生产中运行
在生产环境中运行 API7 网关需要仔细规划并遵守最佳实践,以确保稳定性、安全性和性能。本指南提供了预生产清单和 部署建议。
生产前检查表
在部署到生产环境之前,请验证以下内容:
- 硬件规模调整:确保你的网关节点满足建议的硬件要求。
- 网络拓扑:确认你的网络架构已正确配置以实现高可用性和低延迟。
- TLS 无处不在:为所有通信通道启用 TLS,包括网关到客户端和网关到上游。
- 备份策略:为PostgreSQL数据库实施定期备份和灾难恢复计划。
- 监控设置:与 Prometheus 和 Grafana 集成以进行实时性能监控。
- 日志管理:配置集中日志记录以进行审核和故障排除。
- 安全强化:查看并应用安全最佳实践来保护你的网关和 API。
硬件选型指南
对于典型的生产环境,建议采用以下硬件规格:
- 控制面节点:2+ CPU 核心、4GB+ RAM、20GB+ 磁盘。
- 数据面节点:4+ CPU 核心、8GB+ RAM、20GB+ 磁盘。
- PostgreSQL 数据库:根据配置数量和存储的历史数据调整大小。
网络拓扑建议
- 高可用:部署至少两个控制面节点和多个数据面节点。
- 负载均衡器:在数据面节点前面使用高性能负载均衡器。
- 延迟:将控制面和数据面节点保持在同一区域以最大限度地减少延迟。
监控和日志记录
将 API7 网关与 可观测性的现有监控和记录系统集成。
- Prometheus:从 CP 和 DP 节点收集指标以进行性能监控。
- Grafana:创建仪表板以可视化 QPS、延迟和错误率等指标。
- 集中日志记录:将日志发送到 ELK 或 Splunk 等系统进行分析和审核。
安全加固
使用以下安全措施保护你的 API7 网关部署:
- RBAC:使用基于角色的访问控制来管理控制面中的用户权限。
- 管理员 API 访问控制:将对管理员 API 的访问限制为特定 IP 地址。
- 密钥管理:使用密钥管理器(例如,HashiCorp Vault、AWS Secrets Manager)安全地存储和管理敏感信息。
- WAF:集成 Web 应用程序防火墙,以防御常见的 Web 攻击。