日10亿级处理，基于云的微服务架构（2）

10.4     API 网关

API 网关是微服务架构中不可或缺的部分。API 网关是对外提供的服务，是系统的入口，所有的外部系统都需要通过 API 网关来接入。Dgateway 提供安全认证、流控、路由、 API 版本管理等功能。流控维度分为用户类型、用户来源、IP、业务 API 等，保护服务或资源不被滥用或攻击。DGateway 基于开源软件 Tyk 做了二次开发。

10.5     服务框架

服务框架分两部分，高可用的 RPC（DerbySoft-RPC）和服务依赖管理，如图 10.4 所示。

10.5.1    高可用 RPC

RPC 是微服务架构中最重要的基础组件，一个健壮的 RPC 能有效降低实施微服务架构的成本。RPC 封装了远程调用的复杂细节，让服务使用方感觉像调用本地方法一样调用远程方法，服务提供方感觉像实现本地接口一样来实现服务。DerbySoft-RPC 分为 Client 和Server 两部分。Client 主要有以下功能。

客户端故障检测，识别并标示太慢或崩溃了的服务器。

熔断机制，如果发现服务超时比例过限，则启动熔断，客户端会快速返回失败，以减轻服务端的压力，定时允许部分请求通过，根据请求返回的健康程度来决定是否恢复熔断。

负载均衡策略，通过记录到每个节点的未完成请求数来决定下一个请求发到哪里。容错机制，对某些错误自动重试，比如连接的服务节点不可用时可以自动将请求再次发送到其他节点，可定义重试次数。

序列化和反序列化，选择序列化工具最重要的考量点有性能高低、是否多语言支持、序列化后的消息大小、是否向前兼容等。我们尝试过各种序列化工具，而 Protocol Buffer 在性能和空间占用上都表现优异，是我们使用最频繁的序列化工具。对敏感数据加密，比如信用卡等敏感信息，需要在 Client 端加密传输。

超时管理，可设定每个请求的超时时间。

Server 部分相对简单，主要提供超时管理、序列化和反序列化、敏感信息解密、队列管理、线程管理等功能。

刚才提到选择序列化工具时需要考虑是否支持多语言，这一点很重要，RPC 最好能在多语言环境下实现，这样能让技术团队突破编程语言限制，使技术栈更丰富灵活。我们在这方面是有过教训的。

在公司早期，大概是 2009 年，当时的业务量不大，在语言上主要使用 Java，为了方便我们在第一个 RPC 版本上采用了 Java 序列化机制，却导致后面想要更换编程语言时大受限制。因此我们做了第二版 RPC，将序列化机制换掉，采用 Java 的字节序以兼容第一个版本。DerbySoft-RPC 是第三版 RPC，实现了对 Go、Scala 和 Java 三种语言的兼容。原则上我们不限制服务的实现语言，只要能按要求实现服务接口并满足性能要求即可。微服务化后的一个好处就是根本不用担心使用小众的编程语言，如果每个服务的粒度足够小，那么最坏的情况就是在没人能维护这个小众语言的服务时，需要花点时间用熟悉的语言来重写。

10.5.2    服务依赖管理

微服务化之后，系统面临的一个突出问题是服务虽小，但是数量极多。如果这些服务全部在一个可用区内，那么服务之间的依赖还比较好管理，可以做服务自动注册和发现来实现依赖管理，但是如果服务分布在很多可用区中，尤其是分布在跨国跨地区的可用区之间，则其依赖和调用的管理就会比较麻烦。

另外，跨可用区服务之间的调用还需要考虑通信安全的问题，对每个服务设置不同的特殊端口，如果需要跨区域调用服务，那么配置访问权限也是一件麻烦的事情。

众多服务的依赖示例如图 10.5 所示。

图 10.5 所示的服务依赖是不是很乱？我们的服务节点分布在全球 14 个可用区，大部分在亚马逊云上，小部分在自建的私有云里，可用区之间的服务有复杂的依赖关系。为了解决这种情况下服务之间的依赖调用问题、API 安全问题和服务的高可用问题，我们设计开发了路由服务，以解耦服务的调用者和提供者，简化网络拓扑及服务器的安全配置。引入路由之后，简化后的服务之间的依赖关系如图 10.6 所示。

所有的服务只和路由通信，服务之间不再相互依赖，每个服务只需要依赖并维护自己所在的可用区路由节点，路由会找到调用的服务目的地。绝大部分情况下，它在本区域内就能找到相应的服务，不需要跨区，这取决于服务的部署情况。为了提高响应速度，每个可用区都需要部署关键的服务，除非本可用区的服务崩溃了，否则在这种情况下不会出现跨区访问。有些服务不是那么重要，可能只会在某个或某几个可用区中部署，这时也可能会出现服务跨可用区调用的情况。

这样不仅更好地管理了依赖，解决了服务器可用区调用问题，还解决了 API 访问安全问题：每个可用区建立一个 VPC（虚拟私有云），所有的服务都在 VPC 内，VPC 内的 API 调用可忽略安全验证，跨 VPC 路由节点之间用安全组来限制 IP 白名单访问，只允许路由节点可以跨可用区访问其他 VPC 内的路由节点，服务访问路由或者路由访问服务都必须在同一个 VPC 内使用内网地址访问。