0602-Zuul构建API Gateway-Zuul Http Client、cookie、header
一、Zuul Http Client
zuul使用的默认HTTP客户端现在由Apache HTTP Client支持,而不是已弃用的Ribbon RestClient。要使用RestClient或使用okhttp3.OkHttpClient,请分别设置ribbon.restclient.enabled = true或ribbon.okhttp.enabled = true。如果您想定制Apache HTTP客户端或OK HTTP客户端提供ClosableHttpClient或OkHttpClient类型的Bean。
二、Cookies和敏感header头
2.1、基础使用
在同一个系统中的服务之间共享header是可以的,但你可能不希望敏感的header向下游泄漏到外部服务器中。您可以指定一个忽略的header列表作为路由配置的一部分。Cookie扮演着特殊的角色,因为他们在浏览器中具有明确定义的语义,并且始终将其视为敏感。如果代理的用户是浏览器,那么下游服务的cookie也会给用户带来问题,因为它们都混乱了(所有下游服务看起来都是来自同一个地方)。
如果您对服务的设计非常小心,例如,如果只有一个下游服务设置了cookie,那么您可能会让它们从后端一路流向调用者。另外,如果您的代理设置了Cookie并且所有后端服务都属于同一个系统,那么简单地共享它们(例如使用Spring Session将它们链接到某个共享状态)可能是很自然的。除此之外,任何由下游服务设置的cookie都可能对调用者不是很有用,因此建议您将(至少)“Set-Cookie”和“Cookie”制作为不属于您的域的路由的敏感header。即使对于属于您的域名的路由,也要尽量仔细考虑它们在允许Cookie与代理之间流动之前的含义。
敏感header可以配置为每个路由以逗号分隔的列表,例如,
zuul: routes: users: path: /myusers/** sensitiveHeaders: Cookie,Set-Cookie,Authorization url: https://downstream
其中sensitiveHeaders:未传递到下游请求的敏感header列表。默认为通常包含用户凭据的一组“安全”的报头。如果下游服务是与代理相同的系统的一部分,那么它们就可以从列表中删除这些文件,因此它们正在共享认证数据。如果在自己的域之外使用物理URL,那么通常泄漏用户凭据将是一个坏主意。
注意:这是sensitiveHeaders的默认值,所以你不需要设置它,除非你想让它不同。注:这是Spring Cloud Netflix 1.1中的新功能(在1.0中,用户无法控制header和所有cookie在两个方向上流动)。
2.2、空header
sensitiveHeaders是一个黑名单,默认不是空的,所以为了让Zuul发送所有的头文件(除了“被忽略”的头文件),你必须明确地将它设置为空列表。
zuul: routes: users: path: /myusers/** sensitiveHeaders: url: https://downstream
敏感header也可以通过设置zuul.sensitiveHeaders进行全局设置。如果sensitiveHeaders在路由上设置,这将覆盖全局sensitiveHeaders设置。
2.3、忽略header
除了每个路由敏感报头之外,您还可以为zuul.ignoredHeaders设置一个全局值,以便在与下游服务交互期间应丢弃的值(包括请求和响应)。默认情况下,如果Spring Security不在类路径中,它们是空的,否则它们被初始化为Spring Security指定的一组众所周知的“安全”头文件(例如涉及缓存)。在这种情况下,假设下游服务可能也会添加这些header,并且我们需要来自代理的值。为了不丢弃这些众所周知的安全性头文件,以防Spring Security在类路径中,您可以将zuul.ignoreSecurityHeaders设置为false。如果您在Spring Security中禁用了HTTP安全响应头并且需要下游服务提供的值,这会很有用
三、Manager Endpoint
如果您在Spring Boot Actuator中使用@EnableZuulProxy,您将启用(默认情况下)两个附加端点:
- Routes
- Filters
注意:关闭验证或者开启:management.security.enabled=false
3.1、Routes Endpoint
GET / routes路由端点将返回映射路由列表:
{ /stores/**: "http://localhost:8081" }
可以通过将?format = details查询字符串添加到/ routes来请求其他路由详细信息。这将产生以下输出:GET /routes?format=details.
{ "/stores/**": { "id": "stores", "fullPath": "/stores/**", "location": "http://localhost:8081", "path": "/**", "prefix": "/stores", "retryable": false, "customSensitiveHeaders": false, "prefixStripped": true } }
POST将强制刷新现有routes(例如,如果服务目录中有更改)。您可以通过将endpoints.routes.enabled设置为false来禁用此端点。
注意:路由应该自动响应服务目录中的更改,但POST /路由是强制更改立即发生的一种方式。
3.2、Filters Endpoint
GET / filters中的过滤器端点将按类型返回Zuul过滤器的映射。对于地图中的每种过滤器类型,您可以找到该类型的所有过滤器的列表及其详细信息。
四、绞杀者模式和本地转发
绞杀者模式:参看博客https://martinfowler.com/bliki/StranglerApplication.html
迁移现有应用程序或API时常见的模式是“扼杀”旧的端点,并慢慢地用不同的实现替换它们。Zuul代理是一个有用的工具,因为您可以使用它来处理来自旧端点客户端的所有流量,但会将某些请求重定向到新端点。
application.yml.
zuul: routes: first: path: /first/** url: http://first.example.com second: path: /second/** url: forward:/second third: path: /third/** url: forward:/3rd legacy: path: /** url: http://legacy.example.com
在这个例子中,我们扼杀了映射到与其他模式不匹配的所有请求的“遗留”应用程序。/ first / **中的路径已被提取到具有外部URL的新服务中。并且/ second / **路径被转发,以便它们可以在本地处理,例如,与一个正常的Spring @RequestMapping。/ third / **中的路径也被转发,但具有不同的前缀(即/ third / foo被转发到/ 3rd / foo)。
被忽略的模式不会被完全忽略,它们只是不被代理处理(所以它们也被有效地本地转发)。