我们使用 Spring Cloud Netflix 中的 Eureka 实现了服务注册中心以及服务注册与发现;而服务间通过 Ribbon 或 Feig n 实现服务的消费以及均衡负载;通过 Spring Cloud Config 实现了应用多环境的外部化配置以及版本管理。为了使得服务集群更为健壮,使用 Hystrix 的融断机制来避免在微服务架构中个别服务出现异常时引起的故障蔓延。
在该架构中,我们的服务集群包含:内部服务 bh-upms 和 bh-auth,他们都会注册与订阅服务至 Eureka Server,bh-auth 是一个对外的服务,通过均衡负载公开至服务调用方。本文我们把焦点聚集在对外服务这块,这样的实现是否合理,或者是否有更好的实现方式呢?
先来说说这样架构需要做的一些事儿以及存在的不足:
- 首先,破坏了服务无状态特点。为了保证对外服务的安全性,我们需要实现对服务访问的权限控制,而开放服务的权限控制机制将会贯穿并污染整个开放服务的业务逻辑,这会带来的最直接问题是,破坏了服务集群中 REST API 无状态的特点。从具体开发和测试的角度来说,在工作中除了要考虑实际的业务逻辑之外,还需要额外可续对接口访问的控制处理。
- 其次,无法直接复用既有接口。当我们需要对一个即有的集群内访问接口,实现外部服务访问时,我们不得不通过在原有接口上增加校验逻辑,或增加一个代理调用来实现权限控制,无法直接复用原有的接口。
面对类似上面的问题,我们要如何解决呢?下面进入本文的正题:服务网关!
为了解决上面这些问题,我们需要将权限控制这样的东西从我们的服务单元中抽离出去,而最适合这些逻辑的地方就是处于对外访问最前端的地方,我们需要一个更强大一些的均衡负载器,它就是本文将来介绍的:服务网关。
服务网关是微服务架构中一个不可或缺的部分。通过服务网关统一向外系统提供 REST API 的过程中,除了具备服务路由、均衡负载功能之外,它还具备了权限控制等功能。Spring Cloud Netflix 中的 Zuul 就担任了这样的一个角色,为微服务架构提供了前门保护的作用,同时将权限控制这些较重的非业务逻辑内容迁移到服务路由层面,使得服务集群主体能够具备更高的可复用性和可测试性。
添加依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-zuul</artifactId>
</dependency>
其他依赖
添加 spring-cloud-starter-netflix-eureka-client 是为了 gateway 微服务注册到 Eureka Server;而添加 spring-cloud-starter-oauth2 是为了配置拦截规则。
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
注解开启 Zuul
使用 @EnableZuulProxy 注解开启Zuul。
注:想将一个微服务注册到 Eureka Server,要在启动类上添加注解 @EnableDiscoveryClient 或 @EnableEurekaClient,但从 Spring Cloud Edgware 开始,@EnableDiscoveryClient 或 @EnableEurekaClient 可省略。只需加上相关依赖,并进行相应配置,即可将微服务注册到服务发现组件上。
@SpringBootApplication
@EnableZuulProxy
public class GatewayApplication {
public static void main(String[] args) {
SpringApplication.run(GatewayApplication.class, args);
}
}
配置 Zuul
- application.yml
spring:
application:
name: bh-gateway
server:
port: 9030
eureka:
instance:
prefer-ip-address: true
instance-id: ${spring.cloud.client.ip-address}:${server.port}
lease-renewal-interval-in-seconds: 5
lease-expiration-duration-in-seconds: 10
client:
service-url:
defaultZone: http://bh-eureka01:9010/eureka/,http://bh-eureka02:9011/eureka/
## Zuul 配置项
zuul:
host:
connect-timeout-millis: 10000
socket-timeout-millis: 60000
routes:
uaa:
path: /uaa/**
sensitiveHeaders:
serviceId: auth-server
security:
oauth2:
resource:
user-info-uri: http://uaa/user
prefer-token-info: false
loadBalanced: true
ribbon:
ReadTimeout: 10000
ConnectTimeout: 10000
MaxAutoRetries: 1
MaxAutoRetriesNextServer: 2
eureka:
enabled: true
hystrix:
command:
default:
execution:
timeout:
enabled: true
isolation:
thread:
timeoutInMilliseconds: 600000
# 服务注册中心注册的服务名称,唯一标识
# spring.application.name: bh-gateway
# 服务端口号
# server.port: 9030
# 以IP地址注册到服务中心,相互注册使用IP地址
# eureka.instance.prefer-ip-address: true
# 配置服务显示名称格式:IP + 端口
# eureka.instance.instance-id: ${spring.cloud.client.ip-address}:${server.port}
# 续约更新时间间隔设置5秒,默认30s
# eureka.instance.lease-renewal-interval-in-seconds: 5
# 续约到期时间10秒,默认是90s
# eureka.instance.lease-expiration-duration-in-seconds: 10
# 服务注册中心的配置内容,指定服务注册中心的位置
# eureka.client.serviceUrl.defaultZone: http://bh-eureka01:9010/eureka/,http://bh-eureka02:9011/eureka/
# zuul连接超时时间,默认2000
# zuul.host.connect-timeout-millis: 10000
# socket超时时间、,默认1000
# zuul.host.socket-timeout-millis: 60000
# zuul服务路由设置
# zuul.routes.uaa.path: /uaa/**
# zuul.routes.uaa.serviceId: auth-server
# 安全策略里获取用户信息
# security.oauth2.resource.user-info-uri: http://uaa/user
# 是否使用token info,默认true
# security.oauth2.resource.prefer-token-info: false
# 连接超时时间
# ribbon.ReadTimeout: 10000
# 建立连接超时时间
# ribbon.ConnectTimeout: 10000
# 单个节点重试最大值
# ribbon.MaxAutoRetries: 1
# 重试发生,更换节点数最大值
# ribbon.MaxAutoRetriesNextServer: 2
# 在ribbon中使用eureka
# ribbon.eureka.enabled: true
# 命令执行超时时间,默认1000ms
# hystrix.command.default.execution.isolation.thread.timeoutInMilliseconds: 60000
zuul 相关配置详解
# zuul连接超时时间,默认2000
# zuul.host.connect-timeout-millis: 10000
# socket超时时间、,默认1000
# zuul.host.socket-timeout-millis: 60000
application.yml 文件中 zuul 的相关配置,通过配置不同的超时策略来完成超时处理。ribbon.ReadTimeout、 ribbon.SocketTimeout 这两个就是 ribbon 超时时间设置(当在 yml 写时,没有提示的,给人的感觉好像是不是这么配的一样,其实不用管它,直接配上就生效了),zuul.host.connect-timeout-millis、 zuul.host.socket-timeout-millis 这两个配置,这两个和上面的 ribbon 都是配超时的。区别在于,如果路由方式是 serviceId 的方式,那么 ribbon 的生效,如果是 url 的方式,则 zuul.host 开头的生效。如果你在 zuul 配置了熔断 fallback 的话,熔断超时(hystrix.command.default...)也要配置,不然如果你配置的 ribbon 超时时间大于熔断的超时,那么会先走熔断,相当于你配的 ribbon 超时就不生效了。
# zuul服务路由设置
# zuul.routes.uaa.path: /uaa/**
# zuul.routes.uaa.serviceId: auth-server
zuul 是整合了 eureka 注册中心来实现面向服务的路由,也就是 zuul 在将自己注册到注册中心的时候,也会从注册中心获取所有微服务以及他们的实例清单。这有点类似于 eureka 集群,eureka 各自彼此获取已有的清单数据。也就是在这基础上,api 网关的微服务可以维护系统中所有 serviceId 与实例地址的映射关系。当有外部请求到达 api 网关的时候,根据请求的 url 路径找到最佳匹配的 path,api 网关就可以知道要将请求路由到哪个具体的 serviceId 上去。
zuul 过滤器
/**
* 资源过滤器
* 所有的资源请求在路由之前进行前置过滤
* 如果请求头不包含 Authorization 参数值,直接拦截不再路由
*
* @author ryan
* @version $Id AccessFilter.java, v 0.1 2019-05-09 15:37 ryan Exp $
*/
@Component
public class AccessFilter extends ZuulFilter {
private static final Logger LOGGER = LoggerFactory.getLogger(AccessFilter.class);
/**
* 过滤器的类型 pre 表示请求在路由之前被过滤
* @return 类型
*/
@Override
public String filterType() {
return "pre";
}
/**
* 过滤器的执行顺序
* @return 顺序 数字越大表示优先级越低,越后执行
*/
@Override
public int filterOrder() {
// int值来定义过滤器的执行顺序,数值越小优先级越高
return FilterConstants.PRE_DECORATION_FILTER_ORDER + 1;
}
/**
* 过滤器是否会被执行
* @return true
*/
@Override
public boolean shouldFilter() {
return true;
}
/**
* 过滤逻辑
* @return 过滤结果
*/
@Override
public Object run() {
RequestContext requestContext = RequestContext.getCurrentContext();
HttpServletRequest request = requestContext.getRequest();
LogUtil.info(LOGGER, "[run] send {0} request to {1}", request.getMethod(), request.getRequestURL().toString());
Object accessToken = request.getHeader("Authorization");
if (accessToken==null){
LogUtil.warn(LOGGER, "[run] Authorization token is empty");
requestContext.setSendZuulResponse(false);
requestContext.setResponseStatusCode(401);
requestContext.setResponseBody("Authorization token is empty");
return null;
}
LogUtil.info(LOGGER, "[run] Authorization token is ok");
return null;
}
}