀ • ⽆标准化⾼可⽤⽅案 • ⼆次开发成本 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 Nginx 和 Kong 的问题 第 四 期 · ⼴ 州 站 APISIX 当前总结 • 全世界最活跃的 API ⽹关项⽬ • Apache 顶级开源项⽬ • Apache 中国最快毕业项⽬ • 顶级性能，⾼稳定性 • ⽣产可⽤，功能、性能、架构全⾯优于于 Kong 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 https://www.apiseven.com/en/contributor-graph LB / API Gateway (1) • 基于 Nginx，⽀持 Nginx -> APISIX 灰度迁移 • 全动态，⽆需 reload • HTTP(S) 精细化路由 • 内置 40+ 插件，功能强⼤ • ⾃带集群⽅案和控制⾯ 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 LB / API Gateway (2) • 基⾦会项⽬，不⽤担⼼被商业公司锁定 • 全世界最活跃的

rust 也可以。 • WASM/WASI？ rust 能够轻松地构建 WASM target，Apache APISIX 支持使用 WASM 做 plugin， 但本身不能轻易地使用 WASM 做扩展。另外 WASM 不是免费的，在极端情况下性 能可能只有 native 性能的50%。 感谢聆听 THANKS