插: 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。
坚持不懈,越努力越幸运,大家一起学习鸭~~~
今天谈下去中心化的API网关。
对于API网关我前面多篇文章都已经指出过,其本身要实现请求的统一代理,必然是一种中心化的架构,如果不希望中心化你可以走服务注册中心来实现服务注册发现和服务请求。最近出现一个新的概念API Gateway Mesh,个人感觉这个概念不太合适。
不合适的原因就是在API网关去中心化后,其常说的服务注册发现,安全,限流熔断,日志等微服务管控治理能力本身就通过Sidecar模式下沉到微服务中。也就是说ServiceMesh基本可以实现所有的API网关的能力,除了统一的流量代理和负载均衡。
在我谈这个问题前,先引用一段蚂蚁金服技术专家关于API Gateway Mesh的一些阐述,具体可以参考公众号完整文章。
从本质概念上来讲,API Gateway 用一句话概括:「Exposes your services as managed APIs」,将内部的服务以更加可控可管理的方式暴露出去,这里的关键词是「暴露」和「可控」。Service Mesh 用一句话概括:「A infrastructure to decouple the application network from your service code」,一种将服务代码与应用网络解耦的基础设施,这里的关键词是「解耦」。
在流量上,API Gateway 是管理南北流量的,而 Servcie Mesh 中的 Sidecar 一般情况下是用来负载东西流量的Proxy。两者都具备负载均衡的能力,API Gateway 一般情况下是通过 lvs 、nginx 中心化的一个负载均衡器,我们管这个叫硬负载;而 Service Mesh 一般情况下是通过服务发现,Sidecar 之间是点对点的调用,我们叫软负载。
通信协议上,API Gateway 一般对外接收开放的通信协议,一般是 HTTP、gRPC 等,而且可能涉及到协议的转换,将 HTTP 转换成内部的 RPC 协议,而 Service Mesh 代理的内部流量一般是内部的私有 RPC 协议(WebService、Dubbo、SOFABolt、Thrift 等等)。在鉴权、流控、安全等控制流量的层面上,对于 API Gateway 来讲都是强依赖的,这样才体现「可控」的特点,而 Service Mesh 代理的内部流量,由于一般处于内网环境,这些控制一般情况下都是弱依赖。
具体文章可以参考。
https://mp.weixin.qq.com/s/o4yrZXhW4tnggctL03t7kw
API网关核心是请求代理
当重新思考API网关的时候,又回到其核心能力即请求代理和负载均衡,因此对于负载均衡和代理这块一定是中心化的架构,不可能去中心化。但是传统API网关在拦截了流量后,往往对API接口请求进行了安全,日志,限流熔断等各种管控治理能力的增加,那么增加的这部分能力是可以Mesh化的。
在上篇文章里面谈到API网关和ServiceMesh的另外一个区别就是API网关是内部能力的对外暴露,解决的是南北流量的交互;而对于ServiceMesh往往是解决微服务应用内部,各个微服务之间东西流量的交互。
也就是ServiceMesh并不一定需要具备对外的服务暴露和负载均衡能力。
在了解了这点后,简化理解就是:去中心化API网关 = 中心化的负载均衡能力+ ServiceMesh去中心化的管控能力。
也就是说API网关的请求代理全部转移到负载均衡设备来完成,而其他管控治理能力全部下沉到SeriviceMesh架构中的Sidecar来完成。
服务注册发现和负载均衡配置
当把上面这点思考清楚后,你会看到去中心化网关要解决的核心问题在哪里?
我个人理解其中有一个关键能力就是SeviceMesh的服务注册发现和负载均衡设备或类似Nginix反向代理之间的自动化集成和协同问题。
在云原生和DevOps下可以看到。
当一个微服务应用完成持续交付和自动化部署后,会自动下发一个Sidecar边车到微服务部署的Pod中,这个边车里面包括了API网关需要的管控治理代理Jar包,实现流量拦截和各种微服务治理能力。
在Sidecar下发完成后,会自动完成微服务的自动化注册和接入过程。但是并不会和负载均衡设备协同,完成负载均衡配置信息的自动化修改。因此在这里需要增加一个关键能力,即:
在微服务部署并自动化注册后,需要自动化更新更新负载均衡设备的路由配置表信息,也就是这个负载均衡能力不会使用ServiceMesh的负载均衡,而是需要借助独立的负载均衡组件来完成统一的服务代理和服务对外暴露。
微服务和微服务暴露的API接口
第二点,在谈微服务网关和API网关的时候就谈到过,微服务网关只管理到微服务组件的粒度,而API网关需要管理到一个个的API接口的细粒度。
对应回ServiceMeshd的解决方案也是同样的道理,当前的开源Mesh化解决方案往往无法管理到一个个的API接口这个粒度,这部分能力仍然是需要进行定制,即将API网关这部分的能力剥离出来后下沉到Sidecar中来实现。
管理到一个个的API接口服务力度是对Mesh架构做的一个大定制化能力提升。
服务请求端无法下发Sidecar
注意,在同一服务能对外暴露的时候,前端本身具备多样性,比如前端很可能就是一个APP应用,这个时候可能并没有办法采用统一的微服务开发框架,自然也无法在前端模块下发标准的Sidecar代理模块。
拿服务访问安全来举例说明。
在传统的API网关架构中,会直接在API网关拦截到请求流量后,进行服务安全检查,如果没有访问权限直接拒绝并返回。在ServiceMesh架构下,安全能力会在微服务请求模块来完成,即请求模块中的Sidecar代理在鉴权不通过的时候直接拒绝,该流量请求并不会达到API接口服务的提供模块上。
那么在请求端无法下发Sidecar情况下,这部分能力只能是转移到API接口服务提供端来完成,即请求端不做请求流量拦截和管控能力。
负载均衡和心跳检测,健康检查
最后一点,负载均衡实现的时候需要考虑到心跳和健康检查问题。而负载均衡往往并不具备集群节点的心跳和健康检查能力。
因此这部分能力仍然需要在Mesh的控制中心来完成。
即Mesh的控制中心在监控检查发现了不可用的微服务集群节点的时候,应该动态的将该集群节点从负载均衡设备的路由配置表中移出。
如何改造扩展?
简单来说即基于Ngnix和Istio两个开源组件来进行扩展和集成,同时自定义一个apiGateway.jar包,通过DevOps过程以Sidecar模式自动化部署到微服务中来实现微服务管控治理。
当前也可以使用OpenRestry来代理Ngnix,但是只使用OpenRestry的负载均衡,服务代理,节点心跳检查能力,其它管控能力仍然是下发到边车完成。
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
这个问题在这里已经有了答案:Checktoseeifanarrayisalreadysorted?(8个答案)关闭9年前。我只是想知道是否有办法检查数组是否在增加?这是我的解决方案,但我正在寻找更漂亮的方法:n=-1@arr.flatten.each{|e|returnfalseife
我有一个包含多个键的散列和一个字符串,该字符串不包含散列中的任何键或包含一个键。h={"k1"=>"v1","k2"=>"v2","k3"=>"v3"}s="thisisanexamplestringthatmightoccurwithakeysomewhereinthestringk1(withspecialcharacterslike(^&*$#@!^&&*))"检查s是否包含h中的任何键的最佳方法是什么,如果包含,则返回它包含的键的值?例如,对于上面的h和s的例子,输出应该是v1。编辑:只有字符串是用户定义的。哈希将始终相同。 最佳答案
我需要检查DateTime是否采用有效的ISO8601格式。喜欢:#iso8601?我检查了ruby是否有特定方法,但没有找到。目前我正在使用date.iso8601==date来检查这个。有什么好的方法吗?编辑解释我的环境,并改变问题的范围。因此,我的项目将使用jsapiFullCalendar,这就是我需要iso8601字符串格式的原因。我想知道更好或正确的方法是什么,以正确的格式将日期保存在数据库中,或者让ActiveRecord完成它们的工作并在我需要时间信息时对其进行操作。 最佳答案 我不太明白你的问题。我假设您想检查
我的日期格式如下:"%d-%m-%Y"(例如,今天的日期为07-09-2015),我想看看是不是在过去的七天内。谁能推荐一种方法? 最佳答案 你可以这样做:require"date"Date.today-7 关于ruby-检查日期是否在过去7天内,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/32438063/
这里有一个很好的答案解释了如何在Ruby中下载文件而不将其加载到内存中:https://stackoverflow.com/a/29743394/4852737require'open-uri'download=open('http://example.com/image.png')IO.copy_stream(download,'~/image.png')我如何验证下载文件的IO.copy_stream调用是否真的成功——这意味着下载的文件与我打算下载的文件完全相同,而不是下载一半的损坏文件?documentation说IO.copy_stream返回它复制的字节数,但是当我还没有下
我有用于控制用户任务的Rails5API项目,我有以下错误,但并非总是针对相同的Controller和路由。ActionController::RoutingError:uninitializedconstantApi::V1::ApiController我向您描述了一些我的项目,以更详细地解释错误。应用结构路线scopemodule:'api'donamespace:v1do#=>Loginroutesscopemodule:'login'domatch'login',to:'sessions#login',as:'login',via::postend#=>Teamroutessc
我们的git存储库中目前有一个Gemfile。但是,有一个gem我只在我的环境中本地使用(我的团队不使用它)。为了使用它,我必须将它添加到我们的Gemfile中,但每次我checkout到我们的master/dev主分支时,由于与跟踪的gemfile冲突,我必须删除它。我想要的是类似Gemfile.local的东西,它将继承从Gemfile导入的gems,但也允许在那里导入新的gems以供使用只有我的机器。此文件将在.gitignore中被忽略。这可能吗? 最佳答案 设置BUNDLE_GEMFILE环境变量:BUNDLE_GEMFI
这似乎非常适得其反,因为太多的gem会在window上破裂。我一直在处理很多mysql和ruby-mysqlgem问题(gem本身发生段错误,一个名为UnixSocket的类显然在Windows机器上不能正常工作,等等)。我只是在浪费时间吗?我应该转向不同的脚本语言吗? 最佳答案 我在Windows上使用Ruby的经验很少,但是当我开始使用Ruby时,我是在Windows上,我的总体印象是它不是Windows原生系统。因此,在主要使用Windows多年之后,开始使用Ruby促使我切换回原来的系统Unix,这次是Linux。Rub
只是想确保我理解了事情。据我目前收集到的信息,Cucumber只是一个“包装器”,或者是一种通过将事物分类为功能和步骤来组织测试的好方法,其中实际的单元测试处于步骤阶段。它允许您根据事物的工作方式组织您的测试。对吗? 最佳答案 有点。它是一种组织测试的方式,但不仅如此。它的行为就像最初的Rails集成测试一样,但更易于使用。这里最大的好处是您的session在整个Scenario中保持透明。关于Cucumber的另一件事是您(应该)从使用您的代码的浏览器或客户端的角度进行测试。如果您愿意,您可以使用步骤来构建对象和设置状态,但通常您
