啟動(dòng)apisix：apisix start 查看進(jìn)程或者監(jiān)聽(tīng)端口9080

ps aux|grep apisix

netstat -lntp|grep 9080

關(guān)閉各種防火墻

為了避免出現(xiàn)失敗，但是生產(chǎn)環(huán)境不建議

systemctl stop firewalld.service



systemctl disable firewalld.service



setenforce 0



sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

安裝apisix cli

在這之前，需要安裝go語(yǔ)言的環(huán)境，nodejs環(huán)境和yarn的環(huán)境。

注意：

• go語(yǔ)言需要將包鏡像轉(zhuǎn)換為國(guó)內(nèi)

go env -w GOPROXY=https://goproxy.cn,direct

• node js的版本要大于 v10.14.2

根據(jù)apisix-dashboard官方安裝教程中提到的步驟如下：

git clone -b release/2.10.1 https://github.com/apache/apisix-dashboard.git && cd apisix-dashboard

這個(gè)步驟如果你的服務(wù)器連接到github超時(shí)，可以考慮在本機(jī)下載了，然后傳到你的服務(wù)器上去。然后執(zhí)行

make build

等待執(zhí)行完畢，這個(gè)過(guò)程中會(huì)連接到github，如果連接超時(shí)，就多試幾次。

成功之后，來(lái)到目錄下的output目錄，生成的結(jié)果就在里面

首先，conf里面是web的配置，結(jié)構(gòu)如下：

conf:

  listen:

    # host: 127.0.0.1     # the address on which the Manager API should listen.
                          # The default value is 0.0.0.0, if want to specify, please enable it.
                          # This value accepts IPv4, IPv6, and hostname.
    port: 9000            # The port on which the Manager API should listen.

  # ssl:
  #   host: 127.0.0.1     # the address on which the Manager API should listen for HTTPS.
                          # The default value is 0.0.0.0, if want to specify, please enable it.
  #   port: 9001            # The port on which the Manager API should listen for HTTPS.
  #   cert: "/tmp/cert/example.crt" # Path of your SSL cert.
  #   key:  "/tmp/cert/example.key"  # Path of your SSL key.

  allow_list:             # If we don't set any IP list, then any IP access is allowed by default.
    - 127.0.0.1           # The rules are checked in sequence until the first match is found.
    - ::1                 # In this example, access is allowed only for IPv4 network 127.0.0.1, and for IPv6 network ::1.
                          # It also support CIDR like 192.168.1.0/24 and 2001:0db8::/32
  etcd:
    endpoints:            # supports defining multiple etcd host addresses for an etcd cluster
      - 127.0.0.1:2379
                          # yamllint disable rule:comments-indentation
                          # etcd basic auth info
    # username: "root"    # ignore etcd username if not enable etcd auth
    # password: "123456"  # ignore etcd password if not enable etcd auth
    mtls:
      key_file: ""          # Path of your self-signed client side key
      cert_file: ""         # Path of your self-signed client side cert
      ca_file: ""           # Path of your self-signed ca cert, the CA is used to sign callers' certificates
    # prefix: /apisix       # apisix config's prefix in etcd, /apisix by default
  log:
    error_log:
      level: warn       # supports levels, lower to higher: debug, info, warn, error, panic, fatal
      file_path:
        logs/error.log  # supports relative path, absolute path, standard output
                        # such as: logs/error.log, /tmp/logs/error.log, /dev/stdout, /dev/stderr
                        # such as absolute path on Windows: winfile:///C:\error.log
    access_log:
      file_path:
        logs/access.log  # supports relative path, absolute path, standard output
                         # such as: logs/access.log, /tmp/logs/access.log, /dev/stdout, /dev/stderr
                         # such as absolute path on Windows: winfile:///C:\access.log
                         # log example: 2020-12-09T16:38:09.039+0800    INFO    filter/logging.go:46    /apisix/admin/routes/r1 {"status": 401, "host": "127.0.0.1:9000", "query": "asdfsafd=adf&a=a", "requestId": "3d50ecb8-758c-46d1-af5b-cd9d1c820156", "latency": 0, "remoteIP": "127.0.0.1", "method": "PUT", "errs": []}
  max_cpu: 0             # supports tweaking with the number of OS threads are going to be used for parallelism. Default value: 0 [will use max number of available cpu cores considering hyperthreading (if any)]. If the value is negative, is will not touch the existing parallelism profile.

authentication:
  secret:
    secret              # secret for jwt token generation.
                        # NOTE: Highly recommended to modify this value to protect manager api.
                        # if it's default value, when manager api start, it will generate a random string to replace it.
  expire_time: 3600     # jwt token expire time, in second
  users:                # yamllint enable rule:comments-indentation
    - username: admin   # username and password for login manager api
      password: admin
    - username: user
      password: user

需要關(guān)注的幾個(gè)點(diǎn)，首先allow_list，關(guān)乎著哪些能夠訪問(wèn)該展示層，0.0.0.0/0 可以表示所有可訪問(wèn)，賬號(hào)密碼在users部分配置。

使用命令

./manager-api

啟動(dòng)項(xiàng)目即可。訪問(wèn)：http://ip:9000/user/login?redirect=/ 即可，默認(rèn)密碼為 admin/admin 或者 user/user

功能介紹

官方使用簡(jiǎn)介

儀表盤-導(dǎo)入Grafana

Grafana是數(shù)據(jù)可視化，儀表盤和圖形編輯器，是 Graphite 和 InfluxDB 儀表盤和圖形編輯器，同時(shí)也是開(kāi)源的、功能齊全的度量?jī)x表盤和圖形編輯器，支持 Graphite，InfluxDB 和 OpenTSDB。

grafana 是一個(gè)開(kāi)源的時(shí)序性統(tǒng)計(jì)和監(jiān)控平臺(tái)，支持例如 elasticsearch、graphite、influxdb 等眾多的數(shù)據(jù)源，并以功能強(qiáng)大的界面編輯器著稱。

或許可以考慮放到網(wǎng)絡(luò)安全智能防控平臺(tái)與elasticsearch一起玩。官網(wǎng)相當(dāng)于已經(jīng)實(shí)現(xiàn)了各種定制的儀表盤，然后只需要導(dǎo)入即可。官網(wǎng)的配置似乎都是需要配置一堆節(jié)點(diǎn)的，但是我這里只有一個(gè)簡(jiǎn)單的填http鏈接的操作。

目前還不知道怎么用，似乎是需要我自己做獨(dú)立安裝。

vim /etc/yum.repos.d/grafana.repo

# 在里面放入

[grafana]

name=grafana

baseurl=https://packages.grafana.com/oss/rpm-beta

repo_gpgcheck=1

enabled=1

gpgcheck=1

gpgkey=https://packages.grafana.com/gpg.key

sslverify=1

sslcacert=/etc/pki/tls/certs/ca-bundle.crt

# 保存后執(zhí)行

yum -y install grafana

systemctl enable grafana-server

systemctl start grafana-server

來(lái)看看grafana-server的內(nèi)容

[Unit]

Description=Grafana instance

Documentation=http://docs.grafana.org

Wants=network-online.target

After=network-online.target

After=postgresql.service mariadb.service mysqld.service



[Service]

EnvironmentFile=/etc/sysconfig/grafana-server

User=grafana

Group=grafana

Type=notify

Restart=on-failure

WorkingDirectory=/usr/share/grafana

RuntimeDirectory=grafana

RuntimeDirectoryMode=0750

ExecStart=/usr/sbin/grafana-server                                                  \

                            --config=${CONF_FILE}                                   \

                            --pidfile=${PID_FILE_DIR}/grafana-server.pid            \

                            --packaging=rpm                                         \

                            cfg:default.paths.logs=${LOG_DIR}                       \

                            cfg:default.paths.data=${DATA_DIR}                      \

                            cfg:default.paths.plugins=${PLUGINS_DIR}                \

                            cfg:default.paths.provisioning=${PROVISIONING_CFG_DIR}  



LimitNOFILE=10000

TimeoutStopSec=20

CapabilityBoundingSet=

DeviceAllow=

LockPersonality=true

MemoryDenyWriteExecute=false

NoNewPrivileges=true

PrivateDevices=true

PrivateTmp=true

ProtectClock=true

ProtectControlGroups=true

ProtectHome=true

ProtectHostname=true

ProtectKernelLogs=true

ProtectKernelModules=true

ProtectKernelTunables=true

ProtectProc=invisible

ProtectSystem=full

RemoveIPC=true

RestrictAddressFamilies=AF_INET AF_INET6 AF_UNIX

RestrictNamespaces=true

RestrictRealtime=true

RestrictSUIDSGID=true

SystemCallArchitectures=native

UMask=0027



[Install]

WantedBy=multi-user.target

導(dǎo)入數(shù)據(jù)和控制臺(tái)：分分鐘搞定Grafana（圖文詳解）目前我這邊沒(méi)有數(shù)據(jù)可視化展示需求，也不是重點(diǎn)，就不考慮了。

路由

路由（Route）是請(qǐng)求的入口點(diǎn)，它定義了客戶端請(qǐng)求與服務(wù)之間的匹配規(guī)則。路由可以與服務(wù)（Service）、上游（Upstream）關(guān)聯(lián)，一個(gè)服務(wù)可對(duì)應(yīng)一組路由，一個(gè)路由可以對(duì)應(yīng)一個(gè)上游對(duì)象（一組后端服務(wù)節(jié)點(diǎn)），因此，每個(gè)匹配到路由的請(qǐng)求將被網(wǎng)關(guān)代理到路由綁定的上游服務(wù)中。

上游

上游列表包含了已創(chuàng)建的上游服務(wù)（即后端服務(wù)），可以對(duì)上游服務(wù)的多個(gè)目標(biāo)節(jié)點(diǎn)進(jìn)行負(fù)載均衡和健康檢查。

服務(wù)

服務(wù)由路由中公共的插件配置、上游目標(biāo)信息組合而成。服務(wù)與路由、上游關(guān)聯(lián)，一個(gè)服務(wù)可對(duì)應(yīng)一組上游節(jié)點(diǎn)、可被多條路由綁定

消費(fèi)者

消費(fèi)者是路由的消費(fèi)方，形式包括開(kāi)發(fā)者、最終用戶、API 調(diào)用等。創(chuàng)建消費(fèi)者時(shí)，需綁定至少一個(gè)認(rèn)證類插件 包含身份驗(yàn)證、安全防護(hù)、流量控制、無(wú)服務(wù)器架構(gòu)、可觀測(cè)性和其他幾個(gè)類型。

插件

插件類型有如下幾種：官方插件文檔

• 身份驗(yàn)證
  • 一個(gè)需要使用的身份驗(yàn)證插件consumer。將基本身份驗(yàn)證添加到 aservice或route.
  • 與 Keycloak 身份服務(wù)器一起使用的授權(quán)插件。Keycloak 是符合 OAuth/OIDC 和 UMA 的身份服務(wù)器。雖然它是與 Keycloak 一起開(kāi)發(fā)的，但它也應(yīng)該與任何 OAuth/OIDC 和 UMA 兼容的身份提供者一起使用
  • Casbin
  • 基于 lua-casbin 的 Apache APISIX 插件，支持基于各種訪問(wèn)模型的強(qiáng)大授權(quán)
  • 是一個(gè)強(qiáng)大的、高效的開(kāi)源訪問(wèn)控制框架，其權(quán)限管理機(jī)制支持多種訪問(wèn)控制模型
  • 官網(wǎng)地址
  • authz-casbin
  • authz-keycloak
  • basic-auth

然后consumer將其密鑰添加到請(qǐng)求標(biāo)頭以驗(yàn)證其請(qǐng)求

• hmac-auth
  • 一個(gè)需要使用的身份驗(yàn)證插件consumer。將 HMAC 身份驗(yàn)證添加到 aservice或route
• jwt-auth
  • 一個(gè)需要使用的身份驗(yàn)證插件consumer。將 JWT 身份驗(yàn)證添加到service或route
  • 然后consumer將其密鑰添加到查詢字符串參數(shù)、請(qǐng)求標(biāo)頭或cookie驗(yàn)證其請(qǐng)求
• key-auth
  • 一個(gè)身份驗(yàn)證插件，它應(yīng)該consumer一起工作
  • 將密鑰身份驗(yàn)證（有時(shí)也稱為 API 密鑰）添加到服務(wù)或路由。消費(fèi)者然后在查詢字符串參數(shù)或標(biāo)頭中添加他們的密鑰來(lái)驗(yàn)證他們的請(qǐng)求
• ldap-auth
  • 一個(gè)身份驗(yàn)證插件，可以與consumer. 將 Ldap 身份驗(yàn)證添加到 aservice或route
• openid-connect
  • OAuth 2 / Open ID Connect(OIDC) 插件為 APISIX 提供身份驗(yàn)證和自省功能
• wolf-rbac
  • 身份驗(yàn)證和授權(quán) (rbac) 插件。它需要與consumer. 還需要添加wolf-rbac一個(gè)service或route。rbac 功能由wolf提供
  • wolf 文檔
• 安全防護(hù)
  • 該插件幫助我們攔截用戶請(qǐng)求，我們只需要指明block_rules可以通過(guò)和標(biāo)頭ua-restriction限制對(duì)服務(wù)或路由的訪問(wèn)。allowlistdenylist User-Agent插件在轉(zhuǎn)發(fā)到上游服務(wù)之前驗(yàn)證請(qǐng)求。驗(yàn)證插件使用 json-schema 來(lái)驗(yàn)證模式。該插件可用于驗(yàn)證標(biāo)題和正文數(shù)據(jù)。通過(guò)將請(qǐng)求標(biāo)頭引用者列入白名單來(lái)限制對(duì)服務(wù)或路由的訪問(wèn)可以通過(guò)將ip-restrictionIP 地址列入白名單或列入黑名單來(lái)限制對(duì)服務(wù)或路由的訪問(wèn)。可以使用 CIDR 表示法中的單個(gè) IP、多個(gè) IP 或范圍，例如 10.10.10.0/24故障注入插件，這個(gè)插件可以和其他插件一起使用，并且會(huì)在其他插件之前執(zhí)行。該abort屬性會(huì)直接將用戶指定的http代碼返回給客戶端，并終止后續(xù)插件。該delay屬性將延遲請(qǐng)求并執(zhí)行后續(xù)插件CORS根據(jù)consumer-restriction選擇的不同對(duì)象做出相應(yīng)的訪問(wèn)限制插件實(shí)現(xiàn)了 API 熔斷功能，以幫助我們保護(hù)我們的上游業(yè)務(wù)服務(wù)api-breakerconsumer-restrictioncorsfault-injectionip-restrictionreferer-restrictionrequest-validationua-restrictionuri-blocker
• 流量控制
  • 流量拆分插件允許用戶逐步引導(dǎo)各個(gè)上游之間的流量百分比。
  • 注意：由于加權(quán)循環(huán)算法的缺點(diǎn)（特別是當(dāng) wrr 狀態(tài)被重置時(shí)），每個(gè)上游之間的比率可能不太準(zhǔn)確
  • 使用“漏桶”方法限制請(qǐng)求速率
  • 在給定時(shí)間窗口內(nèi)通過(guò)固定數(shù)量的請(qǐng)求限制請(qǐng)求速率
  • 限制請(qǐng)求并發(fā)插件
  • limit-conn
  • limit-count
  • limit-req
  • traffic-split
• 無(wú)服務(wù)器架構(gòu)
  • 指定階段開(kāi)始時(shí)運(yùn)行
  • 指定階段結(jié)束時(shí)運(yùn)行
  • 一個(gè)內(nèi)置在 Apache APISIX 中的無(wú)服務(wù)器插件，用于與Azure Serverless Function無(wú)縫集成，作為動(dòng)態(tài)上游將特定 URI 的所有請(qǐng)求代理到 Microsoft Azure 云，這是生產(chǎn)環(huán)境中最常用的公共云平臺(tái)之一。如果啟用，此插件將終止對(duì)該特定 URI 的持續(xù)請(qǐng)求，并代表客戶端使用用戶設(shè)置的適當(dāng)授權(quán)詳細(xì)信息、請(qǐng)求標(biāo)頭、請(qǐng)求正文、參數(shù)向 azure faas（新上游）發(fā)起新請(qǐng)求（所有這三個(gè)組件都從原始請(qǐng)求傳遞）并將響應(yīng)正文、狀態(tài)代碼和標(biāo)頭返回給調(diào)用 APISIX 代理的請(qǐng)求的原始客戶端
  • azure-functions
  • serverless-post-function
  • serverless-pre-function
• 可觀測(cè)性
  • 一個(gè) OpenTracing 插件
  • 一個(gè)將日志數(shù)據(jù)請(qǐng)求推送到 UDP 服務(wù)器的插件
  • 一個(gè)將日志數(shù)據(jù)請(qǐng)求推送到 TCP 服務(wù)器的插件
  • 一個(gè)將日志數(shù)據(jù)請(qǐng)求推送到 Syslog 的插件
  • 一個(gè)使用 RF5424將Log數(shù)據(jù)請(qǐng)求推送到阿里云Log Server的插件
  • 個(gè)通過(guò) HTTP將訪問(wèn)日志數(shù)據(jù)推送到服務(wù)器的插件
  • SkyWalking使用其原生 Nginx LUA 跟蹤器從服務(wù)和 URI 角度提供跟蹤、拓?fù)浞治龊椭笜?biāo)
  • 為通過(guò) APISIX 代理的每個(gè)請(qǐng)求添加一個(gè)唯一 ID (UUID)。此插件可用于跟蹤 API 請(qǐng)求。header_name如果請(qǐng)求中已經(jīng)存在，插件將不會(huì)添加請(qǐng)求 ID
  • 該插件將添加/apisix/prometheus/metrics以公開(kāi)指標(biāo)
  • 這些指標(biāo)通過(guò)單獨(dú)的 Prometheus 服務(wù)器地址公開(kāi)。默認(rèn)情況下，地址是127.0.0.1:9091. 您可以在 中更改它c(diǎn)onf/config.yaml
  • 一個(gè)插件，用作 ngx_lua nginx 模塊的 Kafka 客戶端驅(qū)動(dòng)程序
  • 此插件提供將請(qǐng)求日志數(shù)據(jù)作為 JSON 對(duì)象推送到外部 Kafka 集群的能力
  • 一個(gè)將日志數(shù)據(jù)請(qǐng)求推送到 HTTP/HTTPS 服務(wù)器的插件
  • 一個(gè)將 APISIX 的日志數(shù)據(jù)推error.log送到 TCP 服務(wù)器或Apache SkyWalking的插件
  • 該插件將提供將級(jí)別選擇的日志數(shù)據(jù)發(fā)送到監(jiān)控工具和其他 TCP 服務(wù)器以及通過(guò) HTTP 的 SkyWalking 的能力
  • 個(gè)內(nèi)置于 Apache APISIX 的監(jiān)控插件，用于與Datadog 無(wú)縫集成，Datadog是云應(yīng)用程序最常用的監(jiān)控和可觀察性平臺(tái)之一。如果啟用，此插件支持針對(duì)每個(gè)請(qǐng)求和響應(yīng)周期的多種強(qiáng)大類型的指標(biāo)捕獲，這基本上反映了系統(tǒng)的行為和健康狀況
  • datadog
  • error-log-logger
  • http-logger
  • kafka-logger
  • prometheus
  • request-id
  • skywalking
  • skywalking-logger
  • sls-logger
  • syslog
  • tcp-logger
  • udp-logger
  • zipkin
• 其他
  • 響應(yīng)重寫插件，重寫上游返回的內(nèi)容以及 Apache APISIX 本身動(dòng)態(tài)更改 APISIX 看到的客戶端 IP 和端口一個(gè)上游代理信息重寫插件提供鏡像客戶端請(qǐng)求的能力注意：鏡像請(qǐng)求返回的響應(yīng)被忽略提供了緩存上游響應(yīng)數(shù)據(jù)的能力，并且可以與其他插件一起使用。該插件支持基于磁盤的緩存，未來(lái)將支持基于內(nèi)存的緩存動(dòng)態(tài)設(shè)置 Nginx 的 gzip 行為http(s)轉(zhuǎn)grpc執(zhí)行大多數(shù)內(nèi)置 Lua 插件之前，在插件運(yùn)行器中運(yùn)行特定的外部插件執(zhí)行大多數(shù)內(nèi)置 Lua 插件之后，在插件運(yùn)行器中運(yùn)行特定的外部插件動(dòng)態(tài)控制 Nginx 的行為以處理客戶端請(qǐng)求可以接受多個(gè)請(qǐng)求并apisix通過(guò)http管道發(fā)送它們，并將聚合響應(yīng)返回給客戶端，當(dāng)客戶端需要訪問(wèn)多個(gè)API時(shí)可以顯著提高性能batch-requestsclient-controlext-plugin-post-reqext-plugin-pre-reqgrpc-transcodegzipproxy-cacheproxy-mirrorproxy-rewritereal-ipresponse-rewrite

對(duì)插件的合理使用已經(jīng)可以解決絕大部分的問(wèn)題，比如proxy-mirror和Proxy-cache拿來(lái)鏡像客戶端的請(qǐng)求，然后我們就可以拿這些請(qǐng)求來(lái)額外做分析，比如做反爬蟲(chóng)和數(shù)據(jù)安全相關(guān)的內(nèi)容。

證書(shū)

證書(shū)被網(wǎng)關(guān)用于處理加密請(qǐng)求，它將與 SNI 關(guān)聯(lián)，并與路由中主機(jī)名綁定。

修改定制化

前端界面的修改

前端項(xiàng)目的代碼結(jié)構(gòu)如下

其中web目錄里面就是項(xiàng)目的前端頁(yè)面

整個(gè)項(xiàng)目是由vue編寫，可以使用yarn構(gòu)建，所以項(xiàng)目可以以調(diào)試模式使用yarn build命令進(jìn)行運(yùn)行。官方調(diào)試文檔值得注意的是，我這邊在最后一步，使用yarn start似乎不能成功登陸，只能使用yarn start:e2e指令。

調(diào)試的目的就是不用走編譯，邊改邊看效果，因?yàn)閥arn會(huì)檢測(cè)文件變化然后進(jìn)行實(shí)時(shí)編譯。調(diào)試的結(jié)構(gòu)為

# 進(jìn)入到web目錄，項(xiàng)目運(yùn)行在8000端口

yarn start:e2e 

# 退出到dashboard項(xiàng)目目錄

# 開(kāi)啟接口服務(wù)，運(yùn)行在9000端口

make api-run

然后訪問(wèn)8000端口的應(yīng)用，登錄即可。讓我們來(lái)看看實(shí)時(shí)編譯：

然后我去修改defaultSettings.ts：

可以看見(jiàn)就觸發(fā)了實(shí)時(shí)編譯。這個(gè)時(shí)候就可以進(jìn)行動(dòng)態(tài)調(diào)試。

頁(yè)面也發(fā)生了變化（123是我剛剛才加的）

這只是一個(gè)簡(jiǎn)單的例子，更多的修改將在接下來(lái)的文章里面跟大家分享。

apisix能力層的修改

github上面的APISIX有很多不同的版本，所以掌握一手github切換分支的操作就尤為重要。就我觀察而言，這個(gè)版本的代碼應(yīng)該是最新的比穩(wěn)定版本多了一些插件。我之前的源碼是在gitee上面下載的，結(jié)果版本太老了，代碼跟github不是一樣的，所以還是回歸到了github。慢點(diǎn)就慢點(diǎn)吧。從github下載的apisix的代碼如下：

其中核心代碼在apisix目錄中，

里面都是lua腳本，其整體架構(gòu)和之前分析的Orange差不多，都是由插件系統(tǒng)構(gòu)成擴(kuò)展功能，只不過(guò)基礎(chǔ)的實(shí)現(xiàn)不一樣。我們?cè)陂_(kāi)源項(xiàng)目上做擴(kuò)展主要就是擴(kuò)展插件。要擴(kuò)展插件就得弄明白其插件調(diào)用流程以及實(shí)現(xiàn)方法。這部分內(nèi)容將在接下來(lái)的文章里面描繪。

本文章轉(zhuǎn)載微信公眾號(hào)@海燕技術(shù)棧

#你可能也喜歡這些API文章!

如何用AI進(jìn)行情感分析

AI如何優(yōu)化圖像識(shí)別

AI如何檢測(cè)欺詐行為

如何用Keras構(gòu)建模型

AI在自動(dòng)駕駛中的作用

機(jī)器學(xué)習(xí)中的過(guò)擬合問(wèn)題

AI如何處理時(shí)間序列數(shù)據(jù)的全面指南

AI模型部署的最佳實(shí)踐

AI與云計(jì)算的結(jié)合釋放數(shù)據(jù)的無(wú)限潛力