⑴ 非對稱加密中的公私鑰究竟是如何工作的
一直以來,對於加解密這塊接觸的非常少,遇到問題也只能咨詢同事,尷尬的是越解釋越糊塗,考慮到網路安全和數據加密也是微服務開發中的一個重要環節,同時為了盡可能弄明白加解密這塊,遂將一些有用的思考整理下來,分享給大家。
在加解密的領域中,非對稱加密(Asymmetric Cryptographic Algorithm)已經滲入到網路交互的各個環節中了,我們都知道其中主流的RSA加密演算法包含一對公私鑰(Public Key & Private Key),但他們究竟是如何一起工作的?
下面會用微服務對接為例子來解釋公私鑰的交互過程。
正如在圖中看到的,在服務雙方對接之前,雙方需要交換各自的公鑰,這樣Service A就會有:
下面開始交互過程。
這里解釋一下,「數據簽名/加簽」其實就是用自己的私鑰去給數據Hash做一層加密,對方在收到數據簽名的時候,可以使用對方的公鑰來解密這個簽名,就會得到來自對方的數據Hash,緊接著用自己的私鑰解密出數據並Hash,來比較兩個Hash數據看是否一致來確認是否有被第三方篡改。
在Service B收到Service A的請求後,它需要先使用B_private.key 來解密Data得到明文數據,然後使用A_public.key來驗證簽名,對比簽名中的Hash和自己手上的數據Hash是否一致,這就是Service B中的驗簽流程。
在驗簽和解密通過後,它就可以繼續走自己的業務邏輯了。
對於Service B往Service A發送請求,和上面的流程一樣只是流程方向反過來了。
⑵ 微服務有哪些設計原則
微服務應用4個設計原則:
作為一個原則來講本來應該是個「無狀態通信原則」,在這里我們直接推薦一個實踐優選的Restful 通信風格 ,因為他有很多好處:
無狀態協議HTTP,具備先天優勢,擴展能力很強。例如需要安全加密是,有現成的成熟方案HTTPS可用。
JSON 報文序列化,輕量簡單,人與機器均可讀,學習成本低,搜索引擎友好。
語言無關,各大熱門語言都提供成熟的Restful API框架,相對其他的一些RPC框架生態更完善。
當然在有些特殊業務場景下,也需要採用其他的RPC框架,如thrift、avro-rpc、grpc。但絕大多數情況下Restful就足夠用了。
⑶ 如何用Nginx快速搭建一個安全的微服務架構
教你如何用Nginx搭建一個安全的、快速的微服務架構
今天我們要談論微服務以及如何使用Nginx構建一個快速的、安全的網路系統。最後,我們將向您展示一個使用Fabric模式如何非常快速和輕松地構建一個微服務的demo。
在我們探討Fabric模式之前,我想談一談微服務並且從Nginx的角度來看這意味著什麼。
0:56 - 大轉變
微服務已經引起了應用程序架構的重大轉變。
當我第一次開始構建應用程序時,他們都是差不多的。幻燈片中所展示的單體架構也象徵了應用程序的構造方式。
目前存在著某種類型的虛擬機(VM),對我來說,就是通常的Java。在虛擬機中應用的功能組件以對象的形式存在,這些對象是在內存中相互通訊的,它們將來來回回處理並進行方法調用。偶爾,你會採用諸如通知等機制來接觸到其他系統以便獲取數據或傳遞信息。
有了微服務之後,應用程序如何構建的範式是完全不同的了。你的功能組件會從在同一個主機的內存中通過虛擬機相互通訊轉變到部署在容器中,並且使用Restful API調用通過HTTP來相互連接。
這是非常強大的,因為它賦予了你功能隔離。它為您提供了更細粒度的可伸縮性,並且你可以獲得更好地處理故障的彈性。很多情況下這是簡單的事實,你只需要使用HTTP進行跨網路調用。
現在,這種方法也有一些缺點。
一件軼事
我有一個暗黑的秘密,我是一個微軟的員工並且從事.Net開發已經很多年了。當我在那兒的時候,我搭建了一個他們的名為Showcase的視頻發布平台。
Showcase是一個用來將微軟內部發布的所有視頻發布到網上的工具。人們可以觀看這些視頻並進行學習,比如Microsoft Word的使用提示和技巧。這是一個非常受歡迎的平台,我們有很多人使用它,並且其中很多人都會在我們發布的視頻上發表評論。
Showcase從一開始就是一個.Net單體應用,隨著它日益受歡迎,我們決定應該將它更換為SOA架構。轉換是相對容易的。Visual Studio提供了本質上的翻轉開關的能力,也就是將你的DLL調用轉變為Restful API調用。隨著一些小的重構,我們能夠讓我們的代碼運行得相當好。我們也為這些評論和應用內的社區功能使用智能社區服務。
緊密的迴路問題
看起來我們是SOA可行的,在我們的首次測試中,一切都工作正常,直到我們將系統切換到我們的Staging環境並開始使用生產環境數據時,我們就會看到一些嚴重的問題。這些問題在在頁面上有很多評論。
這是一個非常受歡迎的平台,其中的一些頁面已經有多達2000條評論了。當我們深入這些問題時,我們意識到這些頁面需要花費一分鍾進行渲染的原因是因為智能社區服務首先需要填充用戶名,然後對每一個用戶名都需要發起一個對於用戶資料庫的網路調用來獲得用戶詳細信息並且填充在渲染頁面上。這是非常低效的,需要一到兩分鍾來渲染頁面,而在內存中進行通常只需要5到6秒鍾。
緩解
當我們經歷了發現和解決問題的過程後,我們最終通過一些措施來調整優化系統,比如對所有的請求進行分組。我們緩存了一些數據,最終我們優化了網路來真正的提高性能。
所以,這與微服務有什麼關系呢?對的,藉助於微服務,你基本上是採用SOA架構的,並且會將其放入超光速引擎中。在SOA架構中所有的對象都是包含在單個虛擬機中並且在其內部管理,在內存中相互通訊,而現在微服務中是使用HTTP進行數據交換的。
當這樣做沒有問題時,你會獲得很好的性能和線性可伸縮性。
Nginx能夠很好地與微服務工作
Nginx是一個你可以用來過渡到微服務的最佳工具之一。
關於Nginx和微服務的一些歷史。我們從一開始就參與了微服務運動,還是第一個從Docker Hub下載應用的,我們的客戶以及那些擁有一些世界上最大的微服務安裝量的最終用戶廣泛地在他們的基礎設施使用Nginx。
原因是Nginx很小、很快並且很可靠。
Nginx微服務參考架構
我們還致力於在Nginx內部使用微服務工作已經有一段時間了。這是一個我們已經搭建的程式化的Nginx微服務參考架構,目前正在AWS上運行。
我們擁有6個核心的微服務,它們都運行在Docker容器里。我們決定建立一個多語種的應用,所以每個容器都可以運行不同的語言,我們目前使用了Ruby、Python、PHP、Java和Node.js。
我們搭建了這個使用十二要素應用的系統,稍加修改,就會使其更好地為微服務工作從而可以替代Roku平台。稍後,我們將向您展示一個實際上運行在demo里的應用。
MRA的價值
為什麼我們要建立這樣一個參考的微服務架構呢?
我們建立這個參考架構是因為我們需要給我們的客戶提供構建微服務的藍圖,我們也想在微服務上下文中測試Nginx和Nginx Plus的功能,弄清楚如何才能更好地利用它的優勢。最後,我們要確保我們對於微服務生態系統以及其可以給我們提供什麼有一個深入的理解。
網路問題
讓我們回到我們討論的大轉變。
從將運行在內存里並且被虛擬機管理的你的應用的所有功能組件遷移到通過網路進行工作並且相互通訊的方式,你會本質上引入一系列為了應用有效工作需要你解決的問題。
第一你需要服務發現,第二,你需要在架構中為所有不同的實例進行負載均衡,然後還有第三個,你需要操心性能和安全。
無論是好是壞,這些問題密不可分,你必須做權衡,有希望的是我們有一個可以解決所有這些問題的解決方案。
讓我們更深入地看待每一個問題。
服務發現
讓我們來談談服務發現。在單體應用中,APP引擎會管理所有的對象關系,你永遠不必擔心一個對象與另一個對象的相對位置,你只需要簡單的調用一個方法,虛擬機會連接到對象實例,然後在調用完畢後銷毀。
然後有了微服務,你需要考慮那些服務的位置。不幸的是,這不是一個普遍的標准流程。您正在使用的各種服務注冊中心,無論是Zookeeper、Consul、etcd或者其它的,都會以不同的方式進行工作。在這個過程中,你需要注冊你的服務,還需要能夠讀取這些服務在哪裡並且可以被連接。
負載均衡
第二個問題是關於負載均衡的。當您擁有多個服務實例時,您希望能夠輕松地連接到它們,將您的請求在它們中高效地分發,並以最快的方式執行,所以不同實例之間的負載均衡是非常重要的問題。
不幸的是,最簡單形式的負載均衡是非常低效的。當你開始使用不同的更加復雜的方案做負載均衡時,它也變得更加復雜並且不易於管理。理想情況下,您希望您的開發人員能夠基於他們的應用程序的需求決定何種負載均衡方案。例如,如果你連接到一個有狀態的應用程序,你需要擁有持久化,這樣可以確保你的Session信息會被保留。
安全和快速通訊
也許微服務最令人生畏的領域是性能和安全。
當在內存中運行時,一切都很快。現在,運行在網路上就會慢了一個數量級。
被安全地包含在一個系統中的信息,通常是二進制格式的,現在會被用文本格式在網路上傳輸。現在是比較容易在網路上布置嗅探器並能夠監聽你的應用正在被移動的所有數據。
如果要在傳輸層加密數據,那麼會在連接速率和CPU使用率方面引入顯著的開銷。SSL/TLS在其全面實施階段需要九個步驟來初始化一個請求。當你的系統每天需要處理成千上萬、幾萬、數十萬或數百萬的請求時,這就成為性能的一個重要障礙了。
一個解決方案
我們已經在Nginx開發的一些解決方案,我們認為,會解決所有的這些問題,它賦予你健壯的服務發現、非常棒的用戶可配置負載均衡以及安全和快速加密。
網路架構
讓我們來談談你可以安裝和配置你的網路架構的各種方法。
我們提出了三種網路模型,它們本身並不相互排斥,但我們認為它們屬於多種格式的。這三種模式是Proxy模式、Router Mesh模式和Fabric模式——這是最復雜的,並在許多方面在其頭部進行負載均衡。
Proxy模式
Proxy模式完全聚焦於你的微服務應用的入站流量,並且事實上忽略內部通訊。
你會獲得Nginx提供的所有的HTTP流量管理方面的福利。你可以有SSL/TLS終止、流量整形和安全,並且藉助於最新版本的Nginx Plus和ModSecurity,你可以獲得WAF能力。
你也可以緩存,你可以將Nginx提供給你的單體應用的所有東西添加到你的微服務系統里,並且藉助於Nginx Plus,你可以實現服務發現。當你的API實例上下浮動時,Nginx Plus可以在負載均衡工具里動態地添加和減去它們。
Router Mesh模式
Router Mesh模式類似於Proxy模式,在其中我們有一個前端代理服務來管理接入流量,但它也在服務之間添加了集中式的負載均衡。
每個服務連接到集中式的Router Mesh,它管理不同服務之間的連接分發。Router Mesh模式還允許你在熔斷器模式中搭建,以便可以對你的應用添加彈性並允許你採取措施來監控和拉回你的失效的服務實例。
不幸的是,因為該模式增加了一個額外的環節,如果你不得不進行SSL/TLS加密,它事實上加劇了性能問題。這就是引入Fabric模式的原因。
Fabric模式
Fabric模式是將其頭部的所有東西翻轉的模式。
就像之前的另外兩個模式一樣,在前面會有一個代理伺服器來管理流入流量,但與Router Mesh模式不同的地方就是你用運行在每個容器里的Nginx Plus來替代了集中式的Router。
這個Nginx Plus實例對於所有的HTTP流量作為反向和正向代理,使用這個系統,你可以獲得服務發現、健壯的負載均衡和最重要的高性能加密網路。
我們將探討這是如何發生的,以及我們如何處理這項工作。讓我們先來看看一個服務如何連接和分發他們的請求結構的正常流程。
正常的流程
在這個圖中,你可以看到投資管理器需要跟用戶管理器通訊來獲取信息。投資管理器創建了一個HTTP客戶端,該客戶端針對服務注冊中心發起了一個DNS請求並獲得返回的一個IP地址,接著初始化了一個到用戶管理器的SSL/TLS連接,該連接需要通過九階段的協商或者是」握手」過程。一旦數據傳輸完畢,虛擬機會關閉連接並進行HTTP客戶端的垃圾回收。
整個過程就是這樣。這是相當簡單和易於理解的。當你把它分解成這些步驟時,您可以看到該模式是如何真正完成請求和響應過程的。
在Fabric模式中,我們已經改變了這一點。
Fabric模式的細節
你會注意到的第一件事是Nginx Plus是運行在每一個服務里的,並且應用程序代碼是在本地與Nginx Plus通信的。因為這些是本地連接,你不需要擔心加密問題。它們可以是從Java或者PHP代碼到Nginx Plus實例的HTTP請求,並且都是在容器內的本地HTTP請求。
你也注意到Nginx Plus會管理到服務注冊中心的連接,我們有一個解析器,通過非同步查詢注冊中心的DNS實例來獲取所有的用戶管理器實例,並且預先建立連接,這樣當Java服務需要從用戶管理器請求一些數據的時候,可以使用預先建立的連接。
持久的SSL/TLS連接
微服務之間的有狀態的、持久化的並且可以加密的連接是真正的益處。
記得在第一個圖中服務實例是如何通過一些流程的吧,比如創建HTTP客戶端、協商SSL/TLS連接、發起請求並關閉的嗎?在這里,Nginx預先建立了微服務之間的連接,並使用Keepalive特性,保持調用之間的持續連接,這樣你就不必為每一個請求處理SSL/TLS協商了。
本質上,我們創建了一個迷你的從服務到服務的VPN連接。在我們最初的測試中,我們發現連接速度增加了77%。
熔斷器Plus
在Fabric模式以及Router Mesh模式中,你也可以從創建和使用熔斷器模式中獲得好處。
本質上,您定義了一個在服務內部的活躍的健康檢查,並設置緩存,以便在服務不可用的情況下保留數據,從而獲得完整的熔斷器功能。
所以,現在我可以確定你認為Fabirc模式聽起來很酷,並且想在實際環境中躍躍欲試。
⑷ 什麼是微服務架構主流的微服務如何實現
簡單地說,微服務架構就是以業務域或業務功能為邊界,將一個大而全的應用拆分為可以獨立開發,獨立部署,獨立測試,獨立運行的一組小的應用,並且使用輕量級,通用的機制在這組應用間進行通信。
主流的微服務包括:
1、SpringCloud
Spring Cloud , 來自Spring,具有Spring 社區的強大支撐,還有Netflix強大的後盾與技術輸出。Netflix作為一家成功實踐微服務架構的互聯網公司在幾年前就把幾乎整個微服務框架棧開源貢獻給了社區,這些框架開源的整套服務架構套件是Spring Cloud的核心。
- Eureka:服務注冊發現框架;
- Zuul:服務網關;
- Karyon:服務端框架;
- Ribbon:客戶端框架;
- Hystrix:服務容錯組件;
- Archaius:服務配置組件;
- Servo:Metrics組件;
- Blitz4j:日誌組件;
2、Dubbo
Dobbo是一個分布式服務框架,是阿里開放的微服務化治理框架,致力於提高性能和透明化的RPC遠程服務調用方案,以及SOA服務治理方案。其核心部分(官網)
- 遠程通訊: 提供對多種基於長連接的NIO框架抽象封裝,包括多種線程模型,序列化,以及「請求-響應」模式的信息交換方式;
- 集群容錯: 提供基於介面方法的透明遠程過程調用,包括多協議支持,以及軟負載均衡,失敗容錯,地址路由,動態配置等集群支持;
- 自動發現: 基於注冊中心目錄服務,使服務消費方能動態的查找服務提供方,使地址透明,使服務提供方可以平滑增加或減少機器。
Dubbo 也是採用全 Spring 配置方式,透明化接入應用,對應用沒有任何 API 侵入,只需用 Spring 載入 Dubbo的配置即可,Dubbo 基於 Spring 的 Schema 擴展進行載入。當然也支持官方不推薦的 API 調用方式。
3、lstio
lstio 作為用於微服務聚合層管理的新銳項目,是Google、IBM、Lyft(海外共享出行公司、Uber勁敵),首個共同聯合開源的項目,提供了統一的連接,安全,管理和監控微服務的方案。
目前首個測試版是針對Kubernetes環境的,社區宣稱在未來幾個月內會為虛擬機和Cloud Foundry 等其他環境增加支持。lstio將 流量管理添加到微服務中,並為增值功能(如安全性、監控、路由、連接管理和策略)創造了基礎。
- HTTP、gRPC 和 TCP 網路流量自動負載均衡;
- 提供了豐富的路由規則,實現細顆粒度的網路流量行為控制;
- 流量加密、服務件認證,以及強身份聲明;
- 全范圍(Fleet-wide)的策略執行;
- 深度遙測和報告。