Ocelot是一個用.NET Core實現並且開源的API網關，它功能強大，包括了：路由、請求聚合、服務發現、認證、鑒權、限流熔斷、並內置了負載均衡器與Service Fabric、Butterfly Tracing集成。這些功能只都只需要簡單的配置即可完成，下面我們會對這些功能的配置一一進行說明。

介紹

簡單的來說Ocelot是一堆的asp.net core middleware組成的一個管道。當它拿到請求之後會用一個request builder來構造一個HttpRequestMessage發到下游的真實伺服器，等下游的服務返回response之後再由一個middleware將它返回的HttpResponseMessage映射到HttpResponse上。

API網關—— 它是系統的暴露在外部的一個訪問入口。這個有點像代理訪問的傢伙，就像一個公司的門衛承擔著定址、限制進入、安全檢查、位置引導、等等功能。

Ocelot的基本使用

用一台web service來host Ocelot，在這裡有一個json配置文件，裡面設置了所有對當前這個網關的配置。它會接收所有的客戶端請求，並路由到對應的下游伺服器進行處理，再將請求結果返回。而這個上下游請求的對應關係也被稱之為路由。

集成Identity Server

當我們涉及到認證和鑒權的時候，我們可以跟Identity Server進行結合。當網關需要請求認證信息的時候會與Identity Server伺服器進行交互來完成。

網關集群

只有一個網關是很危險的，也就是我們通常所講的單點，只要它掛了，所有的服務全掛。這顯然無法達到高可用，所以我們也可以部署多台網關。當然這個時候在多台網關前，你還需要一台負載均衡器。

Consul 服務發現

在Ocelot已經支持簡單的負載功能，也就是當下游服務存在多個結點的時候，Ocelot能夠承擔起負載均衡的作用。但是它不提供健康檢查，服務的註冊也只能通過手動在配置文件裡面添加完成。這不夠靈活並且在一定程度下會有風險。這個時候我們就可以用Consul來做服務發現，它能與Ocelot完美結合。

集成網關

在asp.net core 2.0里通過nuget即可完成集成，或者命令行dotnet add package Ocelot以及通過vs2017 UI添加Ocelot nuget引用都可以。

配置

我們需要添加一個.json的文件用來添加Ocelot的配置，以下是最基本的配置信息。

將配置文件加入ASP.NET Core Configuration

我們需要通過WebHostBuilder將我們添加的json文件添加進asp.net core的配置

配置依賴注入與中間件

在startup.cs中我們首先需要引用兩個命名空間

接下來就是添加依賴注入和中間件

Ocelot功能介紹

通過配置文件可以完成對Ocelot的功能配置：路由、服務聚合、服務發現、認證、鑒權、限流、熔斷、緩存、Header頭傳遞等。在配置文件中包含兩個根節點：ReRoutes和GlobalConfiguration。ReRoutes是一個數組，其中的每一個元素代表了一個路由，我們可以針對每一個路由進行以上功能配置。下面是一個完整的路由配置

Downstream是下游服務配置

UpStream是上游服務配置

Aggregates 服務聚合配置

ServiceName, LoadBalancer, UseServiceDiscovery 配置服務發現

AuthenticationOptions 配置服務認證

RouteClaimsRequirement 配置Claims鑒權

RateLimitOptions為限流配置

FileCacheOptions 緩存配置

QosOptions 服務質量與熔斷

DownstreamHeaderTransform頭信息轉發

我們接下來將對這些功能一一進行介紹和配置

路由

路由是API網關最基本也是最核心的功能、ReRoutes下就是由多個路由節點組成。

而每一個路由由以下幾個基本信息組成：

下面這個配置信息就是將用戶的請求 /post/1 轉發到 localhost/api/post/1

DownstreamPathTemplate：下遊戲

DownstreamScheme：下游服務http schema

DownstreamHostAndPorts：下游服務的地址，如果使用LoadBalancer的話這裡可以填多項

UpstreamPathTemplate: 上游也就是用戶輸入的請求Url模板

UpstreamHttpMethod: 上游請求http方法，可使用數組

萬能模板

萬能模板即所有請求全部轉發，UpstreamPathTemplate 與DownstreamPathTemplate 設置為 「/」

萬能模板的優先順序最低，只要有其它的路由模板，其它的路由模板則會優先生效。

上游Host

上游Host也是路由用來判斷的條件之一，由客戶端訪問時的Host來進行區別。比如當a.jesetalk.cn/users/和b.jessetalk.cn/users/兩個請求的時候可以進行區別對待。

Prioirty優先順序

對多個產生衝突的路由設置優化級

比如你有同樣兩個路由，當請求/goods/delete的時候，則下面那個會生效。也就是說Prority是大的會被優先選擇。

路由負載均衡

當下游服務有多個結點的時候，我們可以在DownstreamHostAndPorts中進行配置。

LoadBalancer將決定負載均衡的演算法

LeastConnection – 將請求發往最空閑的那個伺服器

RoundRobin – 輪流發送

NoLoadBalance – 總是發往第一個請求或者是服務發現

在負載均衡這裡，我們還可以和Consul結合來使用服務發現，我們將在後面的小節中進行詳述。

請求聚合

即將多個API請求結果合併為一個返回。要實現請求聚合我們需要給其它參與的路由起一個Key。

當我們請求/的時候，會將/tom和/laura兩個結果合併到一個response返回

需要注意的是：

聚合服務目前只支持返回json

目前只支持Get方式請求下游服務

任何下游的response header並會被丟棄

如果下游服務返回404，聚合服務只是這個key的value為空，它不會返回404

有一些其它的功能會在將來實現

下游服務很慢的處理

做一些像 GraphQL的處理對下游服務返回結果進行處理

404的處理

限流

對請求進行限流可以防止下游伺服器因為訪問過載而崩潰，這個功能就是我們的張善友張隊進添加進去的。非常優雅的實現，我們只需要在路由下加一些簡單的配置即可以完成。

ClientWihteList 白名單

EnableRateLimiting 是否啟用限流

Period 統計時間段：1s, 5m, 1h, 1d

PeroidTimeSpan 多少秒之後客戶端可以重試

Limit 在統計時間段內允許的最大請求數量

在 GlobalConfiguration下我們還可以進行以下配置

Http頭 X-Rate-Limit 和 Retry-After 是否禁用

QuotaExceedMessage 當請求過載被截斷時返回的消息

HttpStatusCode 當請求過載被截斷時返回的http status

ClientIdHeader 用來識別客戶端的請求頭，默認是 ClientId

服務質量與熔斷

熔斷的意思是停止將請求轉發到下游服務。當下游服務已經出現故障的時候再請求也是功而返，並且增加下游伺服器和API網關的負擔。這個功能是用的Pollly來實現的，我們只需要為路由做一些簡單配置即可

ExceptionsAllowedBeforeBreaking 允許多少個異常請求

DurationOfBreak 熔斷的時間，單位為秒

TimeoutValue 如果下游請求的處理時間超過多少則自如將請求設置為超時

緩存

Ocelot可以對下游請求結果進行緩存 ，目前緩存的功能還不是很強大。它主要是依賴於CacheManager 來實現的，我們只需要在路由下添加以下配置即可

Region是對緩存進行的一個分區，我們可以調用Ocelot的 administration API來移除某個區下面的緩存 。

認證

如果我們需要對下游API進行認證以及鑒權服務的，則首先Ocelot 網關這裡需要添加認證服務。這和我們給一個單獨的API或者ASP.NET Core Mvc添加認證服務沒有什麼區別。

然後在ReRoutes的路由模板中的AuthenticationOptions進行配置，只需要我們的AuthenticationProviderKey一致即可。

JWT Tokens

要讓網關支持JWT 的認證其實和讓API支持JWT Token的認證是一樣的

Identity Server Bearer Tokens

添加Identity Server的認證也是一樣

Allowed Scopes

這裡的Scopes將從當前 token 中的 claims中來獲取，我們的鑒權服務將依靠於它來實現 。當前路由的下游API需要某個許可權時，我們需要在這裡聲明 。和oAuth2中的 scope意義一致。

鑒權

我們通過認證中的AllowedScopes 拿到claims之後，如果要進行許可權的鑒別需要添加以下配置

當前請求上下文的token中所帶的claims如果沒有 name=」UserType」 並且 value=」registered」 的話將無法訪問下游服務。

請求頭轉化

請求頭轉發分兩種：轉化之後傳給下游和從下游接收轉化之後傳給客戶端。在Ocelot的配置裡面叫做Pre Downstream Request和Post Downstream Request。目前的轉化只支持查找和替換。我們用到的配置主要是 UpstreamHeaderTransform 和 DownstreamHeaderTransform

Pre Downstream Request

比如我們將客戶端傳過來的Header中的 Test 值改為 http://ocelot.com/之後再傳給下游

Post Downstream Request

變數

在請求頭轉化這裡Ocelot為我們提供了兩個變數：BaseUrl和DownstreamBaseUrl。BaseUrl就是我們在GlobalConfiguration裡面配置的BaseUrl，後者是下游服務的Url。這裡用301跳轉做一個示例如何使用這兩個變數。

我們通過DownstreamHeaderTranfrom將下游返回的請求頭中的Location替換為了網關的域名，而不是下游服務的域名。所以在這裡我們也可以使用BaseUrl來做為變數替換。

當我們的下游服務有多個的時候，我們就沒有辦法找到前面的那個http://localhost:6773，因為它可能是多個值。所以這裡我們可以使用DownstreamBaseUrl。

Claims轉化

Claims轉化功能可以將Claims中的值轉化到請求頭、Query String、或者下游的Claims中，對於Claims的轉化，比較特殊的一點是它提供了一種對字元串進行解析的方法。舉個例子，比如我們有一個sub的claim。這個claims的 name=」sub」 value=」usertypevalue|useridvalue」，實際上我們不會弄這麼複雜的value，它是拼接來的，但是我們為了演示這個字元串解析的功能，所以使用了這麼一個複雜的value。

Ocelot為我們提供的功能分為三段，第一段是Claims[sub]，很好理解[] 裡面是我們的claim的名稱。第二段是 > 表示對字元串進行拆分, 後面跟著拆分完之後我們要取的那個數組裡面的某一個元素用 value[index]來表示，取第0位元素也可以直接用value。第三段也是以 > 開頭後面跟著我們的分隔符，在我們上面的例子分隔符是 |

所以在這裡如果我們要取 usertype這個claim就會這樣寫： Claims[sub] > value[0] > |

Claim取到之後我們如果要放到請求頭、QueryString、以及Claim當中對應有以下三個配置。

Claims to Claims

Claims to Headers

這裡我們還是用的上面那個 sub = usertypevalue|useridvalue 的claim來進行處理和轉化。

Claims to Query String

這裡沒有進行分隔，所以直接取了value。

Consul服務發現

由於Consul服務發現更多的是Consul的安裝、配置、以及使用，所以本小節內容將由另一篇文章來進行詳細介紹，歡迎關注。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！