在当今微服务架构盛行的时代,API 网关作为服务入口和安全屏障,其重要性日益凸显。你是否想过,不依赖商业方案,完全基于开源组件,在 Linux 上构建一个属于自己的 私有 API 网关平台?今天就带你从 0 到 1,一步步搭建一个高性能、可拓展的 API 网关系统!
一、为什么要自建 API 网关?
大多数企业依赖 NGINX、Kong、APISIX 等工具实现 API 管理。但在以下场景下,自建 API 网关具有独特优势:
o 数据隐私需求强烈,不希望流量经过第三方
o 需定制请求路由、安全策略、监控机制
o 学习微服务架构演进过程,打下技术基础
二、整体架构设计
本项目基于以下开源组件构建:
组件 | 作用 |
NGINX | 高性能反向代理,处理 API 转发 |
Lua/OpenResty | 请求处理逻辑插件开发 |
Redis | 存储接口限流/黑白名单规则 |
Prometheus + Grafana | 监控与可视化 |
Firewall + fail2ban | 安全防护 |
整体架构图如下:
[客户端] --> [API 网关 (NGINX/OpenResty)] --> [后端服务群]
|
[Redis/Lua 插件]
|
[Prometheus + Grafana]
三、安装 NGINX + Lua 模块
以 Ubuntu 为例:
sudo apt update
sudo apt install -y libnginx-mod-http-lua
sudo apt install -y nginx
检查 Lua 模块是否启用:
nginx -V 2>&1 | grep lua
如果没有,请使用 OpenResty:
# 安装 OpenResty
sudo apt install curl gnupg2
curl -O https://openresty.org/package/pubkey.gpg
sudo apt-key add pubkey.gpg
sudo add-apt-repository -y "deb http://openresty.org/package/ubuntu $(lsb_release -sc) main"
sudo apt update
sudo apt install openresty
四、编写第一个 API 路由逻辑(Lua)
在
/usr/local/openresty/nginx/conf/nginx.conf 中增加:
location /api/ {
content_by_lua_block {
ngx.say("Welcome to your private API Gateway")
}
}
重新加载配置:
sudo openresty -s reload
现在访问 http://localhost/api/,你会看到返回文本。
五、实现接口限流(基于 Redis)
创建 rate_limit.lua:
local redis = require "resty.redis"
local client = redis:new()
client:connect("127.0.0.1", 6379)
local ip = ngx.var.remote_addr
local key = "limit:" .. ip
local limit = 10
local count = client:get(key)
if count == ngx.null then
client:set(key, 1)
client:expire(key, 60)
elseif tonumber(count) > limit then
ngx.status = 429
ngx.say("Too Many Requests")
return ngx.exit(429)
else
client:incr(key)
end
在 NGINX 中挂载该 Lua 文件:
location /api/ {
access_by_lua_file /etc/nginx/lua/rate_limit.lua;
proxy_pass http://backend;
}
六、可视化监控 API 请求
1. 安装 Prometheus NGINX exporter:
docker run -d -p 9113:9113 nginx/nginx-prometheus-exporter
2. 配置 Prometheus 抓取目标 localhost:9113
3. 配置 Grafana 使用 Prometheus 数据源,导入 NGINX Dashboard 模板
七、安全加固建议
o 启用防火墙限制暴露端口
o 使用 fail2ban 防爆破攻击
o 强制 HTTPS 与 JWT 鉴权
o 所有日志集中写入
/var/log/nginx/api_access.log
八、总结与展望
你已经成功从零构建了一个基于 Linux 的私有 API 网关平台。这不仅是一个技术实践,更是对微服务、网关、安全、可 observability 的一次全面实战演练。
后续可扩展:
o 接入 JWT/OAuth2
o 服务发现(结合 Consul 或 Nacos)
o 自定义插件系统(模块化 Lua)