从 0 到 1：打造基于 Linux 的私有 API 网关平台

在当今微服务架构盛行的时代，API 网关作为服务入口和安全屏障，其重大性日益凸显。你是否想过，不依赖商业方案，完全基于开源组件，在 Linux 上构建一个属于自己的 私有 API 网关平台？今天就带你从 0 到 1，一步步搭建一个高性能、可拓展的 API 网关系统！

一、为什么要自建 API 网关？

大多数企业依赖 NGINX、Kong、APISIX 等工具实现 API 管理。但在以下场景下，自建 API 网关具有独特优势：

• 数据隐私需求强烈，不希望流量经过第三方

• 需定制请求路由、安全策略、监控机制

• 学习微服务架构演进过程，打下技术基础

二、整体架构设计

本项目基于以下开源组件构建：

组件	作用
NGINX	高性能反向代理，处理 API 转发
Lua/OpenResty	请求处理逻辑插件开发
Redis	存储接口限流/黑白名单规则
Prometheus + Grafana	监控与可视化
Firewall + fail2ban	安全防护

整体架构图如下：

[客户端] –> [API 网关 (NGINX/OpenResty)] –> [后端服务群]

|

[Redis/Lua 插件]

|

[Prometheus + Grafana]

三、安装 NGINX + Lua 模块

以 Ubuntu 为例：

sudo apt update

sudo apt install -y libnginx-mod-http-lua

sudo apt install -y nginx

检查 Lua 模块是否启用：

nginx -V 2>&1 | grep lua

如果没有，请使用 OpenResty：

# 安装 OpenResty

sudo apt install curl gnupg2

curl -O https://openresty.org/package/pubkey.gpg

sudo apt-key add pubkey.gpg

sudo add-apt-repository -y “deb http://openresty.org/package/ubuntu $(lsb_release -sc) main”

sudo apt update

sudo apt install openresty

四、编写第一个 API 路由逻辑（Lua）

在
/usr/local/openresty/nginx/conf/nginx.conf 中增加：

location /api/ {

content_by_lua_block {

ngx.say(“Welcome to your private API Gateway”)

}

}

重新加载配置：

sudo openresty -s reload

目前访问 http://localhost/api/，你会看到返回文本。

五、实现接口限流（基于 Redis）

创建 rate_limit.lua：

local redis = require “resty.redis”

local client = redis:new()

client:connect(“127.0.0.1”, 6379)

local ip = ngx.var.remote_addr

local key = “limit:” .. ip

local limit = 10

local count = client:get(key)

if count == ngx.null then

client:set(key, 1)

client:expire(key, 60)

elseif tonumber(count) > limit then

ngx.status = 429

ngx.say(“Too Many Requests”)

return ngx.exit(429)

else

client:incr(key)

end

在 NGINX 中挂载该 Lua 文件：

location /api/ {

access_by_lua_file /etc/nginx/lua/rate_limit.lua;

proxy_pass http://backend;

}

六、可视化监控 API 请求

1. 安装 Prometheus NGINX exporter：

docker run -d -p 9113:9113 nginx/nginx-prometheus-exporter

2. 配置 Prometheus 抓取目标 localhost:9113

3. 配置 Grafana 使用 Prometheus 数据源，导入 NGINX Dashboard 模板

七、安全加固提议

• 启用防火墙限制暴露端口

• 使用 fail2ban 防爆破攻击

• 强制 HTTPS 与 JWT 鉴权

• 所有日志聚焦写入
/var/log/nginx/api_access.log

八、总结与展望

你已经成功从零构建了一个基于 Linux 的私有 API 网关平台。这不仅是一个技术实践，更是对微服务、网关、安全、可 observability 的一次全面实战演练。

后续可扩展：

• 接入 JWT/OAuth2

• 服务发现（结合 Consul 或 Nacos）

• 自定义插件系统（模块化 Lua）