Sentinel系列(11) - Spring Cloud Gateway整合Sentinel实现网关限流

网关限流

Sentinel 支持对 Spring Cloud Gateway、Zuul 等主流的 API Gateway 进行限流。

Sentinel 1.6.0 引入了 Sentinel API Gateway Adapter Common 模块，此模块中包含网关限流的规则和自定义 API 的实体和管理逻辑：

• GatewayFlowRule：网关限流规则，针对 API Gateway 的场景定制的限流规则，可以针对不同 route 或自定义的 API 分组进行限流，支持针对请求中的参数、Header、来源 IP 等进行定制化的限流。
• ApiDefinition：用户自定义的 API 定义分组，可以看做是一些 URL 匹配的组合。比如我们可以定义一个 API 叫 my_api，请求 path 模式为 /foo/** 和 /baz/** 的都归到 my_api 这个 API 分组下面。限流的时候可以针对这个自定义的 API 分组维度进行限流。

网关流控实现原理

当通过 GatewayRuleManager 加载网关流控规则（GatewayFlowRule）时，无论是否针对请求属性进行限流，Sentinel 底层都会将网关流控规则转化为热点参数规则（ParamFlowRule），存储在 GatewayRuleManager 中，与正常的热点参数规则相隔离。转换时 Sentinel 会根据请求属性配置，为网关流控规则设置参数索引（idx），并同步到生成的热点参数规则中。

外部请求进入 API Gateway 时会经过 Sentinel 实现的 filter，其中会依次进行 路由/API 分组匹配、请求属性解析和参数组装。Sentinel 会根据配置的网关流控规则来解析请求属性，并依照参数索引顺序组装参数数组，最终传入 SphU.entry(res, args) 中。Sentinel API Gateway Adapter Common 模块向 Slot Chain 中添加了一个 GatewayFlowSlot，专门用来做网关规则的检查。GatewayFlowSlot 会从 GatewayRuleManager 中提取生成的热点参数规则，根据传入的参数依次进行规则检查。若某条规则不针对请求属性，则会在参数最后一个位置置入预设的常量，达到普通流控的效果。

整合Spring Cloud Gateway

从 1.6.0 版本开始，Sentinel 提供了 Spring Cloud Gateway 的适配模块，可以提供两种资源维度的限流：

• route 维度：即在 Spring 配置文件中配置的路由条目，资源名为对应的 routeId
• 自定义 API 维度：用户可以利用 Sentinel 提供的 API 来自定义一些 API 分组

1. 搭建Gateway网关项目

这里不详细说明，可参照其他文档，框架版本：

• Nacos：1.4.1
• sentinel ：1.8.0
• spring-cloud ：Hoxton.RELEASE
• spring-cloud-alibaba：2.2.0.RELEASE
• spring.boot：2.2.13.RELEASE

2. gateway集成sentinel

首先添加cloud sentinel对gateway的相关依赖。

<dependency>
      <groupId>com.alibaba.cloud</groupId>
      <artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
</dependency>
<dependency>
      <groupId>com.alibaba.cloud</groupId>
      <artifactId>spring-cloud-alibaba-sentinel-gateway</artifactId>
</dependency>
<dependency>
      <groupId>com.alibaba.csp</groupId>
      <artifactId>sentinel-spring-cloud-gateway-adapter</artifactId>
</dependency>

重点在Gateway的相关配置：

• locator.enabled：gateway开启服务注册和发现的功能，这样就不需要自己配置各种route。
• scg.fallback：配置限流异常时响应的信息。
• route-id-prefix：配置routeId的前缀，采用了自动注册，最终routeId为 route-id-注册服务名

spring:
  application:
    name: gateway
  cloud:
    nacos:
      discovery:
        server-addr: 127.0.0.1     # nacos注册地址
      config:
        server-addr: 127.0.0.1     # 远程配置地址
    sentinel:
      transport:
        dashboard: localhost:8080       # sentinel注册地址
      # 直接建立心跳
      eager: true
      scg:
        # 限流后的响应配置
        fallback:
          content-type: application/json
          # 模式 response、redirect
          mode: response
          # 响应状态码
          response-status: 429
          # 响应信息
          response-body: 对不起，已经被限流了！！！
    gateway:
      # spring cloud gateway 路由配置方式
      discovery:
        locator:
          enabled: true                 #   表明gateway开启服务注册和发现的功能
          lower-case-service-id: true   #   将请求路径上的服务名配置为小写
          route-id-prefix: route-id-   # 配置routeId的前缀，最终为 route-id-注册服务名

3. 启动控制台

启动控制台、注册中心、网关、应用后台(sentinel-client-demo)，查看控制台，重点看下会有个API管理的菜单，如果没有，可参照这个文档Sentinel整合Gateway控制台不显示API管理。

对比普通应用的菜单，我们发现有几个不同点：

• 簇点链路=》请求链路
• 多了个API管理
• 没有热点规则
• 没有授权规则
• 没有集群流控
  

测试案例

1. 使用routId限流

点击流控规则菜单，添加规则，发现这里没有资源名称可以填写，只能选择 Route ID或者API分组。

我们添加一个 Route ID， Route ID就是Gateway路由里配置的ID，因为在Gateway中配置了route-id-prefix，所有这里应该写route-id-加上服务在Nacos注册的服务名。

以下配置表示对route-id-sentinel-client-demo这个路由进行访问时，QPS限制为一秒一次请求。

当我们快速访问Gateway配置的路由后端服务接口时，发现返回了我们配置的限流信息。

2. 使用API分组限流

在之前的案例中，一个访问接口，可以代表一个资源。

但是在网关中，Sentinel 网关流控默认的粒度是 route 维度以及自定义 API分组维度，默认不支持 URL 粒度。

这种可能是考虑到，网关作为所有后台应用的入口，如果不分组，那么肯定太多了。

比如我们根据限流规则建立一个分组，这个分组表示具体的限流策略。然后可以在这个分组下添加多个匹配模式，下面的规则表示，访问app1和访问app2后台应用时，可以在这个组添加一样的限流规则（这里需要添加通过网关访问时完整路径）。

注意精确是指完整匹配，前缀模式时需要添加**。

添加完分组后，我们在添加流控规则时，选择API分组，然后配置限流规则就可以了。。。

3.针对请求属性限流

在添加流控规则时，我们发现，还可以针对请求属性进行限流如 （URL 参数，Client IP，Header 等）。

比如，我们对谷歌浏览器进行限流，当消息头中User-Agent为谷歌浏览器时，触发限流。

测试使用谷歌浏览器，触发限流，而换个浏览器时，则正常访问。

4. 请求链路

在通过网关访问时，会自动生成当前访问的路由节点信息，我们也可以直接在这里添加规则。