今天整理下开源Kong网关管理平台Konga的简单安装和验证。对于Kong网关本身也有自己的管理平台Kong Dashboard，但是对于开源的Konga整体功能更加完善，因此需要对Konga管理平台做下简单的安装和验证。

在前面一篇文章已经详细介绍了Kong安装验证，再看这篇文章可以先看我前面整理的Kong网关的基础介绍和简单安装验证说明。

开源API网关Kong基本介绍和安装验证

对于Kong网关前面已经有文章做过介绍，下面再总结下Kong网关的一些关键特点。

1.可扩展性: 通过简单地添加更多的服务器，可以轻松地进行横向扩展，这意味着您的平台可以在一个较低负载的情况下处理任何请求；

2.模块化: 可以通过添加新的插件进行扩展，这些插件可以通过RESTful Admin API轻松配置；

3.在任何基础架构上运行: Kong网关可以在任何地方都能运行。您可以在云或内部网络环境中部署Kong，包括单个或多个数据中心设置，以及public，private 或invite-only APIs。

4.数据中心：用于存储Kong集群节点信息、API、消费者、插件等信息。Kong集群中的节点通过gossip协议自动发现其他节点，当通过一个Kong节点的管理API进行一些变更时也会通知其他节点。

对于Kong网关更多的是引擎，Kong网关自带的管理端功能也比较弱，因此还是有必要基于Kong网关来开发一个网关的管控治理平台。

今天介绍的Konga是当前使用最多的一个基于Kong网关的第三方开源管理平台，而且完全基于Kong Admin API，功能也比Kong原生的管理台增强了不少。因此如果需要实现一个基于Kong网关的API管理平台，那么完全可以考虑基于Konga进一步进行定制开发和配置。

Konga的安装和验证

对于Konga的安装，注意postgresql版本不要太高，最初12版本下出现问题，后面改装9.6后正常。而对于node.js需要8.0以上版本。

在安装Konga前请先确认Kong网关已经正常安装和可以正常运行。

//安装 nodejs，注意安装8.0以上版本$ yum install nodejs//通过npm方式安装konga$ git clone https://github.com/pantsel/konga.git$ cd konga$ npm i//配置数据库$ su - postgres $ psql$ CREATE USER konga WITH PASSWORD '123456';$ CREATE DATABASE konga OWNER konga;$ GRANT ALL PRIVILEGES ON DATABASE konga to konga;//编写配置文件$ cp .env_example .env$ cat .envPORT=1337NODE_ENV=productionKONGA_HOOK_TIMEOUT=120000DB_ADAPTER=postgresDB_URI=postgresql://konga:123456@localhost:5432/kongaKONGA_LOG_LEVEL=warnTOKEN_SECRET=some_secret_token//创建数据$ node ./bin/konga.js prepare --adapter postgres --uri postgresql://konga:[email protected]:5432/konga//启动Konga$ npm run production

在安装成功后，打开 http://ip:1337即可以访问Konga。在注册后点击创建，注意这里经常会出现空白页面，按Ctrl+F5刷新后即可以正常访问。

安装完成后进入首页面板如下图：

Rest API接口服务代理验证

为了对安装完成的Konga做简单验证，可以找一个公网可以免费访问的API接口进行接口服务注册和接入，具体地址为：

https://www.binstd.com/api/area.html

即查询行政区域信息接口服务。在使用接口前需要先注册一个免费账号并获取appkey值，然后即可以免费访问服务。比如获取行政区域接口服务如下：

https://api.binstd.com/area/province?appkey=******

通过该接口即可返回我国的行政区域信息。通过网站提供的调式页面进行接口测试，可以正常返回具体的数据，当然直接通过浏览器访问上面地址也可以正常返回结果。

在Konga上对一个API接口服务进行简单封装，实际上只需要两步简单的配置即可以完成。

• 创建Service服务，即对于需要接入的原始后端业务接口
• 创建Route路由服务，路由到对应的后端Service服务

对于该场景，我们先进入Service功能创建一个新的Service，其中主要填写Service的名称，IP地址和具体访问路径地址，其他保持默认值即可。

在Service服务创建完成后，直接进入到该Service的Route路由标签，为该Service创建路由服务，也叫代理服务，即最终通过API网关封装后发布出去给外部访问的服务。

在路由服务后重点做两处配置，一个是Path路径，我们这里填写/GetProvince， 即当消费者访问/GetProvince这个路径地址的时候会自动路由到前面Service服务定义的/area/province这个路径上面去。

同时对Method方法设置为GET，注意手工输入GET后回车确认。输入成功后对该路由信息配置进行提交，即完成了一个最简单的API接口服务注册。

这个时候我们访问

http://localhost:8000/GetProvince?appkey=***

已经可以看到有正常的省份信息返回。当然也可以用PostMan进一步进行测试和验证。得到的结果和直接浏览器访问结果一致。

具体详细的Header记录如下：

插件管理和配置

对于Kong本身提供了非常丰富的插件，对于这些插件，大部分都可以直接在konga管理平台上进行配置。同时也可以很方便的进行自定义插件的扩展。

目前，KONG开源版本一共开放28个插件，如下：

acl、aws-lambda、basic-auth、bot-detection、correlation-id、cors、datadog、file-log、galileo、hmac-auth、http-log、ip-restriction、jwt、key-auth、ldap-auth、loggly、oauth2、rate-limiting、request-size-limiting、request-termination、request-transformer、response-ratelimiting、response-transformer、runscope、statsd、syslog、tcp-log、udp-log。

以上这些插件主要分五大类，Authentication认证，Security安全，Traffic Control流量控制，Analytics & Monitoring分析&监控，Logging日志，其他还有请求报文处理类。

Authentication认证类插件

当前Kong网关提供basic-auth，key-auth、ldap-auth，hmac-auth多种认证插件。

Basic-auth基本认证插件，即我们根据用户名和密码来生成一个base64编码，同时将该编码和目标服务绑定，这样在消费目标服务的时候就需要在报文头填写这个Base64编码信息。

Key-auth认证插件则是利用提前预设好的关键字名称，如下面设置的keynote = apices，然后为consumer设置一个key-auth 密钥，假如key-auth=test@keyauth。在请求api的时候，将apikey=test@keyauth，作为一个参数附加到请求url后，或者放置到headers中。

Hmac-auth插件是设置绑定的service和rout，以启动hmac验证。然后在Consumers页面中Hmac credentials of Consumer设置中添加一个username和secret。

包括在SpingCloud中经常会使用的JWT认证也支持进行配置。

Security安全类插件

支持基于Customer用户的ACL访问控制，也可以基于IP进行访问控制。

Kong提供的IP黑白名单控制能力还算相当强，从配置项里面可以看到主要可以针对两个维度进行配置，一个是针对所有的API接口还是针对特定的API接口，一个是针对所有的消费方还是特定的某个消费方。

对于IP配置可以是一个区段，也可以是特定的IP地址。但是黑白名单不能同时配置，其次当前没有一个功能是针对某一个系统提供的所有服务都启用黑名单或白名单功能。

流量控制插件

可以配置Http请求访问速率，也可以配置具体的返回速率，同时也支持对具体的请求报文大小进行限流配置。

分析监控类插件

可以看到当前已经支持和普罗米修斯集成，和zipkin等服务链监控工具集成。

数据转换映射

对于简单转换能力通过request-transformer 和 response transformer两个插件来完成。Kong网关提供对输入和输出报文简单转换的能力，这部分内容后续再详细展开介绍。从当前配置来看，主要是对消息报文提供了Add, Replace,Rename,Append等各种简单操作能力。

消息报文日志类插件

这里主要日志的插件比较多，一个是sysLog在配置后可以直接将Kong产生的日志写入到应用服务器的系统日志文件中。如果配置了file-log则是单独写入到你指定的file文件中。对于http-log则是对于http服务请求，可以详细的记录请求的输入和输出报文信息，但是具体是记录到哪里，需要通过config.http_endpoint配置。

如果需要将API接口调用消息报文日志写入到分布式存储或数据库中，则需要自己定义相应的日志插件来接入写入问题。

日志管理功能简单验证

基于前面接入的获取省份信息接口服务，我们可以对该服务进行插件配置，比如添加一个日志记录插件，类型为file-log。新增插件后，具体只需要简单配置日志记录路径即可：

在配置完成后，重新对API接口服务进行调研，可以看到my.log文件已经生成，该文件可以记录到具体的每次接口服务调用的消息报文输入和输出信息。

对结果进行格式化处理，可以详细的看到Service ,Request请求和路由信息。但是暂时没有看到Response返回的消息报文日志记录。

前面有人问到了开源的APISix网关，实际上该网关和Kong基础架构很类似，在后续文章会对APISix进行简单的安装和验证。