API网关是微服务生态中的重要一环。在微服务架构体系中，将单体应用程序拆分为多个低耦合的服务，每个服务独立的维护和部署。服务划分带来了接口的规模成倍增长，接口的依赖和管理变得复杂，客户端难以快速、安全地访问到所需的信息等问题。使用API网关发布和管理API逐渐成为一种趋势。

HC-Gateway是基于Java开发的API网关平台，提供高性能、高可用、易扩展的统一API网关解决方案。

为什么要使用API网关？

微服务过程带来的问题

● 微服务API对接成本高，由于API的不统一增加了微服务的对接和测试成本。

● 重复开发通用功能。用户管理、认证鉴权作为应用通用功能，多个应用均需要重复开发和部署，增加了开发成本。● 开放API 管理繁琐。每个微服务通过暴露API对外提供访问，缺少 API 的统一抽象， 接口文档维护、版本管理，且手工操作复杂容易出错。● 服务划分会随着时间的推移而发生变化，应该对客户端隐藏修改，或者可以通知客户端变化。

........

针对上述微服务中常见的问题，需要一种机制协助解决。

网关提供解决方案

API网关的出现解决了上述问题，它可以充当外部请求与内部服务之间的流量入口，接收来自客户端的所有业务请求，然后通过路由转发给后端微服务，承载起重要的数据输入输出工作。

随着微服务的发展，技术架构的演进升级，现代API网关也需要具备一定的服务治理能力，如负载均衡、限流、熔断，以及鉴权、监控、灰度发布等对外开放服务所需要的通用功能，以此解决更多的用户痛点，使开发人员只需聚焦于业务实现，对软件交付标准化、服务生命周期管理以及开发效率的提升具有重要意义。

谐云API网关总体介绍

产品特点

1. API网关全生命周期管理

支持对接口生命周期过程中的开发、调试、发布、授权、接口文档、日志分析、下线的管理，保证各个阶段的稳定进行。

2. 易扩展性

提供了丰富的系统组件完成鉴权、限流、监控等能力，能够满足大部分的业务需求；支持自定义插件满足个性化需求、便于调整或替换已有集成功能，不必频繁对网关层代码进行改动，确保网关层的稳定性。

3. 高可管理性

匹配企业的各种管理特性，包括多租户、多权限、多环境的管理。

4. 丰富的可观测性

提供网关、应用、路由、服务级别的监控能力，支持链路追踪，将监控数据输出到控制台，提供图像化的展示，帮助用户监控与定位问题。

5. 全面的安全防护

提供API认证、访问控制、流量控制、IP黑白名单等多种安全机制，避免潜在的安全风险。

6. API门户

 支持将接口上架到API门户，提供给第三方开发者采购与使用。

整体架构

HC-Gateway的整体架构如下图所示：

控制面：提供完善的网关管控，完成服务、接口、应用的相关管理以及配置下发工作。数据面：可多实例扩展，支持多种类型的微服务接入，包括Nacos、Eureka、Kubernetes微服务、自定义服务；负责网关具体策略的执行，如路由策略、灰度策略、流控策略、安全策略等。

功能架构

核心能力介绍

1.服务发现   

支持从Eureka、Nacos、Kubernetes、Openshift多种类型注册中心发现后端服务。

2.智能路由    

支持根据请求方法、Header、Cookie 动态匹配路由，以及负载均衡和版本分流。

3.安全防护与访问控制    

支持Basic、 Oauth2、JWT 等常见身份认证方式，只有通过身份认证的请求才可以访问微服务的接口；提供流量控制、黑白名单、Cors跨域资源访问、接口缓存功能，保证请求安全与高效。

4.流量治理    

支持超时重试、流控、降级和熔断等功能流控策略；支持服务的灰度发布、正式发布的全流程服务发布场景。

5.运维监控   全面的请求日志、节点日志和控制台日志，方便排查问题和做统计分析，支持输出日志内容到 Prometheus第三方组件。

应用场景

1.微服务网关

作为微服务架构中的核心组件，是流量的核心出入口，用于连接所有微服务和 API，提供面向用户和面向服务的安全管理，以及路由、流控、接口等基础管理能力。调用方仅需依赖 API 网关，而不需要维护多个微服务的访问地址。

2.业务集成网关

对于企业已建设的业务系统，进行服务集成与系统管理。在微服务架构的转型上对企业来说一大难点是老系统的包袱，企业有很多遗留系统，要全部抽取为微服务改动太大，成本太高。而对于业务系统间存在大量的API互相调用，也存在诸如安全性、访问审计等方面的监管要求。面向业务集成场景，提供对新老系统的服务应用服务集成，接口系统适配转换，接口安全控制与访问审计，标准化接口调用方式。业务集成网关的引入和信息系统接口赋能提升工程，规范系统间 API 接口，快速完成企业内部系统的解耦及前后端分离，实现可观可控的相互访问，帮助企业IT治理得到质的提升。

3.能力开放平台

企业需要将自身数据、能力等作为开发平台向外开放，满足企业与外部合作伙伴的开发调用需求，开放平台可以运行按需申请系统能力的访问和管控，打破系统孤岛实现能力复用。基于能力开放平台可以结合业务场景建立如银行开放平台、算法开放平台等多种门户，建立面向企业的信息系统接口管理平台。

4.统一权限网关

企业的各个业务系统进行访问控制的逻辑可能存在差异，客户端直接请求服务接口时需要适配多种类型的认证机制，通过网关可以屏蔽各个业务系统之间的权限认证差异性，提供统一的权限机制 ；当服务接口暴露在公网时，会存在被恶意访问的风险，通过授权机制配置，客户端只有权限访问通过授权的接口，如果未授权，在网关处拦截，响应给客户端没有访问权限，尽可能的降低接口被恶意访问的风险。