介绍
 
Zuul是Netflix开源的微服务网关，在Netflix经过大规模生产验证，在业界很多公司有落地案例。
 
本文介绍Zuul网关的一些生产部署实践。
 
Zuul参考部署架构
 
 
上图是一个可供参考的Zuul部署架构，总体可以简化为一个三层架构：
 
第一层、负载均衡LB
 
Zuul网关本身无状态，以集群方式部署，它的前端需要负载均衡LB支持。在AWS云中，经常使用ELB作为负载均衡器，这个也是Netflix的做法。一般企业如果自建数据中心，则经常采用Nginx作为反向代理对Zuul网关进行负载均衡，Nginx是7层负载均衡器，本身也需集群部署，一般前端还需要4层负载均衡，例如使用软件LVS或者硬件F5等。
 
第二层、Zuul网关层
 
网关无状态以集群方式部署，一个集群规模小的有几台Zuul实例，大的可以有几十甚至上百个Zuul实例。
 
Zuul网关一般根据业务场景以分集群方式部署，例如上图中：
 
无线网关集群，接入无线应用的API调用流量，例如对应域名 api.mobile.xxx.com，Nginx会把对该域名的访问转发到无线网关集群。
H5网关集群，接入H5应用的API调用流量，例如对应域名 api.h5.xxx.com，Nginx会把对该域名的访问转发到H5网关集群。
开放平台网关集群，接入第三方应用的API调用流量，例如对应域名 api.open.xxx.com，Nginx会把对该域名的访问转发到开放平台网关集群。
 
另外，企业还可根据需要增加联盟商网关集群，要求严格安全的PCI兼容网关集群等，分别针对不同的业务接入需求。
 
第三层、内部微服务
 
这个是企业内部微服务的统称，既可以是前端聚合服务，也可以是后台基础服务。关于网关如何发现和路由到内部微服务，请参考我上一篇文章《微服务架构~Zuul网关路由管理实践》。
 
另外，Zuul网关支持动态过滤器脚本(Groovy)上传机制，可以灵活更改网关逻辑。过滤器脚本建议集中管理，需要开发一套过滤器集中管理站点，统一管理针对不同网关集群的过滤器。
 
 
上图是一个可以参考的过滤器管理界面，支持过滤器的上传/灰度/上下线等动作，管理员通过该界面可以集中管理针对无线网关/H5网关/第三方网关的过滤器。
 
各网关集群会定期到过滤器管理中心拉取对应的最新的过滤器。
 
Zuul生产级部署实践
 
 
如上节所述，Zuul网关本身的部署并不复杂，但是要生产级地(production ready)使用Zuul网关，周边仍需众多的配套服务进行支持，其中很多服务是和运维Ops治理监控相关，如上图所示，这些支持服务主要包括：
 
授权认证中心：对某些安全敏感的API进行Token校验，校验通过才能放行。
配置中心：例如使用Apollo，能够动态修改网关上的配置(连接数、超时熔断阀值等)，并且一键修改实时生效。
Hystrix Dashboard和Turbine：Zuul网关一般集成Hystrix熔断组件，Hystrix能够实时吐出性能Metrics，Turbine能够对Hystrix Metrics Stream按集群进行聚合，并展示在Hystrix Dashboard上。Turbine如何发现网关集群的实例？一种方案是在Turbine上静态配置ip，这种方案简单但是不太灵活。另外一种方案是使用Eureka自注册自发现，网关启动时自动注册到Eureka上，Turbine再从Eureka自动发现网关实例地址，这种方案比较灵活，网关扩缩容Turbine能自动感知。
BotBlocker防爬虫系统：所有API调用流量经过网关门口，可以采集所有访问日志，通过后台BotBlocker防爬虫防攻击系统分析爬虫和攻击等恶意行为，计算出恶意用户或者ip，再反馈给网关系统block对应的恶意用户或ip。
调用链监控系统：例如集成CAT，让网关成为调用链发起的入口，并且和后台的服务调用链(后台服务、缓存，数据库等)打通，这样可以比较直观的查看端到端的微服务调用性能状况。
ELK日志系统：采集访问日志和错误日志，供后续进一步分析。
Metrics监控系统，例如采用KairosDB等时间序列数据库，可以在调用链的基础上做更细粒度的Metrics监控，例如Zuul网关本身也提供丰富的Metrics。
告警系统：例如集成ZMon，通过主动check的方式，时刻检查网关的健康状况，如有异常立刻报警。
 
 
网关是API流量入口，是对微服务系统健康状况的集中和最佳观测点。上图是一个通过Hystrix Dashboard对网关集群进行实时监控的案例，展示每个通过网关的API的实时流量(10秒窗口)情况，可看成功/失败/超时，性能和集群等的流量情况。如果发生熔断，则Hystrix Dashboard上对应的API会直接飙红，提示报警干预。
 
结论
 
Zuul网关一般针对不同的应用场景(无线/H5/开放平台等)分集群部署，前端依赖LB做负载均衡。建议部署集中式的过滤器管理站点，对不同网关集群的过滤器进行集中管理，这样可灵活调整网关的运行时逻辑。
对于生产级(production ready）的网关部署，周边需要很多配套的支持服务，这些服务大多和运维Ops相关，例如配置，监控和告警等。
网关是API流量入口，是对微服务系统健康状况的集中和最佳观测点。
2018年，波波在极客时间上的课程《微服务架构和实践160讲》，第三模块是《微服务网关Zuul架构和实践》，对Zuul网关的架构、源码和生产实践等内容进行深度剖析，欢迎关注。

 
 

  
上网行为管理网关对于网络管理，局域网部署，网络传输都是完爆路由的，随着原材料开放最大化，生产力提高，硬件设备的成本也逐步降低，普及也越来越广。（例如电器的价格越来越低）上网行为管理网关部署也将成为一个趋势，因为网关除了拥有专业路由的功能以外，专业网络管理功能，专业防火墙功能，这个都是路由硬件芯片做不到的。作为上网行为管理设备应该如何网关部署呢？其实很简单，就是类似路由部署。
  
WSG上网行为管理网关置于出口，所有数据流直接经由设备端口通过，适合可更改网络架构的客户。在此模式设备的所有功能都有效，包括防火墙、NAT、路由、流量控制/带宽管理、上网行为管理、内容过滤、用户访问控制、数据中心、统计报告、、应用层×××等。
  

  
WSG设备配置如图即可，界面配置简单，易操作：
  

  
网关部署好处很明显，物尽其用，局域网内，网络设备数。上网路由只是普通企业路由，完全可以被上网行为管理网关取代，做到全方位上网行为管理，网络管控。

  


 
 
 
转载于:https://blog.51cto.com/12800391/1966385

 
kong网关集群部署
 
机器准备
节点A部署
1.安装依赖组件
2.安装postgresql
3.创建kong数据库
4.安装kong
5.安装可视化界面konga
6.konga部署在生产环境
  
节点B部署
1.安装kong
  
测试集群效果

 
机器准备
 
节点A 192.168.0.1
 节点B 192.168.0.2
 
节点A部署
 
1.安装依赖组件
 
yum -y install gcc-c++
yum -y install pcre pcre-devel
yum -y install zlib zlib-devel
yum -y install openssl openssl-devel
yum -y install wget
 
2.安装postgresql
 
下载安装
 因为kong的界面系统konga 0.14不支持v12版，只能安装v11版
 
yum install https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm
yum install -y postgresql11 postgresql11-server
 
初始化
 
/usr/pgsql-11/bin/postgresql-11-setup initdb
 
允许远程访问
 
vi /var/lib/pgsql/11/data/postgresql.conf

将
#listen_addresses = 'localhost'  
修改为：
listen_addresses = '*'  
 
修改访问验证策略
 
vi /var/lib/pgsql/11/data/pg_hba.conf
修改为
host all all 127.0.0.1/32 trust		//本地访问完全信任
host all all 0.0.0.0/0 md5				//远程访问需要密码
 
启动服务
 
systemctl start postgresql-11
 
设置开机自启动
 
systemctl enable postgresql-11
 
至此数据库已经安装好了
 
3.创建kong数据库
 
进入postgres
 
#sudo -u postgres psql
 
创建用户kong
 
postgres=# create user kong with password '123456'; 
 
如果要修改密码用下面指令
 
postgres=# ALTER USER user_name WITH PASSWORD 'new_password';
 
创建数据库kong
 
postgres=# create database kong owner kong; 
 
把新建的数据库kong权限赋予用户kong
 
postgres=# grant all privileges on database kong to kong; 
 
退出数据库：ctrl+d
 
防火墙打开5432端口
 
firewall-cmd --permanent --add-port=5432/tcp
firewall-cmd --reload
 
4.安装kong
 
下载安装包
 
wget https://kong.bintray.com/kong-rpm/centos/7/kong-2.0.1.el7.amd64.rpm
 
安装
 
yum install epel-release
yum install kong-2.0.1.*amd64.rpm --nogpgcheck
 
配置数据库连接
 
cp /etc/kong/kong.conf.default /etc/kong/kong.conf
vi /etc/kong/kong.conf
修改为
pg_password = 123456 
admin_listen = 0.0.0.0:8001 reuseport backlog=16384, 0.0.0.0:8444 http2 ssl reuseport backlog=16384
 
初始化kong数据库
 
kong migrations bootstrap
 
启动kong
 
kong start
kong stop/restart/reload		//停止/重启/重载
 
测试kong
 
curl -i  http://localhost:8001
 
设置开机自启动
 
systemctl enable kong
 
防火墙打开8000端口
 
firewall-cmd --permanent --add-port=8000/tcp    # 开放8000端口
firewall-cmd --reload
 
5.安装可视化界面konga
 
安装nodejs
 
curl -sL https://rpm.nodesource.com/setup_12.x | bash -
yum install -y nodejs
npm install -g bower
npm install -g gulp
 
安装git
 
yum install -y git
 
安装Konga
 
git clone https://github.com/pantsel/konga.git
cd konga
npm install --save node-sass
npm install --unsafe-perm
 
防火墙打开1337端口
 
firewall-cmd --permanent --add-port=1337/tcp
firewall-cmd --reload
 
开发模式测试一下
 
npm start
 
然后在浏览器里http://节点B的IP:1337，可以打开页面
 
6.konga部署在生产环境
 
在postgres上创建konga数据库
 
sudo -u postgres psql
postgres=# create user kong with password '123456'; 
postgres=# create database konga owner konga ;
postgres=# grant all privileges on database konga to konga;
 
修改konga配置文件
 
#cp .env_example .env
#vi .env
PORT=1337
NODE_ENV=production
KONGA_HOOK_TIMEOUT=120000
DB_ADAPTER=postgres
DB_URI=postgresql://konga:123456@localhost:5432/konga
 
初始化konga数据库
 
node ./bin/konga.js prepare –adapter postgres –uri postgresql://konga:konga-db-pass@192.168.0.1:5432/konga
 
安装pm2运行组件
 
npm install -g pm2
 
用pm2启动konga
 
cd konga
pm2 start app.js --name konga
 
pm2设置开机启动
 
pm2 save
pm2 startup
 
节点B部署
 
1.安装kong
 
下载安装包
 
wget https://kong.bintray.com/kong-rpm/centos/7/kong-2.0.1.el7.amd64.rpm
 
安装
 
yum install epel-release
yum install kong-2.0.1.*amd64.rpm --nogpgcheck
 
配置数据库连接
 
#cp /etc/kong/kong.conf.default /etc/kong/kong.conf
#vi /etc/kong/kong.conf
pg_host=192.168.0.1			//节点A的IP
pg_password = 123456
 
启动kong
 
kong start
 
设置开机自启动
 
systemctl enable kong
 
测试集群效果
 
在节点A添加
 curl -i -X POST --url http://localhost:8001/services/ --data ‘name=example-service’ --data ‘url=http://baidu.com’
 
在节点B查询
 curl http://localhost:8001/services/

加密安全网关使用说明
 
企业内的加密文件有时候需要上传到OA、PLM、SVN等系统中，希望OA等系统中保存的文件是明文的，从OA等系统中下载到本地为加密文件，并希望其它没有允许访问的计算机不可以访问OA等服务器，IP-guard安全网关功能就是为了解决这一问题而诞生的。
 
IP-guard安全网关，可以实现启用安全通讯的加密客户端上传解密下载加密。未启用加密功能的客户端或者未启动安全通讯的加密客户端，不能访问受保护的OA等系统。
 

 
网络架构
 
IP-guard安全网关功能的工作模式为：网桥模式。
 
企业内的网络常见的网络简易拓扑结构：
 
 
 
 
IP-guard的安全网关控制模式：
 
使用网桥模式，可以对网络结构和配置不做任何修改，直接将安全网关控制设备串接进网络中需要进行控制的重要的服务器处，对通过其的网