eShopOnContainers 知多少[9]:Ocelot gateways

最新推荐文章于 2024-08-15 09:40:32 发布
最新推荐文章于 2024-08-15 09:40:32 发布
阅读量195 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ysj1163620987/article/details/106643344
版权

引言

客户端与微服务的通信问题永远是一个绕不开的问题,对于小型微服务应用,客户端与微服务可以使用直连的方式进行通信,但对于对于大型的微服务应用我们将不得不面对以下问题:

  1. 如何降低客户端到后台的请求数量,并减少与多个微服务的无效交互?

  2. 如何处理微服务间的交叉问题,比如授权、数据转换和动态请求派发?

  3. 客户端如何与使用非互联网友好协议的服务进行交互?

  4. 如何打造移动端友好的服务?

而解决这一问题的方法之一就是借助API网关,其允许我们按需组合某些微服务以提供单一入口。

接下来,本文就来梳理一下eShopOnContainers是如何集成Ocelot网关来进行通信的。

Hello Ocelot

关于Ocelot,张队在Github上贴心的整理了awesome-ocelot系列以便于我们学习。这里就简单介绍下Ocelot,不过多展开。 Ocelot是一个开源的轻量级的基于ASP.NET Core构建的快速且可扩展的API网关,核心功能包括路由、请求聚合、限速和负载均衡,集成了IdentityServer4以提供身份认证和授权,基于Consul提供了服务发现能力,借助Polly实现了服务熔断,能够很好的和k8s和Service Fabric集成。

Ocelot 集成

eShopOnContainers中的以下六个微服务都是通过网关API进行发布的。

引入网关层后,eShopOnContainers的整体架构如下图所示:

从代码结构来看,其基于业务边界(Marketing和Shopping)分别为Mobile和Web端建立多个网关项目,这样做利于隔离变化,降低耦合,且保证开发团队的独立自主性。所以我们在设计网关时也应注意到这一点,切忌设计大一统的单一API网关,以避免整个微服务架构体系的过度耦合。在网关设计中应当根据业务和领域去决定API网关的边界,尽量设计细粒度而非粗粒度的API网关。

eShopOnContainers中 ApiGateways文件下是相关的网关项目。相关项目结构如下图所示。

从代码结构看,有四个 configuration.json文件,该文件就是ocelot的配置文件,其中主要包含两个节点:

{
 "ReRoutes": [],
 "GlobalConfiguration": {}
}

那4个独立的配置文件是怎样设计成4个独立的API网关的呢? 在eShopOnContainers中,首先基于 OcelotApiGw项目构建单个Ocelot API网关Docker容器镜像,然后在运行时,通过使用 docker volume分别挂载不同路径下的 configuration.json文件来启动不同类型的API-Gateway容器。示意图如下:

docker-compse.yml中相关配置如下:

// docker-compse.yml
mobileshoppingapigw:
 image: eshop/ocelotapigw:${TAG:-latest}
 build:
 context: .
 dockerfile: src/ApiGateways/ApiGw-Base/Dockerfile


// docker-compse.override.yml
mobileshoppingapigw:
 environment:
 - ASPNETCORE_ENVIRONMENT=Development
 - IdentityUrl=http://identity.api
 ports:
 - "5200:80"
 volumes:
 - ./src/ApiGateways/Mobile.Bff.Shopping/apigw:/app/configuration

通过这种方式将API网关分成多个API网关,不仅可以同时重复使用相同的Ocelot Docker镜像,而且开发团队可以专注于团队所属微服务的开发,并通过独立的Ocelot配置文件来管理自己的API网关。

而关于Ocelot的代码集成,主要就是指定配置文件以及注册Ocelot中间件。核心代码如下:

publicvoidConfigureServices(IServiceCollection services)
{
    //..
    services.AddOcelot(newConfigurationBuilder()
.AddJsonFile(Path.Combine("configuration","configuration.json"))
.Build());
}
publicvoidConfigure(IApplicationBuilder app,IHostingEnvironment env)
{
    //...
    app.UseOcelot().Wait();
}

请求聚合

在单体应用中时,进行页面展示时,可以一次性关联查询所需的对象并返回,但是对于微服务应用来说,某一个页面的展示可能需要涉及多个微服务的数据,那如何进行将多个微服务的数据进行聚合呢?首先,不可否认的是,Ocelot提供了请求聚合功能,但是就其灵活性而言,远不能满足我们的需求。因此,一般会选择自定义聚合器来完成灵活的聚合功能。在eShopOnContainers中就是通过独立ASP.NET Core Web API项目来提供明确的聚合服务。 Mobile.Shopping.HttpAggregatorWeb.Shopping.HttpAggregator即是用于提供自定义的请求聚合服务。

下面就以 Web.Shopping.HttpAggregator项目为例来讲解自定义聚合的实现思路。 首先,该网关项目是基于ASP.NET Web API构建。其代码结构如下图所示:

其核心思路是自定义网关服务借助HttpClient发起请求。我们来看一下 BasketService的实现代码:

public class BasketService : IBasketService
{
    private readonly HttpClient _apiClient;
    private readonly ILogger<BasketService> _logger;
    private readonly UrlsConfig _urls;
    public BasketService(HttpClient httpClient,ILogger<BasketService> logger, IOptions<UrlsConfig> config)
    {
        _apiClient = httpClient;
        _logger = logger;
        _urls = config.Value;
    }
    public async Task<BasketData> GetById(string id)
    {
        var data = await _apiClient.GetStringAsync(_urls.Basket +  UrlsConfig.BasketOperations.GetItemById(id));
        var basket = !string.IsNullOrEmpty(data) ? JsonConvert.DeserializeObject<BasketData>(data) : null;
        return basket;
    }
}

代码中主要是通过构造函数注入 HttpClient,然后方法中借助 HttpClient实例发起相应请求。那 HttpClient实例是如何注册的呢,我们来看下启动类里服务注册逻辑。

public static IServiceCollection AddApplicationServices(this IServiceCollection services)
{
    //register delegating handlers
    services.AddTransient<HttpClientAuthorizationDelegatingHandler>();
    services.AddSingleton<IHttpContextAccessor, HttpContextAccessor>();
    //register http services  
    services.AddHttpClient<IBasketService, BasketService>()
        .AddHttpMessageHandler<HttpClientAuthorizationDelegatingHandler>()
        .AddPolicyHandler(GetRetryPolicy())
        .AddPolicyHandler(GetCircuitBreakerPolicy());


    services.AddHttpClient<ICatalogService, CatalogService>()
        .AddPolicyHandler(GetRetryPolicy())
        .AddPolicyHandler(GetCircuitBreakerPolicy());


    services.AddHttpClient<IOrderApiClient, OrderApiClient>()
        .AddHttpMessageHandler<HttpClientAuthorizationDelegatingHandler>()
        .AddPolicyHandler(GetRetryPolicy())
        .AddPolicyHandler(GetCircuitBreakerPolicy());
    return services;
}

从代码中可以看到主要做了三件事:

  1. 注册 HttpClientAuthorizationDelegatingHandler负责为HttpClient构造 Authorization请求头

  2. 注册 IHttpContextAccessor用于获取 HttpContext

  3. 为三个网关服务分别注册独立的 HttpClient,其中 IBasketServie和 IOrderApiClient需要认证,所以注册了 HttpClientAuthorizationDelegatingHandler用于构造 Authorization请求头。另外,分别注册了 Polly的请求重试和断路器策略。

HttpClientAuthorizationDelegatingHandler是如何构造 Authorization请求头的呢?直接看代码实现:

public class HttpClientAuthorizationDelegatingHandler
     : DelegatingHandler
{
    private readonly IHttpContextAccessor _httpContextAccesor;
    public HttpClientAuthorizationDelegatingHandler(IHttpContextAccessor httpContextAccesor)
    {
        _httpContextAccesor = httpContextAccesor;
    }
    protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var authorizationHeader = _httpContextAccesor.HttpContext
            .Request.Headers["Authorization"];
        if (!string.IsNullOrEmpty(authorizationHeader))
        {
            request.Headers.Add("Authorization", new List<string>() { authorizationHeader });
        }
        var token = await GetToken();
        if (token != null)
        {
            request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
        }
        return await base.SendAsync(request, cancellationToken);
    }
    async Task<string> GetToken()
    {
        const string ACCESS_TOKEN = "access_token";
        return await _httpContextAccesor.HttpContext
            .GetTokenAsync(ACCESS_TOKEN);
    }
}

代码实现也很简单:首先从 _httpContextAccesor.HttpContext.Request.Headers["Authorization"]中取,若没有则从 _httpContextAccesor.HttpContext.GetTokenAsync("access_token")中取,拿到访问令牌后,添加到请求头 request.Headers.Authorization=newAuthenticationHeaderValue("Bearer",token);即可。

这里你肯定有个疑问就是:为什么不是到Identity microservices去取访问令牌,而是直接从 _httpContextAccesor.HttpContext.GetTokenAsync("access_token")中取访问令牌?

Good Question,因为对于网关项目而言,其本身也是需要认证的,在访问网关暴露的需要认证的API时,其已经同Identity microservices协商并获取到令牌,并将令牌内置到 HttpContext中了。所以,对于同一个请求上下文,我们仅需将网关项目申请到的令牌传递下去即可。

Ocelot网关中如何集成认证和授权

不管是独立的微服务还是网关,认证和授权问题都是要考虑的。Ocelot允许我们直接在网关内的进行身份验证,如下图所示:

因为认证授权作为微服务的交叉问题,所以将认证授权作为横切关注点设计为独立的微服务更符合关注点分离的思想。而Ocelot网关仅需简单的配置即可完成与外部认证授权服务的集成。

1. 配置认证选项

首先在 configuration.json配置文件中为需要进行身份验证保护API的网关设置 AuthenticationProviderKey。比如:

{
  "DownstreamPathTemplate": "/api/{version}/{everything}",
  "DownstreamScheme": "http",
  "DownstreamHostAndPorts": [
    {
      "Host": "basket.api",
      "Port": 80
    }
  ],
  "UpstreamPathTemplate": "/api/{version}/b/{everything}",
  "UpstreamHttpMethod": [],
  "AuthenticationOptions": {
    "AuthenticationProviderKey": "IdentityApiKey",
    "AllowedScopes": []
  }
}

2. 注册认证服务

当Ocelot运行时,它将根据Re-Routes节点中定义的 AuthenticationOptions.AuthenticationProviderKey,去确认系统是否注册了相对应身份验证提供程序。如果没有,那么Ocelot将无法启动。如果有,则ReRoute将在执行时使用该提供程序。 在 OcelotApiGw的启动配置中,就注册了 AuthenticationProviderKey:IdentityApiKey的认证服务。

public void ConfigureServices (IServiceCollection services) {
    var identityUrl = _cfg.GetValue<string> ("IdentityUrl");
    var authenticationProviderKey = "IdentityApiKey";
    //…
    services.AddAuthentication ()
        .AddJwtBearer (authenticationProviderKey, x => {
            x.Authority = identityUrl;
            x.RequireHttpsMetadata = false;
            x.TokenValidationParameters = new
            Microsoft.IdentityModel.Tokens.TokenValidationParameters () {
                ValidAudiences = new [] {
                "orders",
                "basket",
                "locations",
                "marketing",
                "mobileshoppingagg",
                "webshoppingagg"
                }
            };
        });
    //...
}

这里需要说明一点的是 ValidAudiences用来指定可被允许访问的服务。其与各个微服务启动类中 ConfigureServices()AddJwtBearer()指定的 Audience相对应。比如:

// prevent from mapping "sub" claim to nameidentifier.
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear ();
var identityUrl = Configuration.GetValue<string> ("IdentityUrl");
services.AddAuthentication (options => {
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer (options => {
    options.Authority = identityUrl;
    options.RequireHttpsMetadata = false;
    options.Audience = "basket";
});

3. 按需配置申明进行鉴权

另外有一点不得不提的是,Ocelot支持在身份认证后进行基于声明的授权。仅需在 ReRoute节点下配置 RouteClaimsRequirement即可:

"RouteClaimsRequirement": {
 "UserType": "employee"
}

在该示例中,当调用授权中间件时,Ocelot将查找用户是否在令牌中是否存在 UserType:employee的申明。如果不存在,则用户将不被授权,并响应403。

最后

经过以上的讲解,想必你对eShopOnContainers中如何借助API 网关模式解决客户端与微服务的通信问题有所了解,但其就是万金油吗?API 网关模式也有其缺点所在。

  1. 网关层与内部微服务间的高度耦合。

  2. 网关层可能出现单点故障。

  3. API网关可能导致性能瓶颈。

  4. API网关如果包含复杂的自定义逻辑和数据聚合,额外增加了团队的开发维护沟通成本。

虽然IT没有银弹,但eShopOnContainers中网关模式的应用案例至少指明了一种解决问题的思路。而至于在实战场景中的技术选型,适合的就是最好的。

聖傑
关注
eShopOnContainers 知多少[12]:Envoy gateways
圣杰
10-19 1161
1. 引言在最新的eShopOnContainers 3.0 中Ocelot 网关被Envoy Proxy 替换。下面就来简要带大家了解下Envoy,并尝试梳理下为什么要使用Envoy...
eShopOnContainers .Net 微服务微软官方Demo 分享1
01-07
干货, 这个Demo 就不介绍了背景了. 主要分享一下这个Demo的搭建, 环境 和 代码技术 先介绍搭建 环境搭建首要参考: https://github.com/dotnet-architecture/eShopOnContainers/wiki/Windows-setup#optional—use-visual-studio , 我主要补充一下心得 GitHub 上下载最新版本 eShopOnContainers , 应该是Net Core 3.1 版本 安装Windows for Docker 最新版本 , VS 我是2019 , 配置 Docker 环境已经镜像地址, 我看了一下要用
eShopOnContainers 开源项目教程
最新发布
gitblog_01110的博客
08-15 970
eShopOnContainers 开源项目教程 eShopOnContainerseShopOnContainers: 是一个基于微服务的 Azure 容器化电子商务应用程序示例。适合开发者了解如何使用容器化技术构建可扩展和高可维护的应用程序。项目地址:https://gitcode.com/gh_mirrors/es/eShopOnContainers 本教程将深入解析开源项目 eShopO...
【汇总目录】eShopOnContainers
weixin_30603633的博客
09-03 229
随笔分类 - eShopOnContainers eShopOnContainers 知多少[10]:部署到 K8S | AKS ...
通过 eShopOnContainers 项目学习一下微服务
weixin_43464294的博客
01-28 1134
这里是项目地址 https://github.com/dotnet-architecture/eShopOnContainers, 这是微软创建的一个基于 .NET 平台的微服务架构的示例应用程序,里面基本上市面上主流的时髦的技术都用上了。 因为涉及的内容比较多,所以我们只简单查看一下微服务的代码实现和 DockerFile 的编写,至于K8s,网关,鉴权等,我们不查看。 首先查看项目结构 我们...
eShopOnContainers .Net 微服务微软官方Demo 分享2 --搭建环境后浏览项目
Gavin luo 我们共同努力
02-24 1170
上一篇搭建了环境, 运行起来了程序, 这一篇来一起看看这个项目从UI上有哪些内容 , 主要还是参考这篇文章 https://github.com/dotnet-architecture/eShopOnContainers/wiki/Explore-the-application 第一个坑就来了 , 点击登陆报错 首先浏览MVC这块 http://localhost:5100/ 最后发现内部通信都...
c#:Ocelot集成Consul初体验
10-22
Ocelot是一个用C#编写的API Gateway,它提供了简单的API路由、负载均衡和熔断等功能,而Consul则是一个用于服务发现和服务网格的工具,两者结合可以为微服务架构提供强大的支持。 首先,了解Ocelot的基本概念是必要...
c#:ocelot限流体验
10-24
Ocelot是一个用C#编写的开源API Gateway,它提供了诸如负载均衡、熔断、限流等功能,用于微服务架构中的服务治理。 描述 "c#:ocelot限流体验" 提示我们这篇文章可能介绍了作者在实施Ocelot限流功能时的经验和感受...
ocelot:Ocelot-公共开发的叉子
05-13
那些想要运行测试套件的用户需要在ocelot的直接父目录中下载gmock(当前版本1.7.0),并需要运行cmake . -DBUILD_TESTING=1 cmake . -DBUILD_TESTING=1以启用ocelot_tests目标。 当前,测试使用config.cpp来设置...
c#:Ocelot熔断机制体验
10-24
标题中的"C#:Ocelot熔断机制体验"指出我们将探讨使用C#语言实现的Ocelot服务网关中的熔断策略。Ocelot是一个基于.NET Core的微服务API网关,它允许开发者轻松地管理和路由请求到不同的后端服务。而熔断机制则是...
eShopOnContainersDDD:使用我自己的模式以完整DDDCQRS设计的dotnet-architectureeShopOnContainers的分支
02-04
eShopOnContainers(Aggregates.Net版) 这个项目是Microsoft容器示例一个分支(最好是一个宽松的副本)。 我使用自己的DDD EventSourcing库实现了许多相同的对象,其目的是作为一个完整的事件源应用程序的说明性示例。 喜欢你看到的吗? 我们正在招聘开发人员! 我们目前正在寻找一对夫妇,以帮助中小型企业开发新软件-偏远的OK,但位于芝加哥附近是理想的选择。 如果您有兴趣学习DDD,CQRS,EventSourcing并简化分布式系统,请给我发送电子邮件或更好的方式来向我发送请求! 现场演示 目前已停用 维基 Wiki中有关于该应用程序某些功能的文
基于netcore的微服务——Ocelot(4)
世界既不黑也不白,而是一道精致的灰。
05-23 243
Ocelot一、使用背景当在只使用了Consul的基础上微服务存在的缺点 一、使用背景 当在只使用了Consul的基础上微服务存在的缺点 1. 对于只有Consul的微服务系统,使用服务名就可访问, 但对于手机电脑,web等外部访问者,仍需要记忆服务器地址,端口号等。 一旦内部发生改变,会很麻烦,而且内部系统不希望直接被外部访问 2. 各个业务系统无法自由维护自己负责的服务器 3. 现在架构下的微服务都是对外开放,没有缺陷校验,如果每个服务都做校验工作量大 4. 很难做限流,收费等。 ...
[ .NET依赖注入] Dependency Injection in.NET - DI Containers [17]
unity尧明的博客
05-09 204
3.1.2 自动布线(Auto-wiring)   DI容器依靠编译为使用构造器注入的所有类的静态信息而茁壮成长。使用反射,他们可以分析所请求的类并确定需要哪些依赖关系。   一些DI 容器也理解属性注入模式,但是所有的DI 容器本质上都理解构造器注入,并通过将自己的配置与从类的构造器中提取的信息相结合来构成对象图。这就是所谓的自动布线(AUTO-WIRING)。 定义: 自动布线是指从抽象和具体类型之间的映射中自动构成一个对象图的能力。   图3.4 描述了大多数DI 容器在自动连接一个对象图时所遵循
eShopOnContainers 看微服务 ①:总体概览
weixin_30569033的博客
12-07 289
eShopOnContainers 看微服务 ①:总体概览 一、简介 eShopOnContainers是一个简化版的基于.NET Core和Docker等技术开发的面向微服务架构的参考应用。 该参考应用是一个简化版的在线商城/电子商务微服务参考示例应用。 其包含基于浏览器的Web应用、基于Xamarin的Android、IOS...
httpClient请求 带Authorization(授权)username password的REST API 返回JSON数据
sinat_42888557的博客
05-20 5643
package com.hip.code.utiles; import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import org.apache.http.StatusLine; import org.apache.http.client.ClientProtocolException; import or...
利用DelegatingHandler实现Web Api 的Api key校验
abz45488339的博客
03-31 134
客户端在请求Web Api时可以有以下两种方式提供API key 基于Querystring提供Api key http://localhost:57967/Api/Values?key=12345 基于Request header体统API key client.BaseAddress = new Uri(url); client.DefaultRequestHeaders.A...
给HttpClient添加请求头(HttpClientFactory)
weixin_30236595的博客
08-23 3497
前言 在微服务的大环境下,会出现这个服务调用这个接口,那个接口的情况。假设出了问题,需要排查的时候,我们要怎么关联不同服务之间的调用情况呢?换句话就是说,这个请求的结果不对,看看是那里出了问题。 最简单的思路应该就是请求头加一个标识,从头贯穿到尾,这样我们就可以知道,对于这一个请求,在不同的服务都经历了什么样的过程。 在.NET Core时代,相信大部分都是在用HttpClientFac...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值