APACHE APISIX的全流量API网关 温铭, 来自一家在远程工作方式下商业化开源项目的创业公司(支流科技), 担任CEO&联合创始人, Apache 顶级项目APISIX的PMC主席, Skywalking开源项目的贡献者(commiter)。在创业之前, 在360做企业安全, 360开源委员会的发起人, 腾讯的TVP, TARS基金会的TOC成员, 在安全领域有四十多个专利, 最近三年全 毫秒 • 运维友好：Prometheus， SkyWalking，流量复制，故障注入等 技术架构 Apache APISIX 能做什么？ • 处理 L4、L7 层流量：HTTP、HTTPS、TCP、UDP、MQTT、Dubbo、gRPC… • 替代 Nginx 处理南北向流量 • 替代 Envoy 处理服务间东西向流量 • k8s ingress controller • 借助 MQTT 性能（单核，开启两个限流和 prometheus插件） 18000 1700 支持流量量复制和故障 是 否 注⼊ 是 否 支持SkyWalking 是 否 插件热更新 新增、删除、更新插件不用 重载服务 无, 每次都需要重载 服务 二次开发 难度低 难度中等 本地技术支持 有, 1小时响应 无 定期巡检和培训 有 无 基于 Apache APISIX 的全流量网关 Nginx 遇到的挑战 • 社区不活跃：没有 github

Apache APISIX借助ServiceMesh 实现统一技术栈的全流量管理 金卫（API7 解决方案架构师） • 支流科技 - 解决方案架构师 • Apache APISIX PMC • Apache APISIX Ingress Controller Founder • Apache skywalking committer • Github: https://github.com/gxthrj 大纲  Service Mesh 现状和痛点  理想的服务网格应该是什么样  APISIX 在 Service Mesh 上的尝试  未来的展望 Service Mesh 现状和痛点 为什么需要服务网格  将通用能力下沉  应用专注于业务逻辑  注册发现  流量管理  可观测性  安全防护 服务网格的痛点  方案众多，各有缺陷  与基础设施整合成本高  性能损耗 理想的服务网格应该是什么样？ 易于扩展 理想的服务网格 业务无感知 落地成本低 动态且增量配置 安全管控 可观测 流量精细化管理 跨集群部署 性能损耗低 资源消耗低 按需下发配置 理想的服务网格 整体使用体验上 • 学习和上手成本低 • 社区开放、活跃度高 且快速响应 理想的服务网格 控制面 • 易于上手 • 权限安全管控 • 配置方式被大众接受 理想的服务网格 数据面 • 支持多种协议，甚至是自定义协议

发展速度。
API管理解决⽅案不能成为性能瓶颈。许多公司都在寻找跨多个API端点的负载均衡和⾼交易量吞吐的 解决⽅案。如果业务每秒有1000个交易，⼀个⽉内就会有30亿次
API
调⽤。拥有⼤流量的公司通常每 ⽉API调⽤次数超过100亿次。因此，在选择API管理解决⽅案时，性能是⼀个关键因素。
在本⽂中，我们展⽰了使⽤2个全⽣命周期API管理平台完成的性能测试结果：API7
和
Kong
企业版 化和治理标准的机会。此外，也扩⼤了数据交换 范围，从移动技术和智能设备到物联⽹，因为企业可以在任何设备上共享数据。 由于
API
的激增，公司需要管理内外部所依赖的众多服务。API在协议、⽅法、授权/认证和使⽤⽅⾯ 差异很⼤。此外，IT部⻔需要对
API
进⾏精细化控制，限制速率、调⽤次数，制定策略和⽤⼾⾝份识 别来确保⾼可⽤性，防⽌滥⽤和安全漏洞。公开
API
为许多合作伙伴打开了⼤⻔，他们可以在不了解 配置
CPU
内核、内存、存储和 ⽹络，能在操作系统层⾯调整环境。这种⽅法的优点是能在企业内部、私有云、公共云或三者混合的 情况下部署。 公有云
-
完全托管的
API
管理解决⽅案是指开箱即⽤的服务产品。部署通常⼜快⼜⽅便，但缺乏精细 配置和控制的能⼒。通常情况下，底层架构是模糊的，⽤⼾不知道内部的计算能⼒。与
"⾃建
"的⼀个 主要区别是，完全托管的解决⽅案通常要固定在⼀个特定的公有

API
⽹关作为微服务架构中重要组件，是流量的核⼼出⼊⼝，⽤于统⼀处理和业务相关的请求，可有 效解决海量请求、恶意访问等问题，以保障业务安全性与稳定性。 图
1-1
API7
架构图
上图为
API7
产品中控制平⾯（简称
CP）与数据平⾯（简称
DP）的架构⽰意图，并包含了3个部分：
API
⽹关
1. ⽤于承载并处理业务流量，管理员在配置路由规则后，⽹关将根据预设规则将请求转发⾄上游服务。 求转发⾄上游服务。 此外，借助
API7
内置的
50
多种插件，可实现⾝份验证、安全防护、流量控制、分析监控、请求/响应 转换等常⻅业务需求；若内置插件⽆法满⾜需求，我们也⽀持使⽤
Lua、Java、Go、Python
语⾔⾃ 定义插件，可作⽤于请求进⼊、上游响应各个阶段。 Manager
API
2. ⽤于管理
API
⽹关，通过访问其暴露的
RESTful
API
接⼝以实现对路由、上游、证书、全局插件、消 作⽹关，⽀持监控分析、⽇ 志审计、多租⼾管理、多集群切换、多⼯作分区等能⼒。 1.1
技术架构
数据平⾯ 1. 数据平⾯⽤于接收并处理调⽤⽅请求，使⽤
Lua
与
Nginx
动态控制请求流量。当请求进⼊时，将根据 预设路由规则进⾏匹配，匹配到的请求将被⽹关转发⾄对应上游服务。在此过程中，⽹关有能⼒根据 预设规则中不同插件的配置，使⽤⼀系列插件对请求从进⼊到离开的各个阶段进⾏操作。例如：请求

DevOps平台建设 2 0 1 9 2 0 2 0 容器云、服务化平台与 Devops推广，覆盖全部自研 系统 O U R B E G I N N I N G S 启动应用上云战略 服务网格建设 中间件PaaS规划 DBaaS规划 安信PaaS平台规划 API网关规划 2 0 2 1 2 0 2 2 安信PaaS平台建设 中间件PaaS建设 DBaaS建设 API网关建设 APISIX upstream&API 应用模板 应用发布 安信PaaS平台如何管理APISIX 版本、节点数、资源、配置文件 链路、监控、日志、认证、流控 APISIX 告警模板 对接内部告警平台 初始化 upstream 和 API service1 service2 service3 service1/* service2/* service3/* DB 中间件 发布 环境选择 2、插件场景匹配 3、云原生环境下的问题 下一步 04 共享集群、API市场、请求数据分析... 资源共享、工作分区隔离 中台系统的公共接口，比如日志平台、监控平台、告警平台等的对外接口 接口权限统一管理、流量控制 调用量、异常响应、延迟 Top N... 1、共享集群建设 2、API 市场 3、请求数据分析 4、APISIX-Ingress、APISIX+Istio 感谢聆听 THANKS

CTO What we did in APISIX V2 02 • 丰富插件 • 70+ 生态丰富 • 开箱即用 • 生态丰富 • 全平台支持 • 裸金属、虚拟、容器、K8s • 全流量 • 开发者友好 • 多语言 Runner • Wasm 插件 • 全球最活跃 API 网关 • 每月一个版本 • 全球最活跃 API 网关 • 每月一个版本 • APISIX Way 安全 • 稳定 • 高性能 • 动态 • 社区活跃 • 云原生架构 • 多语言 • 插件编排 • Loadbalancer • API 网关 • K8s Ingress • 服务网格 全流量 • 多种配置中心 • 智能诊断 易用 全生命周期生态 感谢聆听 THANKS

• 动态上游、动态路由、插件热加载 快速的成长 • 6 月 6 号开源 • 7 月被纳入 CNCF 全景图 • 8 月首家付费央企 • 9 月贝壳找房上生成环境，每日处理近 3 亿流量 • 10 月进入 Apache 孵化器，国内唯一由初创公司贡献的项目 • 11 月全面支持 ARM64 平台，并推出 apisix-ingress-controller • 12 月：即将推出新一代微服务架构方案 能做什么？ • 处理 L4、L7 层流量：HTTP、HTTPS、TCP、UDP、MQTT、Dubbo、gRPC… • 替代 Nginx 处理南北向流量 • 替代 Envoy 处理服务间东西向流量 • k8s ingress controller • 借助 MQTT 插件作为 IoT 网关 • 借助 IdP 插件成为零信任网关 愿景：快速处理所有业务流量 微服务的演进史 1. 从单体到微服务 • Service Mesh 想做为基础设施下沉 • Istio + Envoy：控制面和数据面 Service Mesh 不是银弹 • 每个微服务都要带 sidecar • 多次的流量转发，不适合对性能要求高的场景 • 不如 Nginx 稳定 下一代微服务会是怎样？ • 分久必合，抛弃 sidecar • 走向中心节点或者集群的模式 • 也就是下一代网关：全动态、全协议支持、高性能、云原生友好

• 动态上游、动态路由、插件热加载 快速的成长 • 6 月 6 号开源 • 7 月被纳入 CNCF 全景图 • 8 月首家付费央企 • 9 月贝壳找房上生成环境，每日处理近 3 亿流量 • 10 月进入 Apache 孵化器，国内唯一由初创公司贡献的项目 • 11 月全面支持 ARM64 平台，并推出 apisix-ingress-controller • 12 月：即将推出新一代微服务架构方案 能做什么？ • 处理 L4、L7 层流量：HTTP、HTTPS、TCP、UDP、MQTT、Dubbo、gRPC… • 替代 Nginx 处理南北向流量 • 替代 Envoy 处理服务间东西向流量 • k8s ingress controller • 借助 MQTT 插件作为 IoT 网关 • 借助 IdP 插件成为零信任网关 愿景：快速处理所有业务流量 微服务的演进史 1. 从单体到微服务 • Service Mesh 想做为基础设施下沉 • Istio + Envoy：控制面和数据面 Service Mesh 不是银弹 • 每个微服务都要带 sidecar • 多次的流量转发，不适合对性能要求高的场景 • 不如 Nginx 稳定 下一代微服务会是怎样？ • 分久必合，抛弃 sidecar • 走向中心节点或者集群的模式 • 也就是下一代网关：全动态、全协议支持、高性能、云原生友好

S o m e t h i n g a b o u t 前情回顾 & 增补 01 About •金山办公云原生应用组流量网关 Lead Developer •金山办公作为 Apache APISIX 较早的受益者，使用Apache APISIX 承载百万QPS流量，对 Apache APISIX 做了比较深 入的定制开发 W r i t e h e r e S o m e t h

州 站 APISIX：全流量数据⾯ • LB: APISIX • 南北 API ⽹关：APISIX • K8s ingress：APISIX Ingress • Java ⽹关：Java plugin runner • 服务⽹格 Sidecar：APISIX Mesh 云 原 ⽣ 社 区 M e e t u p 第 四 期 · ⼴ 州 站 APISIX：全流量数据⾯ • 统⼀数据⾯基础设施