今天准备介绍下开源API网关Kong，在Gtihub搜索API网关类的开源产品，可以看到Kong网关常年都是排第一的位置，而且当前很多都有一定研发能力的企业在API网关产品选型的时候基本也会选择Kong网关，并基于Kong网关进行二次开发和定制。

API网关概述

对于API网关进一步的功能介绍，可以我前面参考文章：

一文详细讲解API网关核心功能和API管理扩展

基于Openresty开发API网关

首先我们看下GitHub上对Kong网关的一些介绍

当我们决定对应用进行微服务改造时，应用客户端如何与微服务交互的问题也随之而来，毕竟服务数量的增加会直接导致部署授权、负载均衡、通信管理、分析和改变的难度增加。

面对以上问题，API GATEWAY是一个不错的解决方案，其所提供的访问限制、安全、流量控制、分析监控、日志、请求转发、合成和协议转换功能，可以解放开发者去把精力集中在具体逻辑的代码，而不是把时间花费在考虑如何解决应用和其他微服务链接的问题上。

Kong网关是一款基于OpenResty（Nginx + Lua模块）编写的高可用、易扩展的，由Mashape公司开源的API Gateway项目。Kong是基于NGINX和Apache Cassandra或PostgreSQL构建的，能提供易于使用的RESTful API来操作和配置API管理系统，所以它可以水平扩展多个Kong服务器，通过前置的负载均衡配置把请求均匀地分发到各个Server，来应对大批量的网络请求。

KONG本身提供包括HTTP基本认证、密钥认证、CORS、TCP、UDP、文件日志、API请求限流、请求转发及NGINX监控等基本功能。目前，Kong在Mashape管理了超过15,000个API，为200,000开发者提供了每月数十亿的请求支持。

Kong网关核心组件

• Kong Server ：基于nginx的服务器，用来接收API请求。
• Apache Cassandra/PostgreSQL ：用来存储操作数据。
• Kong dashboard：官方推荐UI管理工具，也可以使用开源的Konga平台

Kong采用插件机制进行功能定制，当前本身已经具备了类似安全，限流，日志，认证，数据映射等基础插件能力，同时也可以很方便的通过Lua定制自己的插件。插件完全是一种可以动态插拔的模式，通过插件可以方便的实现Kong网关能力的扩展。

Kong网关核心组件关键特性

• Cloud-Native云原生：与平台无关，Kong可以在从裸机到容器的任何平台上运行，并且可以在每个云上本地运行。
• Kubernetes集成能力：使用官方的Ingress Controller通过本地Kubernetes CRD声明性地配置Kong，以路由和连接所有L4 + L7层网络流量。
• 动态负载均衡：在多个上游服务之间平衡流量。
• 基于哈希的负载均衡：具有一致的哈希/粘性会话的负载均衡。
• 断路器：智能跟踪不健康的上游服务。
• 健康检查：主动和被动监视上游服务。
• 服务发现：在Consul之类的第三方DNS解析器中解析SRV记录。
• Serverless：直接从Kong调用和保护AWS Lambda或OpenWhisk功能。
• WebSockets：通过WebSockets与您的上游服务进行通信。
• gRPC：与gRPC服务进行通信，并通过日志记录和可观察性插件观察流量
• OAuth2.0：轻松将OAuth2.0身份验证添加到您的API。
• 日志功能：通过HTTP，TCP，UDP或磁盘Log对系统的请求和响应。
• 安全性：ACL，僵尸程序检测，允许/拒绝IP等…
• Syslog：登录到系统日志。
• SSL：为基础服务或API设置特定的SSL证书。
• 监控：对关键负载和性能服务器指标提供动态实时监控。
• 转发代理：使Kong连接到透明的中介HTTP代理。
• 认证：HMAC，JWT，Basic等。
• 限流：基于许多变量的阻止和限制请求。
• 转换：添加，删除或处理HTTP请求和响应。
• 缓存：在代理层缓存并提供响应。
• CLI：从命令行控制Kong群集。
• 开放API接口：Kong可以使用其RESTful API进行操作，以实现最大的灵活性。
• 跨区域复制：跨不同区域的配置始终是最新的。
• 故障检测和恢复：如果您的Cassandra节点之一发生故障，则Kong不会受到影响。
• 群集：所有Kong节点自动加入群集，并在各个节点之间更新其配置。
• 可扩展性：Kong本质上分布，只需添加节点即可水平扩展。
• 性能：Kong通过扩展和使用NGINX作为核心轻松处理负载。
• 插件：可扩展的体系结构，用于向Kong和API添加功能。

Kong网关的主要功能分析

从上图可以看到，Kong网关是基于OpenResty应用服务器，OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。而Kong 核心基于OpenResty构建，并且拥有强大的插件扩展功能。

在Http请求到达Kong网关后，转发给后端应用之前，可以通过网关的各种插件对请求进行流量控制，安全，日志等各方面的处理能力。当前Kong的插件分为开源版和社区版，社区版还有更多的定制功能，但是社区版是要收费的。

目前，KONG开源版本一共开放28个插件，如下：

acl、aws-lambda、basic-auth、bot-detection、correlation-id、cors、datadog、file-log、galileo、hmac-auth、http-log、ip-restriction、jwt、key-auth、ldap-auth、loggly、oauth2、rate-limiting、request-size-limiting、request-termination、request-transformer、response-ratelimiting、response-transformer、runscope、statsd、syslog、tcp-log、udp-log。

以上这些插件主要分五大类，Authentication认证，Security安全，Traffic Control流量控制，Analytics & Monitoring分析&监控，Logging日志，其他还有请求报文处理类。插件类似AOP开发中的横切功能，可以灵活的配置进行拦截控制，下面选择一些关键性的插件进行简单的说明。

黑白名单控制能力-ip-restriction

Kong提供的IP黑白名单控制能力还算相当强，从配置项里面可以看到主要可以针对两个维度进行配置，一个是针对所有的API接口还是针对特定的API接口，一个是针对所有的消费方还是特定的某个消费方。

对于IP配置可以是一个区段，也可以是特定的IP地址。但是黑白名单不能同时配置，其次当前没有一个功能是针对某一个系统提供的所有服务都启用黑名单或白名单功能。

日志记录能力-syslog, file-log，http-log

这里主要日志的插件比较多，一个是sysLog在配置后可以直接将Kong产生的日志写入到应用服务器的系统日志文件中。如果配置了file-log则是单独写入到你指定的file文件中。对于http-log则是对于http服务请求，可以详细的记录请求的输入和输出报文信息，但是具体是记录到哪里，需要通过config.http_endpoint配置。

如果需要将API接口调用消息报文日志写入到分布式存储或数据库中，则需要自己定义相应的日志插件来接入写入问题。

熔断插件-request-termination

该插件用来定义指定请求或服务不进行上层服务，而直接返回指定的内容，用来为指定的请求或指定的服务进行熔断。注意Kong的熔断插件感觉是临时对服务的禁用，而不是说当达到某一种监控阈值的时候自动触发熔断。从官方文档的应用场景也可以看到这点。

如果仅仅是这种方式的熔断话，实际上意义并不是很大。但是可用的地方就在于当某个业务系统进行发版部署的时候我们可以对该业务系统或该业务系统所提供的所有服务进行熔断。

限流插件-rate-limiting

Kong当前提供的限流相对来说还是比较弱，即主要是控制某一个API接口服务在单位时间内最多只能够调用多少次，如果超过这个次数那么网关就直接拒绝访问并返回错误提示信息。而在前面我讲限流和流量控制的时候经常会说到，就是限流实际上一个是根据服务调用次数，一个是根据服务调用数据量，需要在这两个方面进行限流。而里面更加重要的反而是数据量的限流，因为大数据量报文往往更加容易造成内存溢出异常。

安全认证类插件

当前Kong网关提供basic-auth，key-auth、ldap-auth，hmac-auth多种认证插件。

Basic-auth基本认证插件，即我们根据用户名和密码来生成一个base64编码，同时将该编码和目标服务绑定，这样在消费目标服务的时候就需要在报文头填写这个Base64编码信息。

Key-auth认证插件则是利用提前预设好的关键字名称，如下面设置的keynote = apices，然后为consumer设置一个key-auth 密钥，假如key-auth=test@keyauth。在请求api的时候，将apikey=test@keyauth，作为一个参数附加到请求url后，或者放置到headers中。

Hmac-auth插件是设置绑定的service和rout，以启动hmac验证。然后在Consumers页面中Hmac credentials of Consumer设置中添加一个username和secret。

请求报文容量限制-request-size-limiting

该插件用于限制请求报文的数据量大小，可以限制单个服务，也可以显示所有的API接口服务。这个实际上是很有用的一个功能，可以防止大消息报文调用导致整个API网关内存溢出。

支持OAuth2.0身份认证-oauth2

Kong网关支持OAuth2.0身份认证，OAuth2.0 协议根据使用不同的适用场景，定义了用于四种授权模式。即Authorization code（授权码模式），Implicit Grant（隐式模式），Resource Owner Password Credentials（密码模式），Client Credentials（客户端模式）。

在四种方式中经常采用的还是授权码这种标准的 Server 授权模式，非常适合 Server 端的 Web 应用。一旦资源的拥有者授权访问他们的数据之后，他们将会被重定向到 Web 应用并在 URL 的查询参数中附带一个授权码（code）。

在客户端里， code 用于请求访问令牌（access_token）。并且该令牌交换的过程是两个服务端之前完成的，防止其他人甚至是资源拥有者本人得到该令牌。另外，在该授权模式下可以通过 refresh_token 来刷新令牌以延长访问授权时间，也是最为复杂的一种方式。

简单转换能力

对于简单转换能力通过request-transformer 和 response transformer两个插件来完成。Kong网关提供对输入和输出报文简单转换的能力，这部分内容后续再详细展开介绍。从当前配置来看，主要是对消息报文提供了Add, Replace,Rename,Append等各种简单操作能力。

Kong网关和其它网关对比

对于开源的Kong网关和其它网关的对比如下。

在整个定制中增加了基于DB适配的Http Rest API接口的自动发布，API服务自动化注册，服务日志采集和服务日志查询，常见映射模板定制，接口服务的自动化测试等方面的能力。

Kong网关的安装

访问Dashboard界面如下：

可以看到Dashboard2.0版本的界面已经和V1版本有了较大的变化，在Dashboard上可以实现最近的API接口注册接入，路由，安全管理，限流熔断配置的。由于本身还有另外一个开源的kong网关管理平台Konga，因此后续准备基于Konga来对网关的关键功能进一步做说明和介绍。