概述

背景

京東作為電商平臺，近幾年用戶、業務持續增長，訪問量持續上升，隨著這些業務的發展，API網關應運而生。

API網關，就是為了解放客戶端與服務端而存在的。對于客戶端，使開放給客戶端的接口標準統一，以降低客戶端的接入成本；對于服務端，使服務端無需關注接口暴露在公網面臨的問題而著眼于業務的實現，來提升開發效率。

在剛剛過去的全民狂歡購物節，API網關如何做才能高效的處理近千萬的并發請求是本文的重點。

API網關介紹

API網關，作為客戶端與服務端的紐帶，核心任務是將客戶端請求轉發到后端服務。但是，作為所有流量請求的入口，面臨的很重要的一個問題就是高并發，因為高并發的需要，要求網關處理請求必須高效；其次是安全防護，安全主要是指對網關對后端服務的一個保護；再者就是完善的數據統計及監控報警機制；當然，為了方便我們內部用戶接入，多協議適配的支持、灰度發布上線也是必備功能。

API網關特征：

高性能：在高吞吐量下保證低延遲。

安全穩定：身份認證、精細化流量控制、大數據實時分析等多種手段保障服務質量。

平臺化：進行各項數據監控，提供數據分析、監控告警、故障定位等服務。

灰度：灰度發布，支持按設備、PIN、自定義比例方式在不影響正常用戶的情況下，保障后端服務平穩過渡。

方便快捷：支持http、jsf服務快捷接入，mock功能加快協同開發。

技術實踐

API網關服務于原生客戶端、Web、小程序，不限于具體的業務。其主要架構圖如下所示：

主要分3層：

• 第1是VIP層，主要是接收客戶端http、https請求，并將請求轉發到網關；

• 第2是網關層，對請求進行合法性校驗并轉發；

• 第3層就是后端業務API，這些業務方，就是我們服務的主要對象。

高并發實現

網關高并發實踐主要利用異步化處理技術，將請求由同步變為異步，利用NIO多路復用，達到請求接收最大化。

首先看下圖同步處理過程：

采用同步處理，線程的釋放就受限于后端服務響應的快慢。當響應過慢時，線程池就容易出現耗盡現象，并且資源利用率上不去，吞吐量很低，或者說此時的大量請求都會被服務器拒絕。

由此可以看出，同步處理使資源利用率得不到充分的利用，大量請求被拒絕同時又影響了用戶體驗。如果想提高并發只能通過橫向加機器，這樣造成機器資源大量浪費的現象。如果是網關這么處理，那么這種現象體現的將更明顯。

為了解決同步引起的問題，采用異步，如下圖所示：

通過實現異步化處理，線程可以在開啟異步后直接釋放，當前請求的響應會被延后，當后端服務有響應后，再將響應寫回給客戶端。這樣就算是有后端服務響應很慢，因為線程已被釋放了，可以繼續接收新的請求，達到服務資源使用的最大化。

安全防護

精細化流控：

作為所有業務方的第一道防線，網關承載著海量流量的訪問，以及隨時可能爆發的惡意流量攻擊的壓力。

很典型的，每年雙十一或是618都會有刷子惡意刷后端服務接口，如果網關不做處理直接將流量透傳到后端服務，后端服務很大可能會被瞬時流量沖垮，至少會增大后端服務響應延時及浪費公司大量資源來處理攻擊。

那么，進行流量控制就是必不可少的。網關提供秒級的流量控制，可以對單個接口按地域、風控等級等維度進行流控配置。這樣流量只到了網關層面，就不會透傳到后端服務了。

流控主要是采用令牌桶算法實現，策略主要有排隊或熔斷，具體的策略根據不同的端，選擇合適的流控動作。

授權及簽名認證：

API暴露在公網，肯定會存在被刷的風險，網關要做的就是盡可能降低這種風險。就像通過制定法律來盡可能減少犯罪一樣，通過訪問權限控制、簽名認證、跨域校驗等來盡可能的降低API接口被刷的風險。

授權：只有通過API負責人授權的接口，客戶端才有權限訪問 。如果未授權，在網關處攔截，響應給客戶端沒有訪問權限；

簽名認證：按規則將請求參數通過HMAC-SHA256算法運算生成簽名值，對客戶端計算的簽名值與網關計算的簽名值進行匹配，匹配的請求繼續向下流轉，否則直接被攔截。

跨域效驗：

對于WEB端應用，調用網關屬于跨域請求。這類請求，如果不進行校驗，會產生跨域攻擊。所以需要獲取到客戶端請求來源，對客戶端請求來源進行認證，只有合法的請求來源才被允許訪問后端服務。對于小程序應用，也會校驗小程序真實性。

灰度發布

設想這樣一個場景：有一個核心業務，做了比較大的改動，又或者是項目重構，開發完成，同時測試完成，要上線了。但是，問題也來了：因為改動很大，業務很重要，測試所拿機型設備有限，擔心直接全部上線會影響測試未覆蓋的線上用戶。那么，能不能先有10%的流量請求到新服務，看下用戶使用情況，再決定是否全部上線呢。

為了滿足這種需求，網關提供按設備號、用戶標識的定點灰度測試，同時支持按比例進行的灰度上線。

用戶請求到網關，如果開啟灰度模式，就獲取到灰度地址，將請求轉發到特定的服務。

自動化運營

在高舉可持續發展旗幟的時代下，如果一個產品僅僅做到功能齊全是遠遠不夠的。只有做到可持續發展，實現自動化運營的產品才真正是個好產品。API網關平臺化意味著N條產品線，一個網關，通過實現自動化運營，解放生產力，打造統一化平臺，提供可持續化產品，擁抱API經濟，實現API變現。

API網關控制臺首頁

獨立部署與快速擴展

API網關統一管理著發布方對外暴露的API服務，各個服務可以獨立開發部署。針對后端服務的發布與下線，發布方可通過API網關提供界面化管理控制平臺，實現流程化管理，線上審批通過后，實時生效，無需手動控制，實現自動化運營。

同時對于后端服務的各項配置，如API權限管理、流量控制等，API網關進行自動化管理，動態配置，動態加載，保證在無需重啟服務的情況下即可進行配置更改操作。

要實現自動化運營，除了對API服務管理做到獨立部署、快速擴展外，對于API的調用方也實現自助API開通，授權訪問API服務。

數據分析與監控告警

由于API網關處在一個內部系統與外部環境的分界點處，所有外部請求都經過API網關進行調度和過濾，每時每刻都有大量請求通過API網關進入內部服務。因此可以在API網關層進行請求接入監控，監控各個接口的訪問請求并進行收集，以便相應指標的統計分析。

在API網關界面化管理控制平臺中，對收集統計到的監控數據，如API接口調用量、響應時間等信息，提供了可視化的API實時智能數據分析與監控告警功能，訂閱API異常報警信息，以便實時監控后端服務運行情況。

后端接口監控數據圖

線上環境故障定位

當發生線上故障時，API網關提供一系列的故障現場還原措施進行故障的定位與排查，通過日志實時分析、異常流量實時探測、監控告警等技術，快速拿到故障快照、還原故障現場以及迅速定位問題原因。

后端接口調試界面圖

總結

作為系統的唯一入口，API網關的地位是至關重要的。API網關位于技術中臺的核心要塞，符合技術中臺戰略發展方向，做到了產品組件化、需求結構化、數據配置化、業務可視化：

• 產品組件化：具有足夠的靈活性和擴展性，支持提供特定場景特定需求。

• 需求結構化：根據業務能力、業務規則完成需求結構化分解，降低溝通成本。

• 數據配置化：在線配置業務，快速發布上線。

• 業務可視化：細粒度劃分業務規則，多維度展示業務監控數據。

對于基于微服務架構實現的后端服務而言，接入一個性能高效、安全穩定的API網關，享受其帶來的身份認證、路由請求、協議轉換等便利，更加專注于自身業務邏輯的開發，是有必要的。利用API網關對各個服務API進行統一的管理和監控，解決客戶端與后端服務交互不便的問題，具有十分重要的意義。

文章來源：京東零售技術，點擊查看原文。

Kubernetes入門與實戰培訓

Kubernetes入門與實戰培訓將于2020年2月28日在北京開課，3天時間帶你系統掌握Kubernetes，學習效果不好可以繼續學習。本次培訓包括：Docker基礎、容器技術、Docker鏡像、數據共享與持久化、Docker實踐、Kubernetes基礎、Pod基礎與進階、常用對象操作、服務發現、Helm、Kubernetes核心組件原理分析、Kubernetes服務質量保證、調度詳解與應用場景、網絡、基于Kubernetes的CI/CD、基于Kubernetes的配置管理等等，點擊下方圖片或者閱讀原文鏈接查看詳情。

總結

以上是生活随笔為你收集整理的京东API网关实践之路的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。