2.3　项目实践

在项目实践环节，我们会继续沿用第1章的待办任务列表Web应用示例。首先尝试将网关层组件从Kong切换到Nginx，看一下整体的效果变化；然后修改Nginx配置文件，添加黑白名单和限流功能，完善应用场景；最后将网关层组件从Nginx切换到Kong，同时保留这两项功能，对比一下这两个网关组件的异同点。

2.3.1　从Kong切换到Nginx

这里我们着重介绍Nginx的网关层功能，所以基于1.5.2节的示例进行改造，从Kong网关切换到Nginx，以达到同样的效果。项目目录结构调整为：

---

├── Readme.md
├── backend
├── docker-compose.yml
├── frontend
└── nginx-gateway

---

这里我们删除了原有的kong-gateway项目及里面的文件，新增了一个nginx-gateway项目。首先修改docker-compose.yml启动文件，将原先的Kong启动项配置修改为Nginx，如代码清单2-2所示。

程序清单2-2　Nginx启动项配置

---

24  ...
25  ...
26   nginx:
27     build:
28       context: ./nginx-gateway
29     container_name: nginx
30     ports:
31       - '8000:8000'
32     volumes:
33       - ./nginx-gateway:/etc/nginx/conf.d
34     depends_on:
35       - backend

---

新增的nginx-gateway项目中包含两个配置文件：dockerfile和nginx.conf，其中dockerfile配置文件如下：

---

# nginx dockerfile
FROM nginx:1.17.1

---

nginx.conf文件中增加了代理后端的一些相关配置，其中路由信息匹配的路径是/nginx/gateway/todos，对应的后端地址为http://backend:80/todos，这里我们将Nginx监听端口修改为8000（为了不与backend项目冲突）。nginx.conf配置文件如代码清单2-3所示。

程序清单2-3　nginx.conf配置文件

---

  1 server {
  2   listen       8000;
  3   server_name  _;
  4
  5   location / {
  6     root   /usr/share/nginx/html;
  7     index  index.html index.htm;
  8   }
  9   location /nginx/gateway/todos {
 10     proxy_pass http://backend:80/todos;
 11   }
 12 }

---

在完成网关层配置之后，我们还需要对之前的前端项目做一些简单修改（变更接口访问地址），将BACKEND_URL修改为http://127.0.0.1:8000/nginx/gateway/todos，其中127.0.0.1:8000为Nginx网关层入口地址，这样请求便可先抵达网关层，匹配路由后再转发至后端服务，如代码清单2-4所示。

程序清单2-4　对前端项目修改后的配置文件

---

  1 import Vue from 'vue';
  2 import BootstrapVue from 'bootstrap-vue';
  3 import axios from 'axios';
  4 import App from './App.vue';
  5
  6 const http = axios.create({
  7   baseURL: process.env.BACKEND_URL ? process.env.BACKEND_URL : 'http://
        127.0.0.1:8000/nginx/gateway/todos',
  8 });
  9
 10 Vue.prototype.$http = http;
 11
 12
 13 Vue.use(BootstrapVue);
 14
 15 Vue.config.productionTip = false;
 16
 17 new Vue({
 18   render: (h) => h(App),
 19 }).$mount('#app');

---

至此，项目已经改造完成。读者使用docker-compose up-d指令启动服务后，在浏览器内输入http://127.0.0.1:8000访问界面，可以观察到后端服务访问地址已经变更。效果如图2-3所示。

图2-3　Nginx网关页面控制台信息

2.3.2　添加黑白名单

在完成上述步骤后，我们对接口控制方案进行升级。首先引入黑白名单功能，这个功能在实际应用中非常常见，是接口管控的基本功能。在Nginx中添加黑白名单非常简单，只需在nginx.conf配置文件中添加代码清单2-5所示的代码。

程序清单2-5　在nginx.conf配置文件中添加黑名单

---

9 ...
10   proxy_pass   http://backend:80/todos;
11   deny         172.20.0.1;
11   allow        all;
12 ...

---

第11行代码表示该Nginx服务器的路由规则为此后不再接收IP地址为172.20.0.1的服务器（即frontend服务所在服务器）发出的任务请求。在2.3.1节中，我们没有对黑白名单做任何限制，默认允许所有请求访问。此时重启Nginx服务器，在浏览器中输入http://127.0.0.1:8000，发现原先正常的接口现在已经访问不通了，效果如图2-4所示。

图2-4　Nginx配置黑名单生效

接下来，我们再修改配置，仅允许前端项目通过网关层访问后端接口，如代码清单2-6所示。

程序清单2-6　nginx.conf配置文件配置白名单

---

 9 ...
 10   proxy_pass   http://backend:80/todos;
 11   allow        172.20.0.1;
 12   deny         all;
 13 ...

---

该配置中表示该Nginx服务器的路由规则为仅允许接收IP地址为172.20.0.1的服务器发出的请求。需要注意的是，在配置多规则情况下，Nginx默认自上而下读取规则，所以配置顺序不能写错，在配置较多规则时，可以使用ngx_http_geo_module模块变量。

2.3.3　添加限流

这一节中，我们继续在接口上添加限流功能。限流的目的在于防止恶意请求攻击和请求流量超过系统峰值，保障服务器可以正常运行。这里我们主要针对请求URI进行限流（不包括请求URI中的参数）。整体项目结构依旧不做更改，继续修改nginx.conf配置文件，如代码清单2-7所示。

程序清单2-7　在nginx.conf配置文件中添加限流功能

---

  1 limit_req_zone $uri zone=api_read:10m rate=3r/m;
  2
  3 server {
  4   listen       8000;
  5   server_name  _;
  6
  7   location / {
  8     root   /usr/share/nginx/html;
  9     index  index.html index.htm;
 10   }
 11   location /nginx/gateway/todos {
 12     proxy_pass http://backend:80/todos;
 13     limit_req zone=api_read;
 14     limit_req_status 503;
 15   }
 16 }

---

·第1行代码：表示根据请求URI，限制其请求速率为每分钟3次，zone为存储的空间，空间名为api_read，大小为10MB。

·第13行代码：表示在当前location配置块中使用这个限流组件。

·第14行代码：表示限流生效时返回的状态码（状态码可自定义，默认返回503）。

图2-5　Nginx限流效果

修改完成后，使用docker restart nginx指令使配置文件生效。打开浏览器访问http://127.0.0.1:8000，发现该接口已经无法正常访问，效果如图2-5所示。

但是，使用浏览器并不能直接地体会限流功能（也有可能是其他因素导致功能无法使用）。我们可以使用curl指令查看接口的响应状态码来分辨接口是否真被限流了。这里执行如下指令进行对比：

---

$ curl -I -m 10 -o /dev/null -s -w %{http_code} http://127.0.0.1:8000/
  nginx/gateway/todos/
200
$ curl -I -m 10 -o /dev/null -s -w %{http_code} http://127.0.0.1:8000/
  nginx/gateway/todos/
503

---

可以发现，第一次调用接口成功返回200，紧接着第二次调用接口返回503，表示该接口已经被限流。

2.3.4　从Nginx切换到Kong

在2.3.2节和2.3.3节中，我们已经使用Nginx服务器实现了简单的黑白名单和限流功能，本节我们将切换为Kong网关，看一下Kong网关是如何实现这些功能的。这里我们沿用1.5.2节中的案例，在此基础上进行改造。项目目录结构保持不变，修改其中的kong.yml配置文件，如代码清单2-8所示。

程序清单2-8　kong.yml配置文件

---

 14 ...
 15 plugins:
 16   - name: rate-limiting
 17     config:
 18       minute: 3
 19       policy: local
 20     route: route_todolists
 21   - name: ip-restriction
 22     config:
 23       whitelist: ["172.21.0.1"]
 24     route: route_todolists

---

在上述配置文件中，我们添加了名为rate-limiting和ip-restriction的插件（插件会在第11章做重点介绍），表示只允许访问172.21.0.1（即frontend地址），且每分钟只能访问3次。配置完成后，使用docker-compose up-d指令重新启动示例服务，在浏览器中输入http://127.0.0.1:8000，对比添加完插件之后接口响应内容与原先的差异。效果如图2-6和图2-7所示。

图2-6　Kong限流效果图一

图2-7　Kong限流效果图二

响应头中的X-RateLimit-Limit-Minute表示限流的次数，即每分钟3次；X-RateLimit-Remaining-Minute表示限流剩余的次数；RateLimit-Reset表示还需要多长时间才能重置限流插件、恢复访问，单位为秒。

2.3.5　小结

同第1章一样，笔者将上述三个示例都封装成独立的项目，运行docker-compose up-d指令即可启动。

我们从这几个例子中已经可以分辨出Kong网关与Nginx服务器之间的一些异同。首先，它们从大的功能层面上趋于一致，都能用比较简单的方式满足一般的定制化需求，但是在功能实现细节上略有不同。具体到限流插件，Nginx服务器配置每分钟访问3次，系统默认会将该配置转化为每20秒访问1次。Kong网关在限流上相对人性化，效果与预想的保持一致。再如黑白名单功能，Nginx支持更加灵活的设定，同时开放黑白名单功能，并全部交由开发者配置。Kong网关则在单个插件上仅支持黑名单或白名单，限定了使用场景。

这些功能点差异本身并没有优劣之分，用户仅需根据业务场景做出调整即可。