在金山办公的开发和落地实践 张强 金山办公 01 前情回顾&增补 02 关于 OpenResty 和 Lua 的思考 03 基于 Apache APISIX 破局 04 解决 Nginx 带来的问题 CONTENT W r i t e h e r e S o m e t h i n g a b o u t 前情回顾 & 增补 01 About •金山办公云原生应用组流量网关 Lead Developer •金山办公作为 Apache APISIX 较早的受益者，使用Apache APISIX 承载百万QPS流量，对 Apache APISIX 做了比较深 入的定制开发 W r i t e h e r e S o m e t h i n g Ab o u t 选择好 router radixtree_uri vs radixtree_host_uri 玩 •Lua 开发环境，特别是 OpenResty 相关的比较弱 •难招人，后端开发转 lua 成本高昂 “A programming language designed primarily for embedded use in applications” Wikipedia - Lua 关于 OpenResty 和 Lua 的思考 Nginx 的设计给 “ 平均水平 ” 终端开发者带来的问题

职在做服务端的开源项目开发。在极客时间专栏著有OpenResty从入门到实战。 我们发现很多应用和服务都在向微服务、容器迁移, 形成新的云原生时代。云原生是未来五到十年一个 非常大的一个技术的一个颠覆, 云原生重写了传统的一些企业的技术架构, 例如云原生中的K8S颠覆了传 统操作系统, 所有的"主机"(node上的容器)由k8s来控制和编排, 非常适用于公有云、私有云、混合云等 各种环境。云原生体系的特点之一就是由各种开源项目组成 公司愈早的占据技术顶峰愈是能够占据商业顶峰。网关作为云原生入口, 是掌握云原生的一个必经 之地, 是开启"财富"的密钥。 微服务和 API 网关的演进 从2014-2015年, 谷歌搜索引擎上"微服务"关键字的搜索趋势直线上 升 在单体架构上, 任一请求都会负载到整个的单体服务集群上 在微服务架构上, 对应请求会负载到对应的微服务子服务集群上 微服务的精细管理带来服务的弹性伸缩、开发团队变得敏捷、服务之 之 间隔离、降低故障率 但是同样的带来的一些问题: 接口之间通用的功能重复开发、膨胀的 服务数量、难以管理 使用API网关模式 使用API网关进行API聚合 使用API网关实现灰度发布 使用API网关实现服务熔断 与传统API网关的功能 • 让 API 请求更安全、更高效的得到处理 • 覆盖 Nginx 的所有功能：反向代理、负载均衡 • 动态上游、动态 SSL

N I N G S 技术平台室成立 服务化平台建设（脚手架、 链路、监控、配置中心） 容器云建设 DevOps平台建设 2 0 1 9 2 0 2 0 容器云、服务化平台与 Devops推广，覆盖全部自研 系统 O U R B E G I N N I N G S 启动应用上云战略 服务网格建设 中间件PaaS规划 DBaaS规划 安信PaaS平台规划 API网关规划 2 1 2 0 2 2 安信PaaS平台建设 中间件PaaS建设 DBaaS建设 API网关建设 信创容器云建设 ~ CICD工具链 Docker gRPC框架 为什么选择Apache APISIX 1、高性能 2、可扩展性强，对开发者友好 3、云原生发展规划与安信证券技术路线符合 4、社区活跃 W r i t e h e r e S o m e t h i n g 对接内部告警平台 初始化 upstream 和 API service1 service2 service3 service1/* service2/* service3/* DB 中间件 发布 环境选择 （sit、uat、prd） APISIX 初始化 一些思考 03 落地实践、用户反馈 独立集群：提供镜像，用户自主管理；学习成本高；运维成本高 共享集群：降低运维成本；故障风险扩大；用户信息安全

Apache APISIX 是什么？ • 云原生微服务 API 网关 • 基于 Nginx 和 etcd 实现 • 集成了控制面和数据面 • 提供灵活的插件机制 • 动态上游、动态路由、插件热加载 快速的成长 • 6 月 6 号开源 • 7 月被纳入 CNCF 全景图 • 8 月首家付费央企 • 9 月贝壳找房上生成环境，每日处理近 3 亿流量 • 10 月进入 主动/被动健康检查、服务熔断 云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> gRPC）、websocket • 身份认证：OpenID Relying Party、OP（Auth0、okta…） • Serverless • 高性能、无状态、随意扩容和缩容 • 支持多云、混合云 • 容器优先，Kubernetes 插件成为零信任网关 愿景：快速处理所有业务流量 微服务的演进史 1. 从单体到微服务 痛点：大量的重复开发 技术变革：容器 2. 微服务从类库到 proxy • Spring CLoud • Dubbo 痛点：语言绑定、升级难 3. 微服务从 proxy 到 sidecar • 技术变革：云原生 • proxy 的痛点：路由、上游、证书等不能动态 4. 从 sidecar 到 Service

Apache APISIX 是什么？ • 云原生微服务 API 网关 • 基于 Nginx 和 etcd 实现 • 集成了控制面和数据面 • 提供灵活的插件机制 • 动态上游、动态路由、插件热加载 快速的成长 • 6 月 6 号开源 • 7 月被纳入 CNCF 全景图 • 8 月首家付费央企 • 9 月贝壳找房上生成环境，每日处理近 3 亿流量 • 10 月进入 主动/被动健康检查、服务熔断 云原生下的新功能 • 对接 Prometheus、Zipkin、Skywalking • gRPC 代理和协议转换（REST <=> gRPC）、websocket • 身份认证：OpenID Relying Party、OP（Auth0、okta…） • Serverless • 高性能、无状态、随意扩容和缩容 • 支持多云、混合云 • 容器优先，Kubernetes 插件成为零信任网关 愿景：快速处理所有业务流量 微服务的演进史 1. 从单体到微服务 痛点：大量的重复开发 技术变革：容器 2. 微服务从类库到 proxy • Spring CLoud • Dubbo 痛点：语言绑定、升级难 3. 微服务从 proxy 到 sidecar • 技术变革：云原生 • proxy 的痛点：路由、上游、证书等不能动态 4. 从 sidecar 到 Service

是当前最为流行的服务网格方案  社区活跃  几乎所有主流云厂商都对 istio 有支持  基于 istio 做商业支持的公司也很多，比如 tetrate， solo APISIX作为Istio数据面  使用动态库的方式加载到APISIX 与APISIX生命周期一致 转换 xDS 协议  资源消耗可控  APISIX原生支持 增加了xds discovery  配合CRD进行扩展 配合CRD进行扩展 Apache APISIX  高性能云原生网关  数据面和控制面分离  强大的扩展能力  丰富的生态集成 Apache APISIX的应用案例 https://apisix.apache.org/zh/blog/tags/case-studies/ APISIX Service Mesh Amesh 基于 Apache APISIX 实现 Service Mesh 解决方案 lua 易学易懂  二次开发相比 C++ 要简单许多 强大的扩展/定制化能力  配合CRD进行扩展，更灵活 更原生 不侵入Istio原有配置 降低用户迁移成本/减少冲突可 能 通过 controller 与 amesh 进行 配置推送 强大的扩展/定制化能力  APISIX 官方提供 80+ 插件  支持自定义插件，并且快速集成  支持多语言开发  golang  python

⾼性能API管理测试
产品评估：API7和Kong企业版
1
-
摘要3
2
-
云上的API
管理5
API76
图1.
API7技术架构7
Kong
企业版7
3
-
GigaOm
API负载测试设置9
API
压⼒测试9
测试环境10
单节点10
环境清单10
软件版本信息11
4
-
测试结果12
图2.
空转时的压⼒测试
API
的基线延迟12
本报告重点介绍了部署在云上的API管理平台。云让企业通过微服务快速地构建差异和创新，在⼏分钟 内就能完成API节点的克隆和扩展。与本地部署相⽐，云有良好的扩展性，能更快地进⾏服务器部署和 应⽤程序开发，且能降低计算成本的开销。 更重要的是，许多组织也依赖API和微服务来实现⾼性能和可⽤性。在本⽂中，我们将“⾼性能”定义 为每秒负载超过1000个交易且在整个API环境中最⼤延迟⼩于30毫秒。对公司⽽⾔，对性能的需求和 99
%
的情况API7的延迟⽐Kong
EE低14倍。API7和Kong
EE⼆者百分⽐越⾼延迟差异越明显。在 我们所有的测试中，最⼤延迟差异体现得最明显的是达到
99.9%
和99.99%
的请求时。
云上测试软硬件是⾮常具有挑战性的。在可⽤性、虚拟机处理器、内存、最佳输⼊/输出的存储、⽹络 延迟、软件和操作系统版本以及负载这些⽅⾯的配置可能会有利于其中⼀⽅。更具挑战性的是测试完 全托管的服务产品

What we did in APISIX V2 02 • 丰富插件 • 70+ 生态丰富 • 开箱即用 • 生态丰富 • 全平台支持 • 裸金属、虚拟、容器、K8s • 全流量 • 开发者友好 • 多语言 Runner • Wasm 插件 • 全球最活跃 API 网关 • 每月一个版本 • 全球最活跃 API 网关 • 每月一个版本 • APISIX Way -> Proxy m e t h i n g a b o u t APISIX Way == Community Way • 基金会项目 • 安全 • 稳定 • 高性能 • 动态 • 社区活跃 • 云原生架构 • 多语言 • 插件编排 • Loadbalancer • API 网关 • K8s Ingress • 服务网格 全流量 • 多种配置中心 • 智能诊断 易用 全生命周期生态

可根据您的实际情况进⾏选择。此外，企业⽤⼾只需关注业务本⾝，与业务⽆关的⼤部分功能交给
API7
内置插件即可实现，如⾝份验证、性能分析等。
1.2
技术亮点
图
1-2
API7
技术亮点
云原⽣ 1. API7
是⼀个云原⽣⽹关，与平台⽆关，没有供应商锁定的⻛险。它⽀持裸⾦属、虚拟机、 Kubernetes、OpenShift、ARM64
等。此外，API7
也可轻松与其它组件对接，如
SkyWalking、 ⽤⼾与⻆⾊绑定，可实现针对某类⽤⼾细粒度的权限管控； • 多租⼾（多⼯作分区）：⽀持基于⼯作分区隔离的多租⼾模型，管理员可创建不同的⼯作分区，并 指定哪些⽤⼾对⼯作分区有哪些资源的访问权限； • 多环境：⽀持多
ETCD
集群，集群之间数据不共享；
• ⾝份验证：包含多种认证类插件，如
basic-auth、jwt-auth、key-auth、wolf-rbac
等。此外，借 助内置的
HM 虚拟机
✔
✔
✔
✔
✔
Kubernetes
✔
✔
✔
✔
✔
ARM64
✔
✔
✔
✔
✔
鲲鹏（通过华为云认证）
✔
✖
✖
✖
✖
AWS、GCP、阿⾥云、腾讯云等公有云
✔
✔
✔
✔
✔
精细化路 由
URI
参数匹配
✔
✔
✔
✔
✔
HTTP
请求头匹配
✔
✔
✖

有了 NGINX 和 Kong 为什么还需要 Apache APISIX 演讲⼈：王院⽣@深圳⽀流科技公司 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 有了 NGINX 和 Kong 为什么还需要 Apache APISIX？ 王院⽣@⽀流科技 ⽬录 1. 个⼈和公司介绍 2. Apache APISIX 未来计划 CONTENTS 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 王院⽣ Apache APISIX Founder & PMC 《OpenResty 最佳实践》作者 深圳⽀流科技创始⼈ & CTO 云 原 ⽣ 社 区 M e e t u p 第 四 期 · 投资⽅：真格基⾦，真成投资，顺为资本 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 ⽀流科技 • 开源爱好者 • Apache APISIX、Apache SkyWalking、NGINX、 Kubernetes 等贡献者构成 • 中美远程协作，没有 996 • 分布中国 9 个不同城市 • ⼀家绝对技术说了算的公司 云 原 ⽣ 社 区 M e e t u p