三、Kong Admin API

部署好 Kong 之后，則需要將我們自己的接口加入到 Kong 的中管理，Kong 提供了比較全面的RESTful API，每個版本會有所不同，詳細可以參考官網：docs.konghq.com/2.0.x/admin… 。Kong 管理 API 的端口是 8001（8444），服務、路由、配置都是通過這個端口進行管理，所以部署好之后頁面可以直接訪問 http://102.168.1.200:8001

這里我們先來了解一下如何使用 RESTful 管理接口來管理 Service (服務)、Route（路由）。

1. 添加一個Service

curl -i -X POST http://localhost:8001/services --data 'name=hello-service' --data 'url=http://localhost:9000/hello'

curl -i -X POST --url http://localhost:8001/services/ --data 'name=example-service' --data 'url=http://www.baidu.com/'

2.查詢Service

curl http://192.168.1.200:8001/services/hello-service
  curl -i -X POST --url http://localhost:8001/services/example-service/routes --data 'hosts[]=example.com'

3.為 Service 添加一個 Route

curl -i -X POST --url http://192.168.1.200:8001/services/hello-service/routes  --data 'paths[]=/hello' --data name=hello-route

4.測試

我們可以通過訪問 http://192.168.1.200:8000/hello 來驗證一下配置是否正確。

Kong代理：
 url http://192.168.1.200:8000/hello
 Hello world !

真實服務： http://192.168.1.200:9000/hello/

前面的操作就等效于配置 nginx.conf：

server {
   listen 8000;
   location /hello {
     proxy_pass http://192.168.1.200:9000/hello;
   }
 }

不過，前面的配置操作都是動態的，無需像 Nginx一樣需要重啟。

Service是抽象層面的服務，它可以直接映射到一個物理服務，也可以指向一個Upstream（同Nginx中的Upstream，是對上游服務器的抽象）。Route是路由的抽象，它負責將實際的請求映射到 Service。除了Serivce、Route之外，還有 Tag、Consumer、Plugin、Certificate、SNI、Upstream、Target等，讀者可以從 官網的介紹文檔 中了解全貌。

下面在演示一個例子，修改 Service，將其映射到一個 Upstream：

添加 name為 hello-upstream 的 Upstream

curl -i -X POST http://192.168.1.200:8001/upstreams --data name=hello-upstream

為 mock-upstream 添加 Target，Target 代表了一個物理服務（IP地址/hostname + port的抽象)，一個Upstream可以包含多個Targets

curl -i -X POST http://192.168.1.200:8001/upstreams/hello-upstream/targets  --data target="192.168.1.200:9000"

修改 hello-service，為其配置

curl -i -X PATCH  http://192.168.1.200:8001/services/hello-service --data url='http://hello-upstream/hello'

上面的配置等同于 Nginx 中的nginx.conf配置 ：

upstream hello-upstream{
   server 192.168.1.200:8001;
 }

 server {
   listen 8000;
   location /hello {
     proxy_pass http://hello-upstream/hello;
   }
 }

這里的配置我們也可以通過管理界面來操作。上面操作完之后，在Konga中也有相關信息展示出來：

四、Kong Plugins

Kong通過插件Plugins實現日志記錄、安全檢測、性能監控和負載均衡等功能。下面我將演示一個例子，通過啟動 apikey 實現簡單網關安全檢驗。

1. 配置 key-auth 插件

curl -i -X POST http://192.168.1.200:8001/routes/hello-route/plugins --data name=key-aut

這個插件接收 config.key_names 定義參數，默認參數名稱 ['apikey']。在 HTTP 請求中 header 和 params 參數中包含 apikey 參數，參數值必須 apikey 密鑰，Kong 網關將堅持密鑰驗證通過才可以訪問后續服務。

此時我們使用 curl -i http://192.168.1.200:8000/hello/ 來驗證一下是否生效，如果如下所示，訪問失敗（HTTP/1.1 401 Unauthorized，"No API key found in request" ），說明 Kong 安全機制生效了。

在 Konga 中我們也可以看到相關記錄：

2.為Service添加服務消費者（Consumer）

定義消費者訪問 API Key, 讓他擁有訪問 hello-service 的權限。

創建消費者 Hidden：

curl -i -X POST http://192.168.1.200:8001/consumers/  --data username=Hidden

創建成功之后，返回：

{"custom_id":null,"created_at":1678268549,"id":"e097fc26-ccd0-4fa7-b370-f6eec4797d5f","tags":null,"username":"Hidden"}

之后為消費者 Hidden 創建一個 api key，輸入如下命令：

curl -i -X POST http://192.168.1.200:8001/consumers/Hidden/key-auth/  --data key=123456

{"created_at":1678268632,"consumer":{"id":"e097fc26-ccd0-4fa7-b370-f6eec4797d5f"},"id":"d560969d-ff8b-4204-a09f-3474217a4a29","tags":null,"ttl":null,"key":"123456"}

現在我們再來驗證一下 http://192.168.1.200:8000/hello：

curl -i http://192.168.1.200:8000/hello/ --header "apikey:123456"

返回：

HTTP/1.1 200 OK
 Content-Type: text/html; charset=utf-8
 Content-Length: 14
 Connection: keep-alive
 Date: Tue, 18 Oct 2022 01:32:30 GMT
 Server: WSGIServer/0.1 Python/2.7.5
 X-Frame-Options: SAMEORIGIN
 X-Kong-Upstream-Latency: 13
 X-Kong-Proxy-Latency: 19
 Via: kong/1.5.1

 Hello world !

其他的插件可選

或者進入插件倉庫去了解

https://docs.konghq.com/hub/

Kong 網關插件概括為如下：

• 身份認證插件：Kong 提供了 Basic Authentication、Key authentication、OAuth2.0 authentication、HMAC authentication、JWT、LDAP authentication 認證實現。
• 安全控制插件：ACL（訪問控制）、CORS（跨域資源共享）、動態 SSL、IP 限制、爬蟲檢測實現。
• 流量控制插件：請求限流（基于請求計數限流）、上游響應限流（根據 upstream 響應計數限流）、請求大小限制。限流支持本地、Redis 和集群限流模式
• 分析監控插件：Galileo（記錄請求和響應數據，實現 API 分析）、Datadog（記錄 API Metric 如請求次數、請求大小、響應狀態和延遲，可視化 API Metric）、Runscope（記錄請求和響應數據，實現 API 性能測試和監控）。
• 協議轉換插件：請求轉換（在轉發到 upstream 之前修改請求）、響應轉換（在 upstream 響應返回給客戶端之前修改響應）。
• 日志應用插件：TCP、UDP、HTTP、File、Syslog、StatsD、Loggly 等。

五、總結

Kong 作為 API 網關提供了 API 管理功能及圍繞 API 管理實現了一些默認的插件，另外還具備集群水平擴展能力，從而提升整體吞吐量。Kong 本身是基于 OpenResty，可以在現有 Kong 的基礎上進行一些擴展，從而實現更復雜的特性。雖然有一些特性 Kong 默認是缺失的，如 API 級別的超時、重試、fallback 策略、緩存、API 聚合、AB 測試等，這些功能插件需要企業開發人員通過 Lua 語言進行定制和擴展。綜上所述，Kong API 網關默認提供的插件比較豐富， 適應針對企業級的 API 網關定位。