简介
在进一步讨论之前,这里先有必要简要阐述一下 Kong 是如何构建的,特别是它如何与Nginx集成,以及它与Lua脚本之间的关系
使用 lua-nginx-module 模块可以在 Nginx 中启用 Lua 脚本功能,Kong 与 OpenResty 一起发布,OpenResty 中已经包含了 lua-nginx-module 模块,OpenResty 不是 Nginx 的分支,而是一组扩展 Nginx 功能的模块
因此,Kong 是一个 Lua 应用程序,旨在加载和执行 Lua 模块(我们通常称之为“插件”),并且Kong还为此提供了整套开发环境,包括 SDK,数据库抽象、数据迁移等等
插件由 Lua 模块组成,用户可以使用插件开发包(又称PDK),通过调用请求响应或者流交互实现各种功能 ,PDK 是一组 Lua 方法,插件可以使用它来促进 Kong 核心模块(或其他组件)与插件本身的交互
这篇向导将详细描述插件的结构,它们的扩展点,以及如何发布和安装它们,有关PDK的详情,请查阅插件开发工具包向导
插件其实是一组 Lua 模块,本章中描述的每个文件都可以视为一个单独的模块,如果它们的命名遵循某个约定,Kong 就会检测并加载插件模块:
kong.plugins.<plugin_name>.<module_name>
用户定义的插件模块需要通过 package.path 变量访问到,用户可以更改 lua_package_path 配置调整这个值,然而,安装插件的首选方法是通过 LuaRocks,它与 Kong 天然集成,有关 LuaRocks 安装插件的详情,请参考后面的章节
为了让 Kong 意识到哪些插件需要安装,用户必须将它们添加到配置文件中的 plugins 属性中,格式是以逗号分隔的列表,例如:
plugins = bundled,my-custom-plugin # your plugin name here
或者,用户不想加载任何预捆绑的插件:
plugins = my-custom-plugin # your plugin name here
现在,Kong会试图从下列命名空间中加载Lua模块
kong.plugins.my-custom-plugin.<module_name>
其中一些模块是必需的(例如 handler.lua),有些是可选的,以允许插件实现一些额外的功能(例如 api.lua 可以扩展 Admin API 端点)
现在我们将详细描述用户可以实现的模块以及它们的用途
基础插件模块
最基础的插件,必须包含两个模块:
simple-plugin
├── handler.lua
└── schema.lua
handler.lua:插件的核心,它是一个需要实现的接口,其中每个方法会在请求/连接的生命周期中运行
schema.lua:插件可能需要保留一些用户输入的配置,此模块定义一些规则保存配置的模式,以便用户只能输入有效的配置项
高级插件模块
有些插件与 Kong 之间有更深入地集成,比如在数据库中存数据,在 Admin API 中公开端点等等,每个插件都可以通过向插件添加新模块来完成,插件的结构大致如下:
complete-plugin
├── api.lua
├── daos.lua
├── handler.lua
├── migrations
│ ├── init.lua
│ └── 000_base_complete_plugin.lua
└── schema.lua
以下是完整的模块列表,以及其简要说明:
实现自定义逻辑
Kong 的插件允许用户在整个生命周期的几个切点加入自定义逻辑,为此,必须实现 base_plugin.lua
接口中的一些方法,这些方法在 kong.plugins.<plugin_name>.handler
模块中实现
kong.plugins.<plugin_name>.handler
可用的上下文
插件接口允许用户覆盖 handler.lua 文件中的以下任何方法,在Kong的执行生命周期的各个切点实现自定义逻辑:
HTTP Module:为 HTTP / HTTPS 请求编写的插件
:body_filter()
body_filter
针对从 upstream service 接收到的响应体块执行,由于响应以流的形式返回给客户端,超过缓冲区大小的按块进行传输,因此,如果响应体很大,会多次调用这个方法
:log()
最后一个响应字节发送到客户端时执行
除了 :init_worker()
方法,每个方法都会携带一个参数,这个参数由Kong给出,即插件的配置,这个参数的类型是 Lua table,包含了用户定义的值,格式根据用户定义的插件 schema 格式
handler.lua 格式
handler.lua
文件需要返回一个 table,里面包含了用户希望执行的方法,为了方便起见,这里有一个示例模块,实现了模块中所有的可用方法:
-- Extending the Base Plugin handler is optional, as there is no real
-- concept of interface in Lua, but the Base Plugin handler's methods
-- can be called from your child implementation and will print logs
-- in your `error.log` file (where all logs are printed).
local BasePlugin = require "kong.plugins.base_plugin"
local CustomHandler = BasePlugin:extend()
CustomHandler.VERSION = "1.0.0"
CustomHandler.PRIORITY = 10
-- Your plugin handler's constructor. If you are extending the
-- Base Plugin handler, it's only role is to instantiate itself
-- with a name. The name is your plugin name as it will be printed in the logs.
function CustomHandler:new()
CustomHandler.super.new(self, "my-custom-plugin")
function CustomHandler:init_worker()
-- Eventually, execute the parent implementation
-- (will log that your plugin is entering this context)
CustomHandler.super.init_worker(self)
-- Implement any custom logic here
function CustomHandler:preread(config)
-- Eventually, execute the parent implementation
-- (will log that your plugin is entering this context)
CustomHandler.super.preread(self)
-- Implement any custom logic here
function CustomHandler:certificate(config)
-- Eventually, execute the parent implementation
-- (will log that your plugin is entering this context)
CustomHandler.super.certificate(self)
-- Implement any custom logic here
function CustomHandler:rewrite(config)
-- Eventually, execute the parent implementation
-- (will log that your plugin is entering this context)
CustomHandler.super.rewrite(self)
-- Implement any custom logic here
function CustomHandler:access(config)
-- Eventually, execute the parent implementation
-- (will log that your plugin is entering this context)
CustomHandler.super.access(self)
-- Implement any custom logic here
function CustomHandler:header_filter(config)
-- Eventually, execute the parent implementation
-- (will log that your plugin is entering this context)
CustomHandler.super.header_filter(self)
-- Implement any custom logic here
function CustomHandler:body_filter(config)
-- Eventually, execute the parent implementation
-- (will log that your plugin is entering this context)
CustomHandler.super.body_filter(self)
-- Implement any custom logic here
function CustomHandler:log(config)
-- Eventually, execute the parent implementation
-- (will log that your plugin is entering this context)
CustomHandler.super.log(self)
-- Implement any custom logic here
-- This module needs to return the created table, so that Kong
-- can execute those functions.
return CustomHandler
插件本身的逻辑可以写在另一个模块,然后在处理程序模块中调用:
local BasePlugin = require "kong.plugins.base_plugin"
-- The actual logic is implemented in those modules
local access = require "kong.plugins.my-custom-plugin.access"
local body_filter = require "kong.plugins.my-custom-plugin.body_filter"
local CustomHandler = BasePlugin:extend()
CustomHandler.VERSION = "1.0.0"
CustomHandler.PRIORITY = 10
function CustomHandler:new()
CustomHandler.super.new(self, "my-custom-plugin")
function CustomHandler:access(config)
CustomHandler.super.access(self)
-- Execute any function from the module loaded in `access`,
-- for example, `execute()` and passing it the plugin's configuration.
access.execute(config)
function CustomHandler:body_filter(config)
CustomHandler.super.body_filter(self)
-- Execute any function from the module loaded in `body_filter`,
-- for example, `execute()` and passing it the plugin's configuration.
body_filter.execute(config)
return CustomHandler
插件开发工具包
在插件开发过程中,需要与请求/响应对象或其他核心组件交互,Kong 为此提供了一个插件开发工具包,插件可以使用里面的函数和变量来执行各种网关操作,并且插件开发工具包是向前兼容的
如果用户尝试实现一些与 Kong 交互的逻辑时(例如检索请求头、生成响应、记录错误或调试信息),可以参考插件开发工具包
插件执行顺序
某些插件可能依赖其他插件来执行某些操作,例如,依赖消费者身份的插件必须在身份验证插件之后运行,考虑到这一点,Kong在插件执行期间定义了优先级,以确保插件执行顺序,用户可以定义这个属性值来配置插件优先级:
CustomHandler.PRIORITY = 10
优先级越高,插件执行的越早(例如 :access()
、:log()
方法),预绑定插件的优先级如下:
大多数情况下,插件的配置可以满足用户的需求,插件的配置存储在数据库中,当插件运行时,Kong在数据库中检索出它们,并将其传递给 handler.lua 方法
配置在 Kong 中由 Lua table 组成,我们称之为 schema,用户通过 Admin API 启用插件时,以键值对的形式输入参数,Kong提供了验证用户插件配置的方法,当用户向 Admin API 发送请求启用或更新给定 Service、Route 或 Consumer 上的插件时,Kong 会根据用户定义的 schema 来验证插件配置,举例,用户执行如下请求:
curl -X POST http://kong:8001/services/<service-name-or-id>/plugins -d "name=my-custom-plugin" -d "config.foo=bar"
如果配置对象的所有属性都验证有效,API 会返回 201 Created
,插件将和配置一起存储在数据库中:
foo = "bar"
如果配置验证不通过,API 会返回 400 Bad Request
和错误信息
kong.plugins.<plugin_name>.schema
schema.lua 格式
这个模块返回一个 Lua table,其中包含了用户可以配置插件哪些属性,可用的属性包含:
大多数情况下,用户可以使用默认值,或者让用户在启用插件时指定值,以下是一份示例 schema.lua
文件:
local typedefs = require "kong.db.schema.typedefs"
return {
name = "<plugin-name>",
fields = {
-- this plugin will only be applied to Services or Routes
consumer = typedefs.no_consumer
-- this plugin will only be executed on the first Kong node
-- if a request comes from a service mesh (when acting as
-- a non-service mesh gateway, the nodes are always considered
-- to be "first".
run_on = typedefs.run_on_first
-- this plugin will only run within Nginx HTTP module
protocols = typedefs.protocols_http
config = {
type = "record",
fields = {
-- Describe your plugin's configuration's schema here.
entity_checks = {
-- Describe your plugin's entity validation rules
描述配置 schema
schema.lua
文件中的 config.fields
属性描述了插件配置的 schema,例如:
name = "<plugin-name>",
fields = {
config = {
type = "record",
fields = {
some_string = {
type = "string",
required = false,
some_boolean = {
type = "boolean",
default = false,
some_array = {
type = "array",
elements = {
type = "string",
one_of = {
"GET",
"POST",
"PUT",
"DELETE",
这里罗列了一些常用的属性规则:
这是 key-auth 插件的 schema.lua
文件:
-- schema.lua
local typedefs = require "kong.db.schema.typedefs"
return {
name = "key-auth",
fields = {
consumer = typedefs.no_consumer
run_on = typedefs.run_on_first
protocols = typedefs.protocols_http
config = {
type = "record",
fields = {
key_names = {
type = "array",
required = true,
elements = typedefs.header_name,
default = {
"apikey",
hide_credentials = {
type = "boolean",
default = false,
anonymous = {
type = "string",
uuid = true,
legacy = true,
key_in_body = {
type = "boolean",
default = false,
run_on_preflight = {
type = "boolean",
default = true,
访问数据库
Kong 通过 Dao 层与数据层交互,本章将详细介绍与数据层交互的的 API,Kong支持两类数据库:Cassandra 3.x.x 和 PostgreSQL 9.5+
kong.db
Kong 中所有的实体可以表现为:
一份描述与实体相关联的表结构,表结构中有对字段的约束,如外键,非控约束等,这个 schema 是在插件配置章节中描述的
一份 Dao 层实体,与现正使用的数据库作映射,Dao 层使用 schema,并暴露公共方法增删改查实体
Kong 中的核心实体包括:服务、路由、消费者和插件,所有这些都可以作为数据访问对象(DAOs),通过 kong.db 全局单例访问:
-- Core DAOs
local services = kong.db.services
local routes = kong.db.routes
local consumers = kong.db.consumers
local plugins = kong.db.plugins
Kong 的核心实体和插件自定义的实体都可以通过 kong.db.* 获取
Dao 层 Lua API
Dao 层负责在操作存储在数据库中的数据,所有底层支持的数据库(目前是 Cassandra 和 Postgres)都遵循相同的接口,这样 Dao 与所有这些数据库都兼容,插入服务和插件非常简单,例如:
local inserted_service, err = kong.db.services:insert({
name = "mockbin",
url = "http://mockbin.org",
local inserted_plugin, err = kong.db.plugins:insert({
name = "key-auth",
service = inserted_service,
存储自定义实体
虽然并非所有插件都需要它,但有些插件中,用户可能需要在数据库中存储多于其配置的数据,在这种情况下,Kong 会在数据层提供抽象,允许用户存储自定义实体
如上一章节所述,Kong 将与数据层交互的类称为 DAO 层,可以通过使用 DAO Factory 单例访问,本章将描述如何为用户自定义的实体提供抽象
kong.plugins.<plugin_name>.daos
kong.plugins.<plugin_name>.migrations.init
kong.plugins.<plugin_name>.migrations.000_base_<plugin_name>
kong.plugins.<plugin_name>.migrations.001_<from-version>_to_<to_version>
kong.plugins.<plugin_name>.migrations.002_<from-version>_to_<to_version>
创建迁移目录
定义完模型之后,用户必须创建迁移模块,当 Kong 启动时会创建表结构,用来存储实体记录,如果用户的插件需要同时支持 Cassandra 和 Postgres,那需要写两个迁移模块
如果用户的插件还没有这个模块,可以添加一个 <plugin_name>/migrations
目录,然后创建 init.lua
文件,这是引用插件所有迁移信息的地方,初始版本的 migrations/init.lua
文件指向单个迁移,这里,我们称之为 000_base_my_plugin
-- `migrations/init.lua`
return {
"000_base_my_plugin",
这意味着 <plugin_name>/migrations/000_base_my_plugin.lua
文件中包含了一份初始迁移文件,用户马上可以看到具体的工作原理
在现有插件上添加迁移
有时需要在发布插件的新版本中引入更改,添加新功能,数据库里的数据也可能需要更改,当发生这种情况时,用户需要创建一个新的迁移文件,发布插件后,用户严禁修改原有的迁移文件,虽然没有严格的规则来命名迁移文件,但有一个约定,即初始的前缀为000
,下一个为前缀为001
,依次类推
继我们之前的示例,现在用户想要发布新版本插件,需要修改数据库(例如,需要一个名为 foo 的表),我们可以添加一个文件加入它,文件名为 <plugin_name>/migrations/001_100_to_110.lua
,并且在初始迁移文件中引入它(其中100是插件的先前版本1.0.0,110是插件现在的版本1.1.0)
-- `<plugin_name>/migrations/init.lua`
return {
"000_base_my_plugin",
"001_100_to_110",
迁移文件语法
虽然 Kong 的核心迁移同时支持 Postgres 和 Cassandra,自定义插件可以选择全部支持,或者只支持其中一个,迁移文件是一个 Lua 文件,它返回一个表,结构如下:
-- `<plugin_name>/migrations/000_base_my_plugin.lua`
return {
postgresql = {
up = [[
CREATE TABLE IF NOT EXISTS "my_plugin_table" (
"id" UUID PRIMARY KEY,
"created_at" TIMESTAMP WITHOUT TIME ZONE,
"col1" TEXT
DO $$
BEGIN
CREATE INDEX IF NOT EXISTS "my_plugin_table_col1"
ON "my_plugin_table" ("col1");
EXCEPTION WHEN UNDEFINED_COLUMN THEN
-- Do nothing, accept existing state
END$$;
cassandra = {
up = [[
CREATE TABLE IF NOT EXISTS my_plugin_table (
id uuid PRIMARY KEY,
created_at timestamp,
col1 text
CREATE INDEX IF NOT EXISTS ON my_plugin_table (col1);
-- `<plugin_name>/migrations/001_100_to_110.lua`
return {
postgresql = {
up = [[
DO $$
BEGIN
ALTER TABLE IF EXISTS ONLY "my_plugin_table" ADD "cache_key" TEXT UNIQUE;
EXCEPTION WHEN DUPLICATE_COLUMN THEN
-- Do nothing, accept existing state
teardown = function(connector, helpers)
assert(connector:connect_migrations())
assert(connector:query([[
DO $$
BEGIN
ALTER TABLE IF EXISTS ONLY "my_plugin_table" DROP "col1";
EXCEPTION WHEN UNDEFINED_COLUMN THEN
-- Do nothing, accept existing state
END$$;
cassandra = {
up = [[
ALTER TABLE my_plugin_table ADD cache_key text;
CREATE INDEX IF NOT EXISTS ON my_plugin_table (cache_key);
teardown = function(connector, helpers)
assert(connector:connect_migrations())
assert(connector:query("ALTER TABLE my_plugin_table DROP col1"))
如果插件仅支持 Postgres 或 Cassandra 中的一个,策略中只需要写一部分,每个策略包含两段,up
段和 teardown
段:
up
:可选的 SQL/CQL 语句,当Kong执行迁移时,执行这些语句
teardown
:可选的 Lua 方法,接收一个连接器参数,此类连接器可以调用查询方法执行 SQL/CQL 查询,在Kong迁移完成后执行
建议在 up
段中执行非破坏性操作(例如创建新表、添加新纪录);在 teardown
段中执行破坏性操作(例如删除数据、更改行类型
添加新数据),在编写 SQL/CQL 语句时,推荐可以重复使用,比如使用 DROP TABLE IF EXISTS
,而不是 DROP TABLE
;使用 CREATE INDEX IF NOT EXIST
,而不是 CREATE INDEX
,这样当某个原因导致迁移失败时,只需修复问题,重新运行迁移即可
Postgres 支持 NOT NULL、UNIQUE、FOREIGN KEY 之类的约束,Cassandra 本身并不支持,但是如果在定义模型 schema 时加入此类约束,Kong 就会支持这些功能,所以对于 Postgres 和 Cassandra,这两类模式是相同的,可以完全将 Cassandra 当做纯 SQL 模式使用,请注意:如果在 schema 中使用了 unique
约束,Cassandra 会强制执行,Postgres 需要在迁移中设置此约束
定义 Schema
在自定义插件中使用自定义实体的第一步是定义一个或多个 schema,schema 格式是 Lua 表,其中描述实体的信息,包括实体的不同字段如何命名以及数据类型,与插件描述配置的字段类似,与插件配置 schema 相比,自定义实体 schema 需要额外的元数据(比如实体主键),schema 在该模块中定义:
kong.plugins.<plugin_name>.daos
这意味着插件文件夹中需要有一个名为 <plugin_name>/daos.lua
的文件,daos.lua
文件返回一个表,其中包含了一个或多个 schema,例如:
-- daos.lua
local typedefs = require "kong.db.schema.typedefs"
return {
-- this plugin only results in one custom DAO, named `keyauth_credentials`:
keyauth_credentials = {
name = "keyauth_credentials", -- the actual table in the database
endpoint_key = "key",
primary_key = { "id" },
cache_key = { "key" },
generate_admin_api = true,
fields = {
-- a value to be inserted by the DAO itself
-- (think of serial id and the uniqueness of such required here)
id = typedefs.uuid,
-- also interted by the DAO itself
created_at = typedefs.auto_timestamp_s,
-- a foreign key to a consumer's id
consumer = {
type = "foreign",
reference = "consumers",
default = ngx.null,
on_delete = "cascade",
-- a unique API key
key = {
type = "string",
required = false,
unique = true,
auto = true,
daos.lua
示例文件的属性描述如下:
endpoint_key
string,可选的
在 Admin API 中作为备用标志符的字段,在上面的示例中,endpoint_key 是 key
,这意味着 id = 123
和 key = "foo"
的凭证可以通过 /keyauth_credentials/123
和 /keyauth_credentials/foo
这两条路径获取
cache_key
table,可选的
生成 cache_key
的字段
generate_admin_api
boolean,可选的
是否自动生成 Admin API,默认情况下,会为所有 DAOS 生成 Admin API,包括自定义的 DAO,如果要为 DAO 创建完全自定义的 Admin API,或者想要完全禁用自动生成功能,将此选项设置为 false
admin_api_name
boolean,可选的
启用 generate_admin_api
时,使用 name
属性自动生成 Admin API
admin_api_nested_name
boolean,可选的
类似于 admin_api_name
fields
table
定义了字段属性的描述
许多字段属性编码验证规则,在使用 DAO 插入或更新实体时,将检查这些验证,如果输入不符合这些验证,则会返回错误,typedefs
变量(通过 kong.db.schema.typedefs
获得)是一个包含大量实用类型定义和别名的表,包括 typedefs.uuid
(主键的常用类型)和 typedefs.auto_timestamp_s
(用于 created_at
字段),它们在定义字段时被广泛使用,下面是一些字段属性的解释:
string
支持以下标量类型:string
、integer
、number
、boolean
;还支持以下复合类型:array
、record
、set
,除此之外,type 还可以取 foreign
,表示外键关系,type
是所有字段必需的属性
default
any,与 type 指定的类型保持一致
默认值,始终通过 Lua 设置,而不是由底层数据库设置,因此建议不要在迁移中的字段上设置任何默认值
required
boolean
是否必需,如何设置 true,当输入时缺少该字段会抛出错误
unique
boolean
是否唯一,如果设置 ture,当另一个实体存在时会抛出错误,在使用 PostgreSQL 时,必需在迁移中将该字段声明为 UNIQUE
;Cassandra 在插入数据前会检查 Lua,因此不需要任何特殊处理
boolean
是否自动填充,当 type == "uuid"
时,该字段将填充 UUID;当 type == "string"
时,该字段将填充随机字符串;如果字段名为 created_at
或 updated_at
,该字段将在插入/更新时填充当前时间
reference
string
当 type 是 foreign
时是必须的
on_delete
string
当 type 是 foreign
时,定义了外键删除的逻辑,在 Cassandra 中,这是用纯 Lua 代码处理的,但在 PostgreSQL 中,在迁移时要将引用声明为 <font ON DELETE CASCADE/NULL/RESTRICT`
需要了解表结构的更多信息,可以参考:
typedefs.lua 的源代码,用于了解默认值
核心表结构
预绑定插件的 daos.lua 文件
自定义 DAO
schema 不直接和数据库交互,DAO层通过 kong.db
接口与数据库交互
local entity, err, err_t = kong.db.<name>:select(primary_key)
在数据库中查询实体并返回,可能会有三种结果:
如果找到对应实体,将作为普通 Lua table 返回;
发生错误,例如数据连接丢失,第一个参数返回 nil,第二个参数返回描述错误的字符串,最后一个参数返回相同错误,数据格式是 table
没有错误,但找不到实体,直接返回 nil;
local entity, err = kong.db.keyauth_credentials:select({
id = "c77c50d2-5947-4904-9f37-fa36182a71a9"
if err then
kong.log.err("Error when inserting keyauth credential: " .. err)
return nil
if not entity then
kong.log.err("Could not find credential.")
return nil
for entity, err on kong.db.<name>:each(entities_per_page) do
if err then
这个方法通过创建分页请求有效地迭代数据库中的所有实体,entities_per_page
参数(默认100),控制每页返回的实体数,每次迭代时都会返回一个新实体,当有错误时,err
参数会填充错误,迭代的推荐方法是首先检查错误,然后假设实体存在,例如:
for credential, err on kong.db.keyauth_credentials:each(1000) do
if err then
kong.log.err("Error when iterating over keyauth credentials: " .. err)
return nil
kong.log("id: " .. credential.id)
示例中迭代了1000个元素的凭证,并记录它们的ID,发生错误时,打印错误日志
local entity, err, err_t = kong.db.<name>:insert(<values>)
在数据库中插入实体,返回值包括插入实体的副本或 nil、错误消息(字符串)和错误表(table 形式),插入成功后,返回的实体包含默认和自动生成的填充值,以下示例使用 keyauth_credentials
DAO 为给定的消费者插入凭证,将 key
设置为 secret
,注意此处引用外键的语法:
local entity, err = kong.db.keyauth_credentials:insert({
consumer = { id = "c77c50d2-5947-4904-9f37-fa36182a71a9" },
key = "secret",
if not entity then
kong.log.err("Error when inserting keyauth credential: " .. err)
return nil
假设没有发生错误,返回的实体将包含自动填充的字段,如 id
和 created_at
local entity, err, err_t = kong.db.<name>:update(primary_key, <values>)
更新实体的前提是提供可以找到它的主键和一组值,返回的内容是更新后的实体,或者是 nil + 错误信息 + 错误表,以下示例是在给定凭证 ID 的情况下修改现有凭证的 font color=red>key` 字段:
local entity, err = kong.db.keyauth_credentials:update({
{ id = "2b6a2022-770a-49df-874d-11e2bf2634f5" },
{ key = "updated_secret" },
if not entity then
kong.log.err("Error when updating keyauth credential: " .. err)
return nil
注意此处指定主键的语法与之前指定外键的语法相类似
插入或更新实体
local entity, err, err_t = kong.db.<name>:upsert(primary_key, <values>)
upsert
是 insert
和 update
的结合:
当提供的 primary_key
可以标识,与更新实体类似
当提供的 primary_key
不可以标识,与插入实体类似
local entity, err = kong.db.keyauth_credentials:upsert({
{ id = "2b6a2022-770a-49df-874d-11e2bf2634f5" },
{ consumer = { id = "a96145fb-d71e-4c88-8a5a-2c8b1947534c" } },
if not entity then
kong.log.err("Error when upserting keyauth credential: " .. err)
return nil
local ok, err, err_t = kong.db.<name>:delete(primary_key)
local ok, err = kong.db.keyauth_credentials:delete({
{ id = "2b6a2022-770a-49df-874d-11e2bf2634f5" }
if not ok then
kong.log.err("Error when deleting keyauth credential: " .. err)
return nil
缓存自定义实体
有时,每个请求/响应都需要访问自定义实体,每个都会触发数据库的查询,这样效率非常低,因为查询数据库会增加延迟并降低请求/响应速度,并且数据库的负载增加会影响数据库本身性能,从而影响其他 Kong 节点,当每个请求/响应都需要访问自定义实体时,最好利用 Kong 提供的缓存API将其缓存在内存中,下一章将重点描述如何缓存自定义实体,并在数据库内容变化时使它们失效
缓存自定义实体
有时,用户的插件在每个请求/响应都需要访问自定义实体(前一章有所描述),通常第一次加载它们,之后将它们缓存在内存中会显著提供性能,同时可以防止数据库因负载增加而受到压力
想象一下 api-key 鉴权插件需要在每个请求上验证 api-key,从而每次都从数据库中读取自定义的凭证对象,然后根据情况阻断请求或者检索到消费者 ID 识别用户,每个请求都是如此,这会相当低效:
查询数据库会增加每个请求的延迟,使请求处理速度变慢
数据库负载会增加,速度会变慢或者崩溃,这样会反过来影响 Kong 节点
为了避免每次都查询数据库,我们可以在节点上以内存形式缓存自定义实体,这样频繁的实体查询不会每次都触发数据库查询,而是发生在内存中,这比查询数据库更快更可靠(特别在重负载下)
kong.plugins.<plugin_name>.daos
缓存自定义实体
用户可以使用插件开发工具包提供的 kong.cache
模块将自定义实体缓存在内存中:
local cache = kong.cache
缓存有两层:
L1: Lua 缓存 - Nginx worker 进程中,可以存储任何类型的 Lua 值
L2: 共享缓存(SHM)- Nginx 节点中,在 worker 进程中共享,只能保存标量值,更复杂的类型比如 table,需要序列化
从数据库提取数据后,数据会同时存储在两个缓存中,如果同一个 worker 进程再次请求数据,Kong会从 Lua 缓存中检索之前反序列化的数据;如果同一个节点的另一个 worker 进程请求该数据,Kong 会从 SHM 中找到该数据,并对其反序列化(存储在当前进程的缓存中),然后将其返回
该模块公开以下方法:
value, err = cache:get(key, opts?, cb, ...)
从缓存中检索值,如果缓存没有值(未命中),则在保护模式下调用 cb
,cb
会且仅会返回一个缓存的值,这个方法也会抛出错误,这些错误会被Kong捕获,并记录为 ngx.ERR
级别,这个方法会缓存 nil,因此必须通过第二个参数检查可能的错误
ttl, err, value = cache:probe(key)
检查是否有缓存值,如果有,返回 ttl;如果没有,返回 nil,缓存值可以是 nil,第三个返回值是缓存的内容
cache:invalidate_local(key)
在节点中删除一个缓存
cache:invalidate(key)
在集群中删除一个缓存
cache:purge()
在节点中删除所有缓存
回到鉴权插件,当使用特定的 api-key 查找凭证时,会这样写:
-- handler.lua
local BasePlugin = require "kong.plugins.base_plugin"
local kong = kong
local function load_credential(key)
local credential, err = kong.db.keyauth_credentials:select_by_key(key)
if not credential then
return nil, err
return credential
local CustomHandler = BasePlugin:extend()
CustomHandler.VERSION = "1.0.0"
CustomHandler.PRIORITY = 1010
function CustomHandler:new()
CustomHandler.super.new(self, "my-custom-plugin")
function CustomHandler:access(config)
CustomHandler.super.access(self)
-- retrieve the apikey from the request querystring
local key = kong.request.get_query_arg("apikey")
local credential_cache_key = kong.db.keyauth_credentials:cache_key(key)
-- We are using cache.get to first check if the apikey has been already
-- stored into the in-memory cache. If it's not, then we lookup the datastore
-- and return the credential object. Internally cache.get will save the value
-- in-memory, and then return the credential.
local credential, err = kong.cache:get(credential_cache_key, nil,
load_credential, credential_cache_key)
if err then
kong.log.err(err)
return kong.response.exit(500, {
message = "Unexpected error"
if not credential then
-- no credentials in cache nor datastore
return kong.response.exit(401, {
message = "Invalid authentication credentials"
-- set an upstream header if the credential exists and is valid
kong.service.request.set_header("X-API-Key", credential.apikey)
return CustomHandler
在上面的示例中,我们使用插件开发工具包中的各种组件与请求、缓存模块进行交互,甚至在插件中自定义了响应,现在,有了上述机制,一旦消费者携带 API key 发送请求,缓存就被预热了,后续请求不会再触发数据库查询,缓存在 Key-Auth 插件的多个地方使用
更新或删除自定义实体
每次在数据库中更新或删除缓存过的自定义实体时(比如使用 Admin API),都会造成数据库中的数据与Kong内存中缓存的数据不一致,为了避免这种情况,用户需要在内存中删除缓存的实体,并强制Kong再次从数据库中查询它,我们称这个过程为缓存失效
实体缓存失效
如果用户希望通过 CRUD 操作使实体失效,而不是等它们到达 TTL 时间,需要执行几个步骤,对于大多数实体,这个过程会自动执行,但有些需要手动订阅某些 CRUD 事件使具有复杂关系的实体失效
在用户实体的 schema 中设置 cache_key
可以直接启用缓存失效功能,例如:
local typedefs = require "kong.db.schema.typedefs"
return {
-- this plugin only results in one custom DAO, named `keyauth_credentials`:
keyauth_credentials = {
name = "keyauth_credentials", -- the actual table in the database
endpoint_key = "key",
primary_key = { "id" },
cache_key = { "key" },
generate_admin_api = true,
fields = {
-- a value to be inserted by the DAO itself
-- (think of serial id and the uniqueness of such required here)
id = typedefs.uuid,
-- also interted by the DAO itself
created_at = typedefs.auto_timestamp_s,
-- a foreign key to a consumer's id
consumer = {
type = "foreign",
reference = "consumers",
default = ngx.null,
on_delete = "cascade",
-- a unique API key
key = {
type = "string",
required = false,
unique = true,
auto = true,
如果 cache_key
是这样生成的,并在实体的 schema 中指定,那么缓存失效过程是自动的:每个有关 key 的 CRUD 操作都会影响到 cache_key
,并会广播到集群上的其他节点,以便在缓存中清除这个值,再下一个请求中从数据库中重新获取
当父实体执行 CRUD 操作,Kong 会对父实体和子实体同时执行缓存失效机制
在某些情况下,实体 schema 的 cache_key
属性不够灵活,必须手动使缓存失效,在这些情况,用户需要手动在Kong的失效通道注册订阅,并执行自定义失效流程,要监听 Kong 内部的失效通道,需要在 init_worker
段中实现以下内容:
function MyCustomHandler:init_worker()
-- listen to all CRUD operations made on Consumers
kong.worker_events.register(function(data)
end, "crud", "consumers")
-- or, listen to a specific CRUD operation only
kong.worker_events.register(function(data)
kong.log.inspect(data.operation) -- "update"
kong.log.inspect(data.old_entity) -- old entity table (only for "update")
kong.log.inspect(data.entity) -- new entity table
kong.log.inspect(data.schema) -- entity's schema
end, "crud", "consumers:update")
一旦上述监听器适用于所需的实体,用户就可以根据需要对插件缓存的任何实体手动执行失效,例如:
kong.worker_events.register(function(data)
if data.operation == "delete" then
local cache_key = data.entity.id
kong.cache:invalidate("prefix:" .. cache_key)
end, "crud", "consumers")
扩展 Admin API
用户可以使用称为 Admin API 的 REST 接口配置 Kong,插件可以通过添加自己的端点,管理插件中的自定义实体,典型的例子是增删改查
Admin API 是一个 Lapis 应用程序,Kong 提供了抽象,用户可以轻松添加端点
kong.plugins.<plugin_name>.api
在 Admin API 上添加端点
如果用户以这个格式定义模块,Kong 会检测并加载端点:
"kong.plugins.<plugin_name>.api"
这个模块必须返回一个 table,结构如下:
["<path>"] = {
schema = <schema>,
methods = {
before = function(self) ... end,
on_error = function(self) ... end,
GET = function(self) ... end,
PUT = function(self) ... end,
<path>
:表示一个路径,路由中可以包含差值参数
<schema>
:结构定义,核心或者自定义插件实体的 schema 可以通过 kong.db.<entity>.schema
获取,schema 用于判断字段根据什么类型解析,默认情况下,表单字段的类型都是 string
methods
:包含了一系列方法,索引是字符串
before
键是可选的,可以定义一个方法,如果存在,则在调用任何其他方法之前,都会执行这个方法
可以使用 HTTP 名称(如 GET
或 PUT
)作为索引,当匹配对应的路径和 HTTP 方法时,将执行索引对应的方法,如果在路径上存在 before 方法,则首先执行该方法,注意,before 方法可以使用 kong.response.exit
提前退出,这样可以跳过原有的 HTTP 方法
on_error
键是可选的,可以定义一个方法,如果存在,当其他方法抛出错误时会执行该方法;如果不存在,Kong会使用默认错误处理程序返回错误
local endpoints = require "kong.api.endpoints"
local credentials_schema = kong.db.keyauth_credentials.schema
local consumers_schema = kong.db.consumers.schema
return {
["/consumers/:consumers/key-auth"] = {
schema = credentials_schema,
methods = {
GET = endpoints.get_collection_endpoint(
credentials_schema, consumers_schema, "consumer"),
POST = endpoints.post_collection_endpoint(
credentials_schema, consumers_schema, "consumer"),
上面这端代码将在 /consumers/:consumers/key-auth
路径上创建两个 Admin API 端点,用来获取(GET)和创建(POST)绑定在消费者上的凭证,此示例中,方法由 kong.api.endpoints
库提供,如果想要查看更完整的示例,并在方法中使用自定义代码,请查看 key-auth 插件中的 api.lua 文件
端点模块中当前包含了Kong中最常用的 CRUD 操作的默认实现,此模块为用户提供了增删改查的帮助程序,并执行对应的 DAO 层操作,使用响应的 HTTP 状态码回应,它还提供了从路径中检索参数的功能,例如服务名称或 ID,消费者用户名或ID
如果端点提供的功能不够,可以使用常规的 Lua 方法:
endpoints
模块提供的方法
PDK 提供的所有方法
self
参数,Lapis 的请求对象
用户可以引入需要的 Lua 模块
local endpoints = require "kong.api.endpoints"
local credentials_schema = kong.db.keyauth_credentials.schema
local consumers_schema = kong.db.consumers.schema
return {
["/consumers/:consumers/key-auth/:keyauth_credentials"] = {
schema = credentials_schema,
methods = {
before = function(self, db, helpers)
local consumer, _, err_t = endpoints.select_entity(self, db, consumers_schema)
if err_t then
return endpoints.handle_error(err_t)
if not consumer then
return kong.response.exit(404, { message = "Not found" })
self.consumer = consumer
if self.req.method ~= "PUT" then
local cred, _, err_t = endpoints.select_entity(self, db, credentials_schema)
if err_t then
return endpoints.handle_error(err_t)
if not cred or cred.consumer.id ~= consumer.id then
return kong.response.exit(404, { message = "Not found" })
self.keyauth_credential = cred
self.params.keyauth_credentials = cred.id
GET = endpoints.get_entity_endpoint(credentials_schema),
PUT = function(self, db, helpers)
self.args.post.consumer = { id = self.consumer.id }
return endpoints.put_entity_endpoint(credentials_schema)(self, db, helpers)
在上面的示例中,/consumers/:consumers/key-auth/:keyauth_credentials
路径定义了三个方法:
before
方法是一个自定义的 Lua 方法,其中使用了 endpoints
提供的方法(endpoints.handle_error)和 PDK 中的方法(kong.response.exit),它也填充了 self.consumer
参数,以供后续方法调用
GET
方法完全使用 endpoints
,这是合理的,before
方法已经预先准备了东西,比如 self.consumer
PUT
方法在调用 endpoints
提供的 put_entity_endpoint
方法前,先填充了 self.args.post.consumer
参数
如果用户认真对待自己的插件,需要为它编写测试用例,单元测试 Lua 脚本很简答,也有很多测试框架可以选择,如果用户还想编写集成测试,Kong 也提供了这样的功能
编写集成测试用例
Kong 首选的测试框架是 busted,与 resty-cli 解释器一起运行,如果用户愿意,也可以使用其他的,在 Kong 的仓库中,用户可以找到 busted 的可执行文件 bin/busted
Kong 提供了一个帮助程序 spec.helpers,可以在测试套件中启停 Lua 脚本,这个帮助程序还能在运行测试之前在数据中插入或删除数据,以及其他各种帮助
如果用户想在自己的仓库中编写插件,可以复制以下文件:
local helpers = require "spec.helpers"
for _, strategy in helpers.each_strategy() do
describe("my plugin", function()
local bp = helpers.get_db_utils(strategy)
setup(function()
local service = bp.services:insert {
name = "test-service",
host = "httpbin.org"
bp.routes:insert({
hosts = { "test.com" },
service = { id = service.id }
-- start Kong with your testing Kong configuration (defined in "spec.helpers")
assert(helpers.start_kong( { plugins = "bundled,my-plugin" }))
admin_client = helpers.admin_client()
teardown(function()
if admin_client then
admin_client:close()
helpers.stop_kong()
before_each(function()
proxy_client = helpers.proxy_client()
after_each(function()
if proxy_client then
proxy_client:close()
describe("thing", function()
it("should do thing", function()
-- send requests through Kong
local res = proxy_client:get("/get", {
headers = {
["Host"] = "test.com"
local body = assert.res_status(200, res)
-- body is a string containing the response
注意:当使用测试环境的 Kong 配置文件时,Kong代理监听9000和9443端口,Admin API 监听9001端口
安装/卸载插件
Kong 的自定义插件由Lua源文件组成,这些源文件需要安装在 Kong 节点的文件系统中,本章将逐步说明,使 Kong 节点可以理解用户的自定义插件
这些步骤将作用于 Kong 集群的每个节点,以确保每个节点上都有用户的自定义插件
用户可以使用常规打包策略(比如 tar),也可以使用 LuaRocks 包管理器来做执行这项工作,我们推荐使用 LuaRocks,因为它已经携带在官方发布的Kong安装包中
当使用 LuaRocks,用户必须创建一个 rockspec
文件来指定包内容,有关示例可以参考Kong的插件模板,更多信息可以参考 LuaRocks 的文档,用户可以使用以下命令打包文件:
# install it locally (based on the `.rockspec` in the current directory)
luarocks make
# pack the installed rock
luarocks pack <plugin-name> <version>
假设用户插件的 rockspec 文件叫 kong-plugin-my-plugin-0.1.0-1.rockspec
,命令行为:
luarocks pack kong-plugin-my-plugin 0.1.0-1
LuaRocks 的 pack
指令创建了一个 .rock
文件(这是一个包含安装 rock 所需内容的 zip 文件)
如果用户选择不使用 LuaRocks,可以使用 tar
指令将包含的 .lua
文件打包 .tar.gz
存档中
存档的内容类似如下格式:
tree <plugin-name>
<plugin-name>
├── INSTALL.txt
├── README.md
├── kong
│ └── plugins
│ └── <plugin-name>
│ ├── handler.lua
│ └── schema.lua
└── <plugin-name>-<version>.rockspec
要使 Kong 节点能够使用自定义插件,必须在主机的文件系统上安装自定义插件的 Lua 源,有多种方法可以达成:通过 LuaRocks,或手动,选择其中一个,然后直接跳转到第3部分:
通过 LuaRocks 创建 rock
.rock 文件是一个自包含的软件包,可以在本地安装,也可以从远程服务器安装,如果用户的系统中安装了 LuaRocks,可以在 LuaRocks 树中安装 rock,安装指令如下:
luarocks install <rock-filename>
如果用户的系统中已经安装了 luarocks,用户可以将当前目录修改为插件存档的目录,其中 rockspec 文件是:
cd <plugin-name>
luarocks make
这将在用户系统中的 LuaRocks 树中安装 kong/plugins/<plugin-name>
的源文件
一个更保险的安装方式是避免污染 LuaRocks 树,而是将 Kong 指向包含它们的目录,这通过调整 lua_package_path
属性完成,如果你熟悉它,这个属性是 Lua VM 中 LUA_PATH
变量的别名,这个属性包含以分号分隔的目录列表,用于搜索 Lua 源,配置大致如下:
lua_package_path = /<path-to-plugin-location>/?.lua;;
/<path-to-plugin-location>
:包含提取存档的目录的路径
?
:占位符,在 Kong 尝试加载插件时,会被 kong.plugins.<plugin-name>
替换,不要修改它
;;
:默认 Lua 路径的占位符,不要修改它
something
这个插件的 handler 文件在文件系统中这个位置:
/usr/local/custom/kong/plugins/<something>/handler.lua
Kong的目录是 /usr/local/custom
,因此,正确的路径可以设置为:
lua_package_path = /usr/local/custom/?.lua;;
多个插件:如果用户希望通过这个方法安装多个插件,可以这样设置变量:
lua_package_path = /path/to/plugin1/?.lua;/path/to/plugin2/?.lua;;
;
:多个目录之间的分隔符
;;
:依旧表示默认 Lua 路径的占位符
用户必须将自定义插件的名称添加到Kong配置中的插件列表(每个节点都需要):
plugins = bundled,<plugin-name>
或者,用户可以不添加绑定的插件:
plugins = <plugin-name>
如果用户需要使用多个插件,可以用逗号分隔:
plugins = bundled,plugin1,plugin2
plugins = plugin1,plugin2
注意,用户还可以通过环境变量 KONG_PLUGINS
来设置此属性,不要忘记更新Kong集群中每个节点的 plugins
指令,插件重启会生效
kong restart
如果用户不希望Kong停机并加载上插件,可以这样:
kong prepare
kong reload
验证加载插件
现在用户可以正常启动 Kong 了,为了确保插件被 Kong 加载,可以使用调试
日志级别启动 Kong:
log_level = debug
KONG_LOG_LEVEL=debug
然后,用户可以看到加载的每个插件
[debug] Loading plugin <plugin-name>
删除插件通常有3个步骤:
先从 Kong 的服务或路由配置中删除插件,确保该插件不再作用域全局,也不作用任何服务、路由或消费者,对于整个 Kong 集群,只需执行一次整个操作,不需要执行 restart 或 reload 指令,这个步骤只是让集群不再使用该插件,但它仍然可以再被启用
从 plugins
指令删除插件,确保在执行此操作之前已完成步骤1,在此步骤之后,任何人都不能将插件重新应用在服务、路由、消费者或者全局中,此步骤需要执行 restart 或 reload 指令才能生效
要彻底删除插件,要在每个 Kong 节点删除与插件相关的文件,在删除文件之前,确保已完成步骤2,包括重启 Kong,如果用户之前使用 LuaRocks 安装插件,可以使用 luarocks remove <plugin-name>
指令来删除
首选的方法是使用 LuaRocks,Lua 模块的包管理器,我们称这些模块是 rock
,用户不必将模块存储在 Kong 的仓库中,如果用户希望维持Kong的设置,则需要这样做
通过在 rockspec 文件中定义模块(及其依赖项),用户可以通过 LuaRocks 在平台上安装模块,用户也可以使用 LuaRocks 上传模块给其他人使用
由于以下几个原因,配置错误的自定义插件可能无法启动:
plugin is in use but not enabled
:用户在其他节点配置了自定义插件,并且数据库中已经保存了插件的配置,但是当前节点的 plugins
指令中没有找到该插件,要解决此问题,需要将每个节点都添加 plugins
指令