Kong介绍(基于Nginx和Lua(OpenResty)构建的开源API网关)Mashape、数据平面、控制平面、无数据库模式DB-less、负载均衡策略、Ingress、WAF、Envoy
文章目录
- Kong:开源 API 网关详解与实践指南
- 一、什么是 Kong?
- 二、Kong 架构解析
- 1. 数据平面(Data Plane)
- 2. 控制平面(Control Plane)
- 3. 插件系统(Plugin System)
- 4. Kong Gateway vs Kong Ingress Controller
- 三、核心功能
- 1. 路由与负载均衡
- 2. 身份认证与授权
- 3. 限流与流控
- 4. 可观测性
- 5. 安全能力
- 四、Kong 的典型使用场景
- 1. 微服务统一入口
- 2. API 管理平台
- 3. 多租户系统
- 4. Kubernetes Ingress 网关
- 五、Kong vs 其他 API 网关
- (补充)Kong与Envoy对比
- 六、Kong 的部署方式
- 1. 单机部署
- 2. Docker Compose
- 3. Kubernetes 部署(推荐)
- 4. DB-less 模式
- 七、实践建议
- 1. 插件使用建议
- 2. 性能优化
- 3. 安全建议
- 4. 可观测性建设
- 八、总结
Kong:开源 API 网关详解与实践指南
在微服务架构和云原生时代,API 网关已经成为系统架构中的关键组件。它不仅是流量入口,更承担了认证、限流、监控、安全等核心职责。在众多 API 网关解决方案中,Kong作为一款高性能、开源、云原生友好的 API 网关,得到了广泛应用。
本文将从架构、核心功能、使用场景以及实践建议等方面,全面介绍 Kong。
一、什么是 Kong?
Kong 是一款基于 Nginx 和 Lua(OpenResty)构建的开源 API 网关,最初由 Mashape(现为 Kong Inc.)开发。它专注于为微服务架构提供高性能、可扩展的 API 管理能力。
核心特点:
- 高性能(基于 Nginx 事件驱动模型)
- 插件化架构,功能可扩展
- 支持多种部署模式(传统 / DB-less / Kubernetes)
- 云原生友好(与 Kubernetes、Service Mesh 生态兼容)
二、Kong 架构解析
Kong 的架构可以分为以下几个核心部分:
1. 数据平面(Data Plane)
负责处理实际的 API 请求流量,包括:
- 路由请求(Routing)
- 执行插件逻辑(认证、限流等)
- 转发请求到后端服务
本质上就是增强版的 Nginx。
2. 控制平面(Control Plane)
负责配置管理,例如:
- API 路由规则
- 插件配置
- 服务注册信息
Kong 支持两种模式:
传统模式(DB Mode)
- 使用 PostgreSQL 或 Cassandra 存储配置
无数据库模式(DB-less)
- 使用 declarative config(YAML/JSON)
3. 插件系统(Plugin System)
Kong 的核心竞争力之一是其插件机制:
- 官方插件(认证、限流、日志等)
- 自定义插件(基于 Lua 开发)
- 支持在不同阶段执行(access、rewrite、log 等)
4. Kong Gateway vs Kong Ingress Controller
在 Kubernetes 场景中:
- Kong Gateway:核心网关
- Kong Ingress Controller:将 Kubernetes Ingress 转换为 Kong 配置
三、核心功能
1. 路由与负载均衡
Kong 支持多种路由方式:
- 基于路径(/api)
- 基于域名(api.example.com)
- 基于 Header
支持负载均衡策略:
- Round-robin(轮询)
- Least connections(最少连接数)
- Hash-based(基于哈希,适合需要状态保持的应用)
2. 身份认证与授权
Kong 提供丰富的认证插件:
- Key Auth
- Basic Auth
- JWT
- OAuth2
支持与外部身份系统集成(如 OIDC)。
3. 限流与流控
常见限流策略:
- 基于 IP
- 基于消费者(Consumer)
- 分布式限流(Redis)
支持多维度限流组合。
4. 可观测性
Kong 提供多种日志与监控能力:
- Prometheus 指标
- 日志输出(file / syslog / HTTP)
- 分布式追踪(Zipkin / Jaeger)
5. 安全能力
- HTTPS / TLS 终止
- 请求/响应转换(防止敏感数据泄露)
- IP 黑白名单
- 防止常见攻击(配合 WAF(Web Application Firewall:Web应用防火墙))
四、Kong 的典型使用场景
1. 微服务统一入口
在微服务架构中:
Client → Kong → Service A / Service B / Service CKong 作为统一入口,负责:
- 路由分发
- 鉴权
- 限流
2. API 管理平台
结合 Kong 的 Admin API 或 Kong Manager,可以实现:
- API 生命周期管理
- 开发者门户
- API 文档管理
3. 多租户系统
通过 Consumer + Plugin,可以实现:
- 不同用户限流策略
- API 访问隔离
4. Kubernetes Ingress 网关
Kong 可作为 Ingress Controller:
- 替代 Nginx Ingress
- 更强的插件能力
- 更灵活的流量控制
五、Kong vs 其他 API 网关
| 特性 | Kong | Nginx | Envoy |
|---|---|---|---|
| 插件系统 | 强 | 弱 | 中 |
| 动态配置 | 支持 | 有限 | 强 |
| 易用性 | 高 | 中 | 低 |
| 云原生支持 | 强 | 中 | 强 |
总结:
- Kong:适合 API 管理与插件扩展
- Nginx:适合轻量场景
- Envoy:适合 Service Mesh
(补充)Kong与Envoy对比
Kong 更看重Kubernetes 原生集成 + 开箱插件能力 + 运维落地效率,而不是最低层代理性能本身。
Envoy 通常更偏“数据面引擎”,如果不用现成网关控制面(如 Istio/Contour/Ambassador 等)去封装,落地这些网关能力的集成成本会很高。
六、Kong 的部署方式
1. 单机部署
适用于开发环境:
dockerrun-d-p8000:8000-p8001:8001 kong2. Docker Compose
适用于测试环境:
- Kong + PostgreSQL
- 简单易用
3. Kubernetes 部署(推荐)
使用 Helm:
helminstallkong kong/kong优势:
- 自动扩展
- 高可用
- 与云原生生态集成
4. DB-less 模式
适用于:
- 配置简单
- 无需数据库依赖
- CI/CD 自动化部署
七、实践建议
1. 插件使用建议
- 优先使用官方插件
- 避免过多插件影响性能
- 对关键插件进行压测
2. 性能优化
- 开启缓存(如 DNS / upstream)
- 合理配置 worker 进程
- 使用 DB-less 模式降低延迟
3. 安全建议
- 强制 HTTPS
- 使用认证插件(JWT / OIDC)
- 限制 Admin API 访问
4. 可观测性建设
建议集成:
- Prometheus(指标)
- Grafana(可视化)
- Jaeger(链路追踪)
八、总结
Kong 作为一款成熟的开源 API 网关,具备以下优势:
- 高性能、稳定可靠
- 插件化设计,扩展性强
- 云原生友好,适配 Kubernetes
- 丰富的生态和社区支持
在现代微服务和 API 驱动的系统中,Kong 不仅是“网关”,更是“治理核心”。如果你的系统需要统一流量入口、增强安全控制、提升可观测性,Kong 是一个非常值得考虑的解决方案。