本文完全參照并抄寫了翟永超博客: Spring Cloud構(gòu)建微服務(wù)架構(gòu)(五)服務(wù)網(wǎng)關(guān)
服務(wù)網(wǎng)關(guān)是微服務(wù)架構(gòu)中一個非常重要的部分。通過服務(wù)網(wǎng)關(guān)統(tǒng)一向外系統(tǒng)提供REST API的過程中,除了具備服務(wù)路由、均衡負(fù)載功能之外,它還具備了權(quán)限控制等功能。Spring Cloud Netflix中的Zuul就擔(dān)任了這樣的一個角色,為微服務(wù)架構(gòu)提供了前門保護(hù)的作用,同時將權(quán)限控制這些較重的非業(yè)務(wù)邏輯內(nèi)容遷移到服務(wù)路由層面,使得服務(wù)集群主體能夠具備更高的可復(fù)用性和可測試性。
我們通過實例例子來使用一下Zuul來作為服務(wù)的路有功能。
準(zhǔn)備工作
在使用Zuul之前,需要先構(gòu)建一個服務(wù)注冊中心、以及兩個簡單的服務(wù),構(gòu)建了一個service-A,一個service-B。然后啟動eureka-server和這兩個服務(wù)。通過訪問eureka-server,我們可以看到service-A和service-B已經(jīng)注冊到了服務(wù)中心。
開始使用Zuul
- 引入依賴spring-cloud-starter-zuul、spring-cloud-starter-eureka,如果不是通過指定serviceId的方式,eureka依賴不需要,但是為了對服務(wù)集群細(xì)節(jié)的透明性,還是用serviceId來避免直接引用url的方式吧。
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
<java.version>1.8</java.version>
<spring-cloud.version>Dalston.RELEASE</spring-cloud.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-zuul</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-eureka</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>${spring-cloud.version}</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
- 應(yīng)用主類使用@EnableZuulProxy注解開啟Zuul
@EnableZuulProxy
@SpringCloudApplication
public class ZuulGatewayApplication {
public static void main(String[] args) {
//SpringApplication.run(ZuulGatewayApplication.class, args);
new SpringApplicationBuilder(ZuulGatewayApplication.class).web(true).run(args);
}
}
注意: @SpringCloudApplication注解,它整合了@SpringBootApplication、@EnableDiscoveryClient、@EnableCircuitBreaker,主要目的還是簡化配置。
- application.properties中配置Zuul應(yīng)用的基礎(chǔ)信息,如:應(yīng)用名、服務(wù)端口等。
spring.application.name=api-gateway
server.port=5555
Zuul配置
完成上面的工作后,Zuul已經(jīng)可以運行了,但是如何讓它為我們的微服務(wù)集群服務(wù),還需要我們另行配置,下面詳細(xì)的介紹一些常用配置內(nèi)容。
服務(wù)路由
通過服務(wù)路由的功能,我們在對外提供服務(wù)的時候,只需要通過暴露Zuul中配置的調(diào)用地址就可以讓調(diào)用方統(tǒng)一的來訪問我們的服務(wù),而不需要了解具體提供服務(wù)的主機(jī)信息了。
在Zuul中提供了兩種映射方式:
通過url直接映射,我們可以如下配置:
# routes to url
zuul.routes.api-a-url.path=/api-a-url/**
zuul.routes.api-a-url.url=http://localhost:2222/
該配置,定義了,所有到Zuul的中規(guī)則為:/api-a-url/**
的訪問都映射到http://localhost:2222/
上,也就是說當(dāng)我們訪問http://localhost:5555/api-a-url/add?a=1&b=2
的時候,Zuul會將該請求路由到:http://localhost:2222/add?a=1&b=2
上。
其中,配置屬性zuul.routes.api-a-url.path中的api-a-url部分為路由的名字,可以任意定義,但是一組映射關(guān)系的path和url要相同,下面講serviceId時候也是如此。
通過url映射的方式對于Zuul來說,并不是特別友好,Zuul需要知道我們所有為服務(wù)的地址,才能完成所有的映射配置。而實際上,我們在實現(xiàn)微服務(wù)架構(gòu)時,服務(wù)名與服務(wù)實例地址的關(guān)系在eureka server中已經(jīng)存在了,所以只需要將Zuul注冊到eureka server上去發(fā)現(xiàn)其他服務(wù),我們就可以實現(xiàn)對serviceId的映射。例如,我們可以如下配置:
zuul.routes.api-a.path=/api-a/**
zuul.routes.api-a.serviceId=service-A
zuul.routes.api-b.path=/api-b/**
zuul.routes.api-b.serviceId=service-B
eureka.client.serviceUrl.defaultZone=http://localhost:1111/eureka/
針對我們在準(zhǔn)備工作中實現(xiàn)的兩個微服務(wù)service-A和service-B,定義了兩個路由api-a和api-b來分別映射。另外為了讓Zuul能發(fā)現(xiàn)service-A和service-B,也加入了eureka的配置。
接下來,我們將eureka-server、service-A、service-B以及這里用Zuul實現(xiàn)的服務(wù)網(wǎng)關(guān)啟動起來,在eureka-server的控制頁面中,我們可以看到分別注冊了service-A、service-B以及api-gateway
嘗試通過服務(wù)網(wǎng)關(guān)來訪問service-A和service-B,根據(jù)配置的映射關(guān)系,分別訪問下面的url
http://localhost:5555/api-a/add?a=1&b=2:通過serviceId映射訪問service-A中的add服務(wù)
http://localhost:5555/api-b/add?a=1&b=2:通過serviceId映射訪問service-B中的add服務(wù)
http://localhost:5555/api-a-url/add?a=1&b=2:通過url映射訪問service-A中的add服務(wù)
注意:推薦使用serviceId的映射方式,除了對Zuul維護(hù)上更加友好之外,serviceId映射方式還支持了斷路器,對于服務(wù)故障的情況下,可以有效的防止故障蔓延到服務(wù)網(wǎng)關(guān)上而影響整個系統(tǒng)的對外服務(wù)
服務(wù)過濾
在完成了服務(wù)路由之后,我們對外開放服務(wù)還需要一些安全措施來保護(hù)客戶端只能訪問它應(yīng)該訪問到的資源。所以我們需要利用Zuul的過濾器來實現(xiàn)我們對外服務(wù)的安全控制。
在服務(wù)網(wǎng)關(guān)中定義過濾器只需要繼承ZuulFilter
抽象類實現(xiàn)其定義的四個抽象函數(shù)就可對請求進(jìn)行攔截與過濾。
下面的例子,定義了一個Zuul過濾器,實現(xiàn)了在請求被路由之前檢查請求中是否有accessToken
參數(shù),若有就進(jìn)行路由,若沒有就拒絕訪問,返回401 Unauthorized錯誤。
public class AccessFilter extends ZuulFilter {
private static Logger log = LoggerFactory.getLogger(AccessFilter.class);
@Override
public String filterType() {
return "pre";
}
@Override
public int filterOrder() {
return 0;
}
@Override
public boolean shouldFilter() {
return true;
}
@Override
public Object run() {
RequestContext ctx = RequestContext.getCurrentContext();
HttpServletRequest request = ctx.getRequest();
log.info(String.format("%s request to %s", request.getMethod(), request.getRequestURL().toString()));
Object accessToken = request.getParameter("accessToken");
if(accessToken == null) {
log.warn("access token is empty");
ctx.setSendZuulResponse(false);
ctx.setResponseStatusCode(401);
return null;
}
log.info("access token ok");
return null;
}
}
自定義過濾器的實現(xiàn),需要繼承ZuulFilter,需要重寫實現(xiàn)下面四個方法:
1. filterType:返回一個字符串代表過濾器的類型,在zuul中定義了四種不同生命周期的過濾器類型,具體如下:
pre:可以在請求被路由之前調(diào)用
routing:在路由請求時候被調(diào)用
post:在routing和error過濾器之后被調(diào)用
error:處理請求時發(fā)生錯誤時被調(diào)用
2. filterOrder:通過int值來定義過濾器的執(zhí)行順序
3. shouldFilter:返回一個boolean類型來判斷該過濾器是否要執(zhí)行,所以通過此函數(shù)可實現(xiàn)過濾器的開關(guān)。在上例中,我們直接返回true,所以該過濾器總是生效。
4. run:過濾器的具體邏輯。需要注意,這里我們通過ctx.setSendZuulResponse(false)令zuul過濾該請求,不對其進(jìn)行路由,然后通過ctx.setResponseStatusCode(401)設(shè)置了其返回的錯誤碼,當(dāng)然我們也可以進(jìn)一步優(yōu)化我們的返回,比如,通過ctx.setResponseBody(body)對返回body內(nèi)容進(jìn)行編輯等。
在實現(xiàn)了自定義過濾器之后,還需要實例化該過濾器才能生效,我們只需要在應(yīng)用主類中增加如下內(nèi)容:
@EnableZuulProxy
@SpringCloudApplication
public class ZuulGatewayApplication {
public static void main(String[] args) {
//SpringApplication.run(ZuulGatewayApplication.class, args);
new SpringApplicationBuilder(ZuulGatewayApplication.class).web(true).run(args);
}
@Bean
public AccessFilter accessFilter() {
return new AccessFilter();
}
}
啟動該服務(wù)網(wǎng)關(guān)后,訪問:
http://localhost:5555/api-a/add?a=1&b=2:返回401錯誤
http://localhost:5555/api-a/add?a=1&b=2&accessToken=token:正確路由到server-A,并返回計算內(nèi)容
