一、什么是服務網關

服務網關也叫 API 網關，

所謂 API 網關，就是只系統的統一入口，它封裝了應用程式的內部結構，為客戶端提供統一服務，一些與業務本身功能無關的公共邏輯可以在這里實作，如，認證、鑒權、監控、路由轉發等等，其本身也是一個可以注冊到 Nacos 上的微服務：

二、業界常見網關組件

• Nginx + lua腳本
  使用 Nginx 的反向代理和負載均衡可實作對 api 服務器的負載均衡和高可用，lua 是一種腳本語言，可以用來撰寫簡單的邏輯，Nginx 支持 lua 腳本，
• Kong
  基于 Nginx + lua 開發，性能高、穩定，有多個可用插件（限流、鑒權等），開箱即用，
  但支持 http 協議，二次開發限制較大，缺乏更易用的管控、配置方式，
• Zuul
  Netflix 開源的網關，功能豐富，使用 Java 開發，易于二次開發，
  但缺乏管控，無法動態配置，依賴組件多，處理 http 請求需要依賴 web 容器，性能不如 Nginx，
• Spring Cloud Gateway
  Spring 公司為了 替換 Zuul 而開發的網關組件，Spring Cloud 微服務 推薦使用的網關組件，

三、Spring Cloud Gateway

Spring Cloud Gateway 是 Spring 公司基于 Spring 5.0 ，Spring Boot 2.0 和 Project Reactor 等技術開發的網關，旨在為微服務架構提供一種簡單、有效、統一的 API 路由管理方式，目標是取代 Netflix Zuul ，其不僅提供統一的路由方式，并且基于 Filter 鏈的方式提供網關基本功能，例如，安全、監控和限流等，

優點：

• 性能強勁：是第一代網關 Zuul 的1.6 倍
• 功能強大：內置了很多實用功能，如轉發、監控、限流等
• 設計優雅，易擴展

缺點

• 依賴 Netty 和 WebFlux，不是傳統的 Servlet 編程模型，學習成本高
• 不能將其部署在 Tomcat 、Jetty 等 Servlet 容器中，只能打 jar 包執行
• Spring Boot 2.0 以上才支持

四、Gateway 快速入門

使用 Spring Cloud Gateway 實作最簡單的請求路由，

4.1 創建 gateway 服務

首先創建一個全新的 api-gateway 服務，

4.2 添加 gateway 依賴和 nacos 依賴

注意，gateway 專案一定不要引入 web-starter 依賴，因為 Gateway 本身不是基于 Servlet 實作，

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
<dependency>
    <groupId>com.alibaba.cloud</groupId>
    <artifactId>spring-cloud-alibaba-nacos-discovery</artifactId>
</dependency>

@Slf4j
@EnableDiscoveryClient
@SpringBootApplication
public class ApiGatewayApplication {
    
    public static void main(String[] args) {
        SpringApplication.run(ApiGatewayApplication.class);
        
        log.info("-------------------啟動成功--------------------");
    }
}

4.3 配置路由資訊

先配置一些必須元素，如埠號，網關微服務的服務名稱，以及 nacos 注冊地址：

server:
  port: 7000
spring:
  application:
    name: shop-api-gateway
  nacos:
    discovery:
      server-addr: localhost:8848

然后，再配置路由資訊：

spring:
  cloud:
    nacos:
      discovery:
        server-addr: localhost:8848 # 企業應用中一般也要把網關服務注冊到 nacos 上
    gateway:
      discovery:
        locator:
          enabled: true # 開啟網關服務發現定位器，可以令 gateway 從nacos上定位具體的微服務地址
      routes: # 路由陣列（路由就是指當請求滿足什么樣的條件的時候轉發到哪臺服務器上）
        - id: product_route # 當前路由的標識，要求唯一，默認UUID，
          # uri: http:// localhost:8081  # 請求最終要被轉發的地址
          uri: lb://service-product  # 若使用 nacos 可以寫微服務名稱，lb->loadbalance呼叫服務
          order: 1  # 指的是路由的優先級，數字小優先級高
          predicates: # 斷言，條件判斷，回傳值 boolean，轉發請求要滿足的條件
            - Path=/product-serv/**   # 當請求路徑滿足 Path 指定的規則時，此路由資訊才會正常轉發
          filters: # 過濾器，在請求傳遞程序中，對請求做一些手腳
            - StripPrefix=1  # 在請求轉發之前去掉一層路徑，

對于 routes 配置，如果想簡單配置，可直接忽略，因為 Spring Cloud Gateway 提供了默認的路由規則，用戶可以直接在網關ip:port 地址和具體請求路徑之間加入微服務名稱就可以實作路由轉發，例如：

http://localhost:7000/service-product/product/1

但是企業級應用中，往往會處于靈活的考慮，配置 routes 選項，

4.4 測驗路由轉發

啟動 shop-api-gateway 和 shop-product 微服務，測驗路由功能

網關服務啟動在 7000 埠上，服務也成功注冊到 Nacos 上：


請求網關服務，獲取商品資訊：


可以看到，網關服務從 Nacos 上獲取商品微服務的 ip 資訊成功，并且路由成功轉發，并回傳了商品資訊，

五、Gateway 執行流程

路由（route）是 gateway 中最基本的組件之一，表示一個具體的路由資訊載體，主要定義下面幾個資訊：

• id ，路由標識，區別其他 route
• uri ， 路由指向的目的 uri，即客戶端請求最終轉發到的微服務
• order，用于多個 route 之間的排序，數值越小匹配的優先級越高
• predicate， 斷言的作用是進行條件判斷，只有斷言都回傳 true ，才能真正的執行路由
• filter，過濾器用于修改請求和回應資訊

路由的執行流程

1. 客戶端向 Gateway Server 發起請求
2. 請求首先被 HttpWebHandlerAdapter 進行提取，組裝成網關背景關系
3. 然后網關的背景關系會傳遞到 DispatcherHandler，它負責將請求分發給 RoutePredicateHandlerMapping
4. RoutePredicateHandlerMapping 負責路由查找，并根據路由斷言判斷路由是否可用
5. 若斷言成功，由FilteringWebHandler 創建過濾器鏈并呼叫
6. 請求會依次經過 PreFilter --> 微服務–> PostFilter 的方法，最終回應回客戶端

六、Gateway 斷言

Predicate 斷言，用于進行條件判斷，只有斷言都回傳真，才會真正的執行路由，
簡單的說，斷言就是用來判斷在什么條件下才能進行路由轉發，

6.1 內置路由斷言工廠

1、 基于 Datetime 型別的斷言工廠
此型別斷言根據時間做判斷，主要有三個：
AfterRoutePredicateFactory：接收一個日期引數，判斷請求日期是否晚于指定日期
BeforeRoutePredicateFactory：接收一個日期引數，判斷請求日期是否早于指定日期
BetweenRoutePredicateFactory：接收兩個日期引數，判斷請求日期是否在指定日期之間

-After=2019-12-31T23:59:59.789+08:00[Asia/Shanghai]

2、基于遠程地址的斷言工廠
RemoteAddrRoutePredicateFactory: 接收一個IP 地址，判斷請求主機地址是否在地址段中

-RemoteAddr=192.168.1.1/24

3、基于 Cookie 的斷言工廠
CookieRoutePredicateFactory：接收兩個引數，cookie 名字和一個正則運算式，判斷請求 cookie 是否具有給定名稱且值與正則運算式匹配

-Cookie=chocolate, ch.

4、基于 Header 的斷言工廠
HeaderRoutePredicateFactory ：接收兩個引數，標題名稱和正則運算式，判斷請求 header 中是否具有給定名稱且值與正則運算式匹配，

-Header=X-Request-Id,\d+

5、基于權重的斷言工廠
WeightRoutePredicateFactory：接收一個[組名, 權重]，然后對于同一個組內的路由按照權重轉發，例如下面的例子中，有兩個路由規則 weight_route1和weight_route2，根據 Weight 的配置資訊，兩個路由位于 同一group3中，根據權重，按照 1:9 的比例轉發請求，

routes:
-id:weight_route1
uri:host1
predicates:
-Path=/product/**
-Weight=group3,1
-id:weight_route2
uri:host2
predicates:
-Path=/product/**
-Weight=group3,9

6、其他型別的斷言工廠
篇幅有限，以下是 Gateway 內置的全部斷言工廠，它們都繼承自 AbstractRoutePredicateFactory，從命名就可以大體猜出它們的使用場景：

HeaderRoutePredicateFactory
PathRoutePredicateFactory
BeforeRoutePredicateFactory
CloudFoundryRouteServiceRoutePredicateFactory
QueryRoutePredicateFactory
RemoteAddrRoutePredicateFactory
MethodRoutePredicateFactory
CookieRoutePredicateFactory
WeightRoutePredicateFactory
AfterRoutePredicateFactory
BetweenRoutePredicateFactory
HostRoutePredicateFactory
ReadBodyPredicateFactory

6.2 自定義路由斷言工廠

自定義一個路由斷言，要求實作只允許年齡在 18 ~ 60 的請求訪問，

1、宣告一個斷言

2、自定義斷言工廠
創建一個專用的 predicates 包，用于存放各種斷言工廠類，然后創建 AgeRoutePredicateFactory：

@Component
public class AgeRoutePredicateFactory extends AbstractRoutePredicateFactory<AgeRoutePredicateFactory.Config> {
    
    public AgeRoutePredicateFactory() {
        super(AgeRoutePredicateFactory.Config.class);
    }
    
    public List<String> shortcutFieldOrder() {
        return Arrays.asList("minAge", "maxAge");
    }
    
    public Predicate<ServerWebExchange> apply(AgeRoutePredicateFactory.Config config) {
        return new Predicate<ServerWebExchange>() {
            @Override
            public boolean test(ServerWebExchange serverWebExchange) {
                String ageStr = serverWebExchange.getRequest().getQueryParams().getFirst("age");
                if (!StringUtils.isEmpty(ageStr)) {
                    Integer age = Integer.valueOf(ageStr);
                    return age >= config.getMinAge() && age <= config.getMaxAge();
                }
                
                return false;
            }
        };
    }
    
    @Data
    @NoArgsConstructor
    public static class Config {
        private int minAge;
        private int maxAge;
    }
}

代碼邏輯基本可以參考已有的 AbstractRoutePredicateFactory 的內置實作類，apply 方法是主要回傳一個函式介面 Predicate，可以使用Lambda運算式， ServerWebExchange 是一個可以從中取出 請求Request 的物件，剩下的，就是進行 Request 中的各種判斷邏輯了，上述代碼示例中只是簡單的從請求中取出 age 屬性，判斷年齡區間是否符合配置條件，

3、測驗
啟動 nacos，將 gateway 和 product 微服務都注冊上去，然后分別嘗試請求 不同的 age 屬性：


只要在 18 ~ 60 之間的 age 屬性，都可以請求成功，反之則路由攔截，說明我們的 斷言生效了，

七、Gateway 過濾器

過濾器的作用，就是在請求的傳遞程序中，對請求和回應物件做一些手腳，
在 Gateway 中，過濾器的生命周期只有兩個：pre 和 post，

• pre：這種過濾器在請求被真正轉發之前呼叫，可以利用這種過濾器實作身份驗證、在集群中選擇請求的微服務（負載均衡）、記錄除錯資訊等，

• post：這種過濾器在gateway 收到微服務的回應之后執行，這種過濾器可用來為回應添加標準的 http header、收集統計資訊和指標、將回應從微服務發送到客戶端等，
  
  Gateway 的 Filter 從作用范圍可分為 GatewayFilter 和 GlobalFilter，

• GatewayFilter ：應用到單個路由或一個分組的路由上

• GlobalFilter：應用到所有路由上

7.1 區域過濾器

7.1.1 內置區域過濾器

過濾器的用法和斷言類似，所有的內置過濾器名稱都遵循 ：配置 + GatewayFilterFactory ，這樣的格式，

內置區域過濾器有很多，都繼承自 AbstractGatewayFilterFactory，以 SetStatusGatewayFilterFactory 為例，演示一下 SetStatus 過濾器的用法，

使用 SetStatus 可以修改回應碼：

spring:
  cloud:
    gateway:
      routes:
        - id:
          uri: 
          ## 其他屬性...
          filters: # 過濾器，在請求傳遞程序中，對請求做一些手腳
            - SetStatus=222 # 將回應碼改為 222

7.1.2 自定義區域過濾器

1、添加一個日志級別過濾器
該過濾器并沒有什么實質的意義，只是用于演示過濾器的自定義邏輯：

spring:
  cloud:
    gateway:
      routes:
        - id:
          uri: 
          ## 其他屬性...
          filters: # 過濾器，在請求傳遞程序中，對請求做一些手腳
            - Log=true,false # Log=consoleLog,cacheLog 開啟consoleLog，不開啟cacheLog

2、撰寫過濾器工廠類

@Component
public class LogGatewayFilterFactory extends AbstractGatewayFilterFactory<LogGatewayFilterFactory.Config> {
    
    public LogGatewayFilterFactory() {
        super(LogGatewayFilterFactory.Config.class);
    }
    
    public List<String> shortcutFieldOrder() {
        return Arrays.asList("consoleLog", "cacheLog");
    }
    
    public GatewayFilter apply(LogGatewayFilterFactory.Config config) {
        return new GatewayFilter() {
            @Override
            public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
                if (config.isConsoleLog()) {
                    System.out.println("consoleLog 開啟了");
                } else if (config.isCacheLog()) {
                    System.out.println("cacheLog 開啟了");
                }
                // 將過濾器鏈傳遞下去
                return chain.filter(exchange);
            }
        };
    }
    
    @Data
    @NoArgsConstructor
    public static class Config {
        private boolean consoleLog;
        private boolean cacheLog;
    }
}

3、測驗
請求網關路由介面，后臺觀察日志：

7.2 全域過濾器

全域過濾器作用于所有路由，無需配置，通過全域過濾器可以實作對權限的統一校驗，安全性驗證等功能，

7.2.1 內置全域過濾器

7.2.2 自定義全域過濾器

自定義全域鑒權過濾器，

如上圖所示，當客戶端第一次訪問的時候，網關服務會先去授權中心請求登錄授權，并頒發token憑證，然后客戶端每次訪問微服務的時候，就攜帶 token 進行請求，那么在網關中，我們就可以自定義一個全域的鑒權過濾器，來完成第一次請求的鑒權作業，

這里簡單實作鑒權的邏輯，頒發憑證等更細節的內容不做展開，

1、自定義全域過濾器類

@Component
public class AuthGlobalFilter implements GlobalFilter, Ordered {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String token = exchange.getRequest().getQueryParams().getFirst("token");
        if (!StringUtils.equals("admin", token)) {
            System.out.println("鑒權失敗！");
            exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
            return exchange.getResponse().setComplete();
        }
        // 呼叫 chain.filter 繼續向下執行
        return chain.filter(exchange);
    }
    
    @Override
    public int getOrder() {
        return 0;
    }
}

2、測驗鑒權過濾
全域過濾器無需配置，自動生效，我們寫好 AuthGlobalFilter 之后，將其注冊到 Spring 容器中即可，打開瀏覽器訪問路由介面，發現，回傳結果為 401：

若添加 token=admin，則可以訪問成功：

八、網關限流

官方檔案：網關限流

網關是所有請求的公共入口，所以可以在網關進行限流，本節采用 Sentinel 組件來實作網關限流，Sentinel 支持對 Spring Cloud Gateway、Zuul 等主流網關進行限流，

從 1.6.0 版本開始，Sentinel 提供了 Spring Cloud Gateway 的適配模塊，可以提供兩種資源緯度的限流：

1. route 緯度：即在Spring 組態檔中配置路由條目，資源名為對應的 routeId
2. 自定義API緯度：用戶可以利用 Sentinel 提供的 API 來自定義一些 API 分組

8.1 route緯度的網關限流

1、在服務網關模塊加入 sentinel 的網關適配依賴

 <dependency>
     <groupId>com.alibaba.csp</groupId>
     <artifactId>sentinel-spring-cloud-gateway-adapter</artifactId>
 </dependency>

2、撰寫配置類
基于 Sentinel 的 Gateway 限流是通過其提供的 Filter 來完成的，使用時只需要注入對應的 SentinelGatewayFilter 實體以及 SentinelGatewayBlockExceptionHandler 實體即可，

@Configuration
public class GatewayConfiguration {

    private final List<ViewResolver> viewResolvers;
    private final ServerCodecConfigurer serverCodecConfigurer;

    public GatewayConfiguration(ObjectProvider<List<ViewResolver>> viewResolversProvider,
                                ServerCodecConfigurer serverCodecConfigurer) {
        this.viewResolvers = viewResolversProvider.getIfAvailable(Collections::emptyList);
        this.serverCodecConfigurer = serverCodecConfigurer;
    }

    @Bean
    @Order(Ordered.HIGHEST_PRECEDENCE)
    public SentinelGatewayBlockExceptionHandler sentinelGatewayBlockExceptionHandler() {
        // Register the block exception handler for Spring Cloud Gateway.
        return new SentinelGatewayBlockExceptionHandler(viewResolvers, serverCodecConfigurer);
    }

    @Bean
    @Order(Ordered.HIGHEST_PRECEDENCE)
    public GlobalFilter sentinelGatewayFilter() {
        return new SentinelGatewayFilter();
    }
}

8.2 自定義 API 分組的網關限流

官方參考檔案：網關限流

8.3 網關流控實作原理

當通過 GatewayRuleManager 加載網關流控規則（GatewayFlowRule）時，無論是否針對請求屬性進行限流，Sentinel 底層都會將網關流控規則轉化為熱點引數規則（ParamFlowRule），存盤在 GatewayRuleManager 中，與正常的熱點引數規則相隔離，轉換時 Sentinel 會根據請求屬性配置，為網關流控規則設定引數索引（idx），并同步到生成的熱點引數規則中，

外部請求進入 API Gateway 時會經過 Sentinel 實作的 filter，其中會依次進行 路由/API 分組匹配、請求屬性決議和引陣列裝，Sentinel 會根據配置的網關流控規則來決議請求屬性，并依照引數索引順序組裝引數陣列，最終傳入 SphU.entry(res, args) 中，Sentinel API Gateway Adapter Common 模塊向 Slot Chain 中添加了一個 GatewayFlowSlot，專門用來做網關規則的檢查，GatewayFlowSlot 會從 GatewayRuleManager 中提取生成的熱點引數規則，根據傳入的引數依次進行規則檢查，若某條規則不針對請求屬性，則會在引數最后一個位置置入預設的常量，達到普通流控的效果，

8.4 網關流控控制臺

Sentinel 1.6.3 引入了網關流控控制臺的支持，用戶可以直接在 Sentinel 控制臺上查看 API Gateway 實時的 route 和自定義 API 分組監控，管理網關規則和 API 分組配置，

在 API Gateway 端，用戶只需要在原有啟動引數的基礎上添加如下啟動引數即可標記應用為 API Gateway 型別：

# 注：通過 Spring Cloud Alibaba Sentinel 自動接入的 API Gateway 整合則無需此引數
-Dcsp.sentinel.app.type=1

添加正確的啟動引數并有訪問量后，我們就可以在 Sentinel 上面看到對應的 API Gateway 了，我們可以查看實時的 route 和自定義 API 分組的監控和呼叫資訊，并針對其配置規則：

總結

api 服務網關提供統一的服務入口，通過路由、斷言、過濾器，可以實作諸如負載均衡、路由判定、網關限流、鑒權等功能，