限流10万QPS、跨域、过滤器、令牌桶算法-网关Gateway内容都在这儿

prtyaa
prtyaa 2023-12-31 22:25:49 64850
分类专栏: 资讯

一、微服务网关Spring Cloud Gateway

1.1 导引

文中内容包含:微服务网关限流10万QPS、跨域、过滤器、令牌桶算法。

在构建微服务系统中,必不可少的技术就是网关了,从早期的Zuul,到现在的Spring Cloud Gateway,网关我们用的不可少。

今天我就将沉淀下来的所有与网关相关的知识,用一篇文章总结清楚,希望对爱学习的小伙伴们有所帮助。

本篇文章主要介绍网关跨域配置,网关过滤器编写,网关的令牌桶算法限流【每秒10万QPS】

首先我们来看什么是网关

1.2 什么是微服务网关Gateway?

This project provides a library for building an API Gateway on top of Spring WebFlux.

gateway官网:

spring.io/projects/spri

实现微服务网关的技术有很多,

  • nginx Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务
  • zuul ,Zuul 是 Netflix 出品的一个基于 JVM 路由和服务端的负载均衡器。
  • spring-cloud-gateway, 是spring 出品的 基于spring 的网关项目,集成断路器,路径重写,性能比Zuul好。

我们使用gateway这个网关技术,无缝衔接到基于spring cloud的微服务开发中来。

1.3 微服务为什么要使用网关呢?

不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题:

  1. 客户端会多次请求不同的微服务,增加了客户端的复杂性
  2. 存在跨域请求,在一定场景下处理相对复杂
  3. 认证复杂,每个服务都需要独立认证
  4. 难以重构,随着项目的迭代,可能需要重新划分微服务。例如,可能将多个服务合并成一个或者将一个服务拆分成多个。如果客户端直接与微服务通信,那么重构将会很难实施
  5. 某些微服务可能使用了防火墙 / 浏览器不友好的协议,直接访问会有一定的困难

以上这些问题可以借助网关解决。

网关是介于客户端和服务器端之间的中间层,所有的外部请求都会先经过 网关这一层。也就是说,API 的实现方面更多的考虑业务逻辑,而安全、性能、监控可以交由 网关来做,这样既提高业务灵活性又不缺安全性,典型的架构图如图所示:

1.4 微服务网关优点

  • 安全 ,只有网关系统对外进行暴露,微服务可以隐藏在内网,通过防火墙保护。
  • 易于监控。可以在网关收集监控数据并将其推送到外部系统进行分析。
  • 易于认证。可以在网关上进行认证,然后再将请求转发到后端的微服务,而无须在每个微服务中进行认证。
  • 减少了客户端与各个微服务之间的交互次数
  • 易于统一授权。

1.5 总结

微服务网关就是一个系统,通过暴露该微服务网关系统,方便我们进行相关的鉴权,安全控制,日志统一处理,易于监控的相关功能。历史文章:200期阶段汇总

二、微服务网关搭建及配置

2.1 微服务网关微服务搭建

由于我们开发的系统 有包括前台系统和后台系统,后台的系统给管理员使用。那么也需要调用各种微服务,所以我们针对管理后台搭建一个网关微服务。分析如下:

搭建步骤:

(1)依赖坐标pom.xml:

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-netflix-hystrix</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
</dependency>

(2)启动引导类:GatewayApplication

@SpringBootApplication
@EnableEurekaClient
public class GatewayApplication {
    public static void main(String[] args) {
        SpringApplication.run(GatewayApplication.class, args);
    }
}

(3)在resources下创建application.yml

spring:
  application:
    name: apigateway
  cloud:
    gateway:
      routes:
      - id: open
        uri: lb://open
        predicates:
        - Path=/open/**
        filters:
        - StripPrefix= 1
      - id: system
        uri: lb://system
        predicates:
        - Path=/system/**
        filters:
        - StripPrefix= 1
server:
  port: 9999
eureka:
  client:
    service-url:
      defaultZone: http://127.0.0.1:10086/eureka
  instance:
    prefer-ip-address: true

参考官方手册:

cloud.spring.io/spring-

2.2 微服务网关跨域

在启动类GatewayApplication中,加入跨域配置代码如下

@Bean
public CorsWebFilter corsFilter() {
    CorsConfiguration config = new CorsConfiguration();
    config.addAllowedMethod("*");//支持所有方法
    config.addAllowedOrigin("*");//跨域处理 允许所有的域
    config.addAllowedHeader("*");//支持所有请求头

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(new PathPatternParser());
    source.registerCorsConfiguration("/**", config);//匹配所有请求

    return new CorsWebFilter(source);
}

三、微服务网关过滤器

我们可以通过网关过滤器,实现一些逻辑的处理,比如ip黑白名单拦截、特定地址的拦截等。下面的代码中做了两个过滤器,并且设定的先后顺序。

(1)在网关微服务中创建IpFilter,无需配置其他,注册到Spring容器即可生效

@Component
public class IpFilter implements GlobalFilter, Ordered {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        InetSocketAddress remoteAddress = request.getRemoteAddress();
        //TODO 设置ip白名单
        System.out.println("ip:"+remoteAddress.getHostName());
        return chain.filter(exchange);
    }
    @Override
    public int getOrder() {
        return 1;
    }
}

(2)在网关微服务中创建UrlFilter,无需配置其他,注册到Spring容器即可生效

@Component
public class UrlFilter implements GlobalFilter, Ordered {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        String url = request.getURI().getPath();
        //TODO 拦截特定URL地址
        System.out.println("url:"+url);
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 2;
    }
}

四、网关限流每秒10万请求

我们之前说过,网关可以做很多的事情,比如,限流,当我们的系统 被频繁的请求的时候,就有可能 将系统压垮,所以 为了解决这个问题,需要在每一个微服务中做限流操作,但是如果有了网关,那么就可以在网关系统做限流,因为所有的请求都需要先通过网关系统才能路由到微服务中。

4.1 限流实现思路分析

看图就完了,非常简单!

4.2 令牌桶算法 介绍

令牌桶算法是比较常见的限流算法之一,大概描述如下:

1)所有的请求在处理之前都需要拿到一个可用的令牌才会被处理;

2)根据限流大小,设置按照一定的速率往桶里添加令牌;

3)桶设置最大的放置令牌限制,当桶满时、新添加的令牌就被丢弃或者拒绝;

4)请求达到后首先要获取令牌桶中的令牌,拿着令牌才可以进行其他的业务逻辑,处理完业务逻辑之后,将令牌直接删除;

5)令牌桶有最低限额,当桶中的令牌达到最低限额的时候,请求处理完之后将不会删除令牌,以此保证足够的限流

如下图:

这个算法的实现,有很多技术,Guava(读音: 瓜哇)是其中之一,redis客户端也有其实现。历史文章:200期阶段汇总

4.3 网关限流代码实现

需求:每个ip地址1秒内只能发送10万请求,多出来的请求返回429错误。

代码实现:

(1)spring cloud gateway 默认使用redis的RateLimter限流算法来实现。所以我们要使用首先需要引入redis的依赖

<!--redis-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis-reactive</artifactId>
    <version>2.1.3.RELEASE</version>
</dependency>

(2)定义KeyResolver

在GatewayApplicatioin引导类中添加如下代码,KeyResolver用于计算某一个类型的限流的KEY也就是说,可以通过KeyResolver来指定限流的Key。

//定义一个KeyResolver
    @Bean
    public KeyResolver ipKeyResolver() {
        return new KeyResolver() {
            @Override
            public Mono<String> resolve(ServerWebExchange exchange) {
                return Mono.just(exchange.getRequest().getRemoteAddress().getHostName());
            }
        };
    }

(3)修改application.yml中配置项,指定限制流量的配置以及REDIS的配置,修改后最终配置如下:

spring:
  application:
    name: apigateway
  cloud:
    gateway:
      routes:
      - id: open
        uri: lb://open
        predicates:
        - Path=/open/**
        filters:
        - StripPrefix= 1
        - name: RequestRateLimiter #请求数限流 名字不能随便写 
          args:
            key-resolver: "#{@ipKeyResolver}"
            redis-rate-limiter.replenishRate: 1
            redis-rate-limiter.burstCapacity: 1
      - id: system
        uri: lb://system
        predicates:
        - Path=/system/**
        filters:
        - StripPrefix= 1
  # 配置Redis 127.0.0.1可以省略配置
  redis:
    host: 101.57.2.128
    port: 6379
server:
  port: 9999
eureka:
  client:
    service-url:
      defaultZone: http://127.0.0.1:100/eureka
  instance:
    prefer-ip-address: true

解释:

  • burstCapacity:令牌桶总容量。
  • replenishRate:令牌桶每秒填充平均速率。
  • key-resolver:用于限流的键的解析器的 Bean 对象的名字。它使用 SpEL 表达式根据#{@beanName}从 Spring 容器中获取 Bean 对象。

通过在replenishRate和中设置相同的值来实现稳定的速率burstCapacity。设置burstCapacity高于时,可以允许临时突发replenishRate。在这种情况下,需要在突发之间允许速率限制器一段时间(根据replenishRate),因为2次连续突发将导致请求被丢弃(HTTP 429 - Too Many Requests

key-resolver: "#{@userKeyResolver}" 用于通过SPEL表达式来指定使用哪一个KeyResolver.

如上配置:

表示 一秒内,允许 一个请求通过,令牌桶的填充速率也是一秒钟添加一个令牌。

最大突发状况 也只允许 一秒内有一次请求,可以根据业务来调整 。

(4)测试时需要注意服务启动顺序,这里需要依赖于Redis,所以首先要启动redis

  • 启动redis
  • 启动注册中心
  • 启动商品微服务
  • 启动gateway网关
  • 打开浏览器 http://localhost:9999/open
  • 快速刷新,当1秒内发送超过10万次请求,就会返回429错误。

网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。

本文链接:https://www.xckfsq.com/news/show.html?id=33392
赞同 0
评论 0 条

相关文章

  • 应用网关上启用LDAP双因子认证 2023-12-30 67639 浏览

    在“使用JANUSEC应用网关给内部网站添加身份认证”一文中,介绍了在JANUSEC网关启用移动办公APP(企业微信、钉钉、飞书)扫码身份认证的方法。其实,JANUSEC应用网关还支持LDAP身份认证,并且可以启用双因子认证。1.双因子激活体验开启LDAP双因子身份认证之后,新员工访问内部业务的体验是什么样的呢?首先,应用网关会引导员工到登录界面:首次访问时,直接使用LDAP认证,认证通过后,跳转

  • Springcloud:网关zuul+链路追踪zipkin 2023-12-28 65067 浏览

    微服务没有网关,会有下面的问题:客户端请求多个微服务,增加了客户端复杂性,每个微服务都要做用户认证,限流等,避免和多个微服务打交道的复杂性。有跨域问题,不在同一个域。认证复杂,每个服务都要独立认证,服务要求的权限不一致。难以重构。因为微服务被客户端调用着,重构难以实施。网关是介于客户端(外部调用方比如app,h5)和微服务的中间层。Zuul是Netflix开源的微服务网关,核心是一系列过滤器。这些

  • 奇安信网神工业控制安全网关系统 2023-04-19 66509 浏览

    奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安

  • 快速搭建一个网关服务,动态路由、鉴权看完就会(含流程图) 2023-12-30 61891 浏览

    前言本文记录一下我是如何使用Gateway搭建网关服务及实现动态路由的,帮助大家学习如何快速搭建一个网关服务,了解路由相关配置,鉴权的流程及业务处理,有兴趣的一定看到最后,非常适合没接触过网关服务的同学当作入门教程。搭建服务框架SpringBoot2.1org.springframework.bootspring-boo

  • Web安全防御从WAF到应用网关 2023-12-30 67601 浏览

    传统WAF的主要问题:1.Agent模式的WAF需要在目标主机上安装agent,维护管理工作量较大;2.纯网络层WAF,以及第三方反向代理WAF,如需支持HTTPS,则需要提供证书给服务商,导致证书私钥扩散,可能会泄漏;3.WAF回源(到真实的业务网站)走公网,如果明文传输,存在数据泄漏风险;如果加密传输,则增加延时;要解决上面的问题,新的解决方案应具备:1.不需要在目标主机上安装agent;2.

  • 基于Golang打造开源的WAF网关 2023-12-30 62198 浏览

    【背景】在互联网行业,Google将安全做到基础设施里面,素来是各大公司学习的榜样,在Web方面,通过GFE(GoogleFront-End)统一对外发布,业务只需要在GFE登记,GFE就会调取正确的证书,保障用户到GFE的TLS连接安全。Microsoft在Web方面,有一款叫做AzureApplicationGateway的产品,提供了统一的Web路由、负载均衡,以及WAF(Web应用防火墙)

  • JWT 如何解码和获得令牌失效的日期 2023-12-29 63338 浏览

    如果你有一个JWT的字符串。你在使用JWT的时候可能希望了解JWT这个令牌过期的时间。你可以对JWT进行解码,解码的网站是JWT的官网。访问上面的网站,然后将你的JWT字符串拷贝到需要解码的字符串上,然后对字符串进行解码。在解码的对象后,你会看到exp。上面的exp就是JWT过期的日期。JWT的exp是一个数字的组合,这是因为这个字符串使用的是Unix的时间。1970年,Unix正式诞生,在第一版

  • 试总结内部网关协议ospf的主要特点与优点 2023-12-26 66906 浏览

    内部网关路由协议之OSPF协议开放最短路径优先协议OSPF(OpenShortestPathFirst)【网络层】,基于链路状态的路由选择算法(即Dijkstra算法),较大规模的AS,适合大型网络,直接封装在IP数据包传输。OSPF协议优点:安全;支持多条相同费用路径;支持区别化费用度量;支持单播路由和多播路由;分层路由。RIP与OSPF的对比(路由算法决定其性质):

  • 内部网关路由协议之RIP协议 2023-12-26 65075 浏览

    内部网关路由协议之RIP协议路由信息协议RIP(RoutingInformationProtocol)【应用层】,基于距离-向量的路由选择算法,较小的AS(自治系统),适合小型网络;RIP报文,封装进UDP数据包。RIP协议特性:RIP在度量路径时采用的是跳数(每个路由器维护自身到其他每个路由器的距离记录);RIP的费用定义在源路由器和目的子网之间;RIP被限制的网络直径不超过15跳;和隔壁交换所

  • SpringCloud中Zuul网关原理及其配置,看它就够了! 2023-12-31 64941 浏览

    一、微服务网关SpringCloudGateway1.1导引文中内容包含:微服务网关限流10万QPS、跨域、过滤器令牌算法。在构建微服务系统中,必不可少的技术就是网关了,从早期的Zuul,到现在的SpringCloudGateway,网关我们用的不可少。今天我就将沉淀下来的所有与网关相关的知识,用一篇文章总结清楚,希望对爱学习的小伙伴们有所帮助。本篇文章主要介绍网关跨域配置,网关过滤器编写,网

prtyaa
prtyaaL0
粉丝 1 发表 2554 + 关注 私信
上周热门
银河麒麟添加网络打印机时,出现“client-error-not-possible”错误提示  1448
银河麒麟打印带有图像的文档时出错  1365
银河麒麟添加打印机时,出现“server-error-internal-error”  1151
统信桌面专业版【如何查询系统安装时间】  1073
统信操作系统各版本介绍  1070
统信桌面专业版【全盘安装UOS系统】介绍  1028
麒麟系统也能完整体验微信啦!  984
统信【启动盘制作工具】使用介绍  627
统信桌面专业版【一个U盘做多个系统启动盘】的方法  575
信刻全自动档案蓝光光盘检测一体机  483
本周热议
我的信创开放社区兼职赚钱历程 40
今天你签到了吗? 27
信创开放社区邀请他人注册的具体步骤如下 15
如何玩转信创开放社区—从小白进阶到专家 15
方德桌面操作系统 14
我有15积分有什么用? 13
用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
如何让你先人一步获得悬赏问题信息?(创作者必看) 12
2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
热门标签更多

添加我为好友,拉您入交流群!

请使用微信扫一扫!