Spring Cloud Gateway on Kubernetes

JSUG勉強会 2020 その3
Spring Cloud Gateway
on
Kubernetes
2020.4.8 タグバンガーズ小川

小川岳史
株式会社タグバンガーズ @横浜
Spring ♥️
JSUG スタッフやってます
Microservice はじめました
About
2

本セッションのサンプルコード
3
https://github.com/ogawa-takeshi/spring-cloud-gateway-sample

クライアントの分離
5
API Gateway
API
API
API
注文
商品
在庫
API
API
API
注文
商品
在庫
クライアントをマイクロサービスの複雑さから分離
API Gateway PatternClient と Microservice のやりとりが直接的
Client Client
マイクロサービスにすると機能ごとにサービスが分割
されエンドポイントがたくさんできる

横断的関心事の軽減
6
商品 API
在庫 API
認証・認可
サービスディスカバリ
Client
サーキットブレーカー
レート制限
ログ記録
IP制限
キャッシュ
認証・認可
IP制限
キャッシュ
ログ記録
商品 API
在庫 API
注文 API
認証・認可
認証・認可
レート制限
注文 API
個々のマイクロサービスからゲートウェイに機能をオフ
ロードできる
Client

Spring Cloud Gateway の基礎

3つの構成要素
8
Route：どのサービスにルーティングするかの定義
• 複数の Predicate と Filter を持てる
Predicate
• PathRoutePredicateFactory（パスが xx だったら）
• HeaderRoutePredicateFactory（ヘッダーが xx だったら）
• BetweenRoutePredicateFactory（何時から何時だったら）
→ 特定の時間にメンテナンス画面を出力するなど
• …
Filter
• RewritePathGatewayFilterFactory
• RequestRateLimiterGatewayFilterFactory
• SpringCloudCircuitBreakerFilterFactory
• …
Spring Cloud Gateway はシンプル
WebFlux & Reactor でノンブロッキングに作られている
→ Reactive の知識が必要

はじめかた
9
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
Spring Boot アプリケーションの pom.xml に
Spring Cloud Gateway の Starter を追加するだけ！
pom.xml

Route の設定例
10
Spring Cloud
Gateway
spring:
gateway:
routes:
- id: service-a
uri: http://localhost:8081
predicates:
- Path=/a/**
filters:
- RewritePath=/a(?<segment>/?.*), ${segment}
- id: service-b
uri: http://localhost:8082
predicates:
- Path=/b/**
filters:- RewritePath=/b(?<segment>/?.*), ${segment}
/a/hello
/b/hello
Client
A
Service
Service
B
http://localhost:8081/hello
http://localhost:8082/hello
application.yml

on
Kubernetes

Security Service
Service
12
Client
Monitoring
Distributed
Configuration
Spring エコシステムとの連携
New Service
NEW
B
A
Monitoring
API
Gateway
IdP
Config

Security
Kubernetes
Keycloak
Service A
Service B
GrafanaPrometheus
Spring Cloud
Gateway
Spring Security
Resillience4J
13
Client
Monitoring
Config
アーキテクチャ
New Service
Config
Map
API
Server
Service Discovery
Spring Cloud
Kubernetes

15
Spring Cloud Kubernetes (Discovery Client)
Service
Service
Service
Spring Cloud
Gateway
A
B
New
Client
Service List
API
Server
Spring Cloud
Kubernetes
Kubernetes

デフォルトのルーティングルール
16
/a/hello
↑Service ID
Service
A
Spring Cloud
Gateway
/hello
Client
spring:
cloud:
gateway:
discovery:
locator:
enabled: true
url-expression: "'http://'+serviceId"
apiVersion: v1
kind: Service
metadata:
labels:
app: service-a
service: "true"
name: a
application.yml manifest.yml

17
ルーティング対象 Service のフィルター
Service
Service
New Service
Spring Cloud
Gateway
A
B
C
Client
Service List
API
Server
D
ラベルがないので
サービスリストに
追加されない
✖️
Label
Label
Label
Kubernetes

18
Spring Cloud Kubernetes (Discovery Client)
Service
Spring Cloud
Gateway
Client
spring:
cloud:
kubernetes:
discovery:
filter: "metadata.labels['service']"
application.yml
apiVersion: v1
kind: Service
metadata:
labels:
app: service-a
service: "true"
name: a
manifest.yml
service:”true”

Service Account
19
Spring Cloud
Gateway
アクセス許可
Kubernetes
manifest.yml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: spring-cloud-kubernetes
rules:
- apiGroups: ["", "extensions", "apps"]
resources: ["configmaps", "pods", "services",
"endpoints", "secrets"]
verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: spring-cloud-kubernetes-binding
subjects:
- kind: ServiceAccount
name: sample
apiGroup: ""
roleRef:
kind: Role
name: spring-cloud-kubernetes
apiGroup: ""

@EnableScheduling
20
@SpringBootApplication
@EnableScheduling
public class GatewayApplication {
public static void main(String[] args) {
SpringApplication.run(GatewayApplication.class, args);
}
@EnableScheduling を設定しないとサービスリストが更新されない

Spring Cloud Kubernetes (Config)
22
Spring Cloud
Gateway
②自動でリロード
Config
Map
application.yml
①Config Mapの変更
Kubernetes

bootstrap.yml
23
application.yml
name: gateway
ConfigMap
spring:
cloud:
kubernetes:
reload:
enabled: true
config:
sources:
- name: gateway
Spring Cloud
Gateway
bootstrap.yml
bootstrap.yml

Resillience4J
25
Service
A
Spring Cloud
Gateway
Service
B
×
＜
fallback
<dependency>
<artifactId>spring-cloud-starter-circuitbreaker-reactor-resilience4j</artifactId>
</dependency>
spring:
cloud:
default-filters:
- name: CircuitBreaker
args:
fallbackUri: forward:/fallback
application.yml
pom.xml
Client

27
Service
A
Spring Cloud
Gateway
Service
B
＜
JWT
Keycloak
ID/PW
認証
リソース
オーナー
OAuth
クライアント
リソース
サーバ
リソース
サーバ
JWT
<dependency>
<artifactId>spring-cloud-starter-security</artifactId>
</dependency>
spring:
security:
oauth2:
client:
provider:
keycloak:
issuer-uri:http://keycloak.sample.test/auth/realms/sample
registration:
keycloak:
client-id: sample
redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
pom.xml
Spring Security (OpenID Connect)
IdP
Session
application.yml

TokenRelay
28
spring:
cloud:
gateway:
default-filters:
- TokenRelay=
- RemoveRequestHeader=Cookie
Service
Spring Cloud
Gateway
Client
JWT
Add automatic token refresh to TokenRelayGatewayFilterFactory #175
application.yml

処理フロー
29
Service
①
②Redirect
Session start
③
JWT
session
⑧code
⇅
Token
Keycloak
12 JWT Signature
13 scope
id
JWT11
Spring Cloud
Gateway
⑦Redirect(code)
⑩Login OK
⑨token=JWT
Bearer

Scope による権限制御
30
Service
A
Service
B
Service
C
Anyone
Login
Login
scope: hello
Spring Cloud
Gateway
ログイン権限のみ
ログイン +
hello 権限あり
Cにアクセス

Scope による権限制御
31
@Configuration
public class SecurityConfig {
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http.authorizeExchange()
.matchers(EndpointRequest.toAnyEndpoint()).permitAll()
.pathMatchers("/a/**").permitAll()
.pathMatchers("/c/**").hasAuthority("SCOPE_hello")
.anyExchange().authenticated();
http.oauth2Login();
http.oauth2Client();
http.logout();
http.cors();
return http.build();
}
}

33
Prometheus
Service
A
Spring Cloud
Gateway
Service
B
GrafanaPrometheus
＜
Actuator
Micrometer
Client
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
<groupId>io.micrometer</groupId>
<artifactId>micrometer-registry-prometheus</artifactId>
</dependency>
scrape_configs:
-job_name: 'gateway’
metrics_path: /actuator/prometheus
static_configs:
- targets:
- gateway:80
prometheus.yml
pom.xml

34
Grafana
• routeId
• routeUri
• outcome
• status
• httpStatusCode
• httpMethod

• Spring Cloud Gateway を導入することで、クライアントからみると一見モノリスでも実はマ
イクロサービスという構成が作れる
• Spring Cloud Kubernetes と組み合わせることで、Discovery Server や Config Server を
用意せずに Kubernetes の機能を活用できる
• Spring Security と組み合わせることでサービスをステートレスな API にできる
まとめ
36

Spring Cloud Gateway on Kubernetes

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Spring Cloud Gateway on Kubernetes

Similar to Spring Cloud Gateway on Kubernetes (20)

More from Takeshi Ogawa

More from Takeshi Ogawa (6)

Spring Cloud Gateway on Kubernetes

Editor's Notes