创作不易,且读且珍惜。记得点赞、关注、转发的哦~
本教程通过使用Mutual TLS 身份验证的 gRPC 框架,向你介绍用 Python 和 Go 编写的服务连接的过程。因多数开发者对 Python/Django 和 Go 开发比较熟悉,本文将省略大多数无聊的东西,比如使用 Django 应用程序引导 virtualenv 或者如何“ manage.py runserver”它。
引言
有一个Python中的旧系统正在进行大的修改。它是由两部分组成的系统:
- Webapp是一个使用Django框架构建的面向用户的web应用程序。它充当API客户机,连接到几个节点执行一些操作。
- 每个节点(服务器)都是一个用Python编写的简单服务器,它驻留在Nginx后面。一些节点位于私有网络之外,通信通过公共网络进行。
在进行一些清理、重构和测试工作之后,客户机基本上满足了它的需求。另一方面,服务器有稳定性和性能问题,所以在Go (Golang)重写服务器是对性能提升很有帮助的解决方案。
而Python和Go之间的通信成了唯一的障碍。
用于客户机和服务器之间通信的现有JSON API是旧的,没有文档记录。正是因为从零开始重建它比试图复兴它更容易。将此API重写为REST/JSON相对容易,但JSON作为交换格式将不能提供Python和Go之间的互换性和类型兼容性。在这两种语言中,类型系统是不同的,要让它工作是很繁琐且容易出错的。
一个更好的解决方案是使用跨平台的序列化格式,比如协议缓冲区(protobuf)。它的构建是为了提供跨平台兼容性,在Python和Go中得到很好的支持,而且它比JSON更小、更快。Protobuf可以与REST API一起使用,以确保编程语言之间的数据互操作性。但是一个更好的解决方案是使用gRPC框架来完全替换旧的API。
gRPC是一个远程过程调用(RPC)框架,它在跨服务通信场景中工作得非常好。它使用协议缓冲区作为接口定义语言(Interface Definition Language, IDL)和消息交换格式。gRPC使用HTTP/2作为传输,并支持传输层安全(TLS)协议,它可以在没有TLS的情况下工作——基本上,这是大多数教程告诉我们的。这样,通信是通过h2c协议完成的,本质上是纯文本HTTP/2,没有TLS加密。然而,当通过公共网络进行通信时,TLS是必需的。考虑到现代安全威胁,TLS甚至应该被考虑用于私有网络连接[1]。
在本系统中,服务到服务的通信不需要区分客户机,也不需要向它们授予不同的权限。尽管如此,确保只有授权的客户机才能与服务器通信是很重要的。使用互TLS (mTLS)作为身份验证机制很容易实现。
通常在TLS中,服务器有证书和公钥/私钥对,而客户端没有。然后,服务器将其证书发送给客户机进行验证。在mTLS中,服务器和客户机都有证书,服务器也验证客户机的证书。只有在这之后,服务器才会授予对客户端[2]的访问权。
让我们创建一个类似的东西——一个简单的Python/Django web服务,它将通过gRPC/mTLS调用Go服务器,并在浏览器中显示结果,并从存储库的结构开始。
代码布局
对于这样的项目,使用单个存储库(monorepo)就不需要共享API模式。对于如何组织代码库,每个人都有自己的偏好,只要记住protobuf编译器,protoc,对如何组织代码有自己的想法。
原型文件的位置会影响编译后的代码。它可能需要对编译器标志进行一些试验来生成工作代码。将原型文件放在带代码的主文件夹之外,这样重新组织代码就不会破坏原型编译。
我建议这样的目录结构:
tree -L 1 -d . . ├── certs ├