API 网关与负载均衡器：一图看懂核心差异

核心要点

• API 网关专为 API 流量设计： 它们理解 API 协议（REST、GraphQL、gRPC），并提供身份验证、授权、速率限制和请求/响应转换等高级功能。
• 负载均衡器通用处理网络流量： 其主要功能是将传入的网络请求分发到多个服务器，以确保高可用性和可扩展性。
• 互补而非互斥： 在现代微服务架构中，API 网关通常位于负载均衡器之后，或位于处理外部流量的负载均衡器之前。
• API 网关工作在第 7 层（应用层）： 它们检查并操作请求内容。
• 负载均衡器工作在第 4 层（传输层）或第 7 层（应用层）： 第 4 层负载均衡器速度更快但功能较少；第 7 层负载均衡器功能更丰富但会增加延迟。
• 选择取决于需求： 对于简单的流量分发，负载均衡器就足够了。对于复杂的 API 管理，API 网关是必不可少的。

概述

在现代分布式系统的复杂格局中，两个架构组件频繁出现，并因其看似重叠的功能而常常引起混淆：API 网关和负载均衡器。虽然两者都在管理网络流量和确保服务可靠性方面扮演着关键角色，但它们的核心目的、操作层级和功能集却截然不同。对于设计健壮、可扩展且安全的应用程序（尤其是那些利用微服务的应用程序）的架构师和开发人员来说，理解这些差异至关重要。本文旨在揭开这两个组件的神秘面纱，突出它们各自的独特优势，并展示它们如何在综合基础设施中相互补充。

为什么：根本区别

API 网关和负载均衡器同时存在的主要原因源于应用设计需求的不断演变。历史上，由少数服务器提供服务的单体应用严重依赖负载均衡器来分发流量。然而，随着微服务、云原生架构的出现，以及 API 作为主要通信接口的普及，一个更复杂的流量管理层变得必不可少。

负载均衡器本质上是交通警察。其根本目的是将传入��网络请求分发到一组后端服务器或服务中，以确保没有任何单个服务器成为瓶颈。这种分发实现了几个关键目标：

• 高可用性： 如果一台服务器发生故障，负载均衡器会将流量重新路由到健康的服务器，从而防止服务中断。
• 可扩展性： 通过添加更多后端服务器，系统可以处理增加的负载而不会导致性能下降。
• 性能优化： 负载均衡器可以采用各种算法（例如轮询、最少连接、IP 哈希）来高效分发流量，最小化响应时间。

它们主要在传输层（第 4 层） 运行，检查 IP 地址和端口号，或者在应用层（第 7 层） 运行，在那里它们可以检查 HTTP 头和 URL。虽然第 7 层负载均衡提供了更智能的路由，但其主要重点仍然是基于网络特性分发流量。

另一方面，API 网关是所有 API 请求的专用入口点。它们旨在处理由各种微服务暴露的众多 API 所固有的复杂性。API 网关充当外部客户端的单一、统一接口，抽象掉微服务架构的内部复杂性。其目的远远超出了简单的流量分发；它关乎管理、保护和优化 API 交互。

这个根本区别至关重要：负载均衡器分发流量以确保正常运行和性能，而 API 网关管理和编排 API 流量以提供一致、安全且高性能的 API 体验。它们解决的是不同但相关的问题。

1graph TD
2    A[客户端] --> B(互联网)
3    B --> C{负载均衡器}
4    C --> D[Web 服务器 1]
5    C --> E[Web 服务器 2]
6    C --> F[Web 服务器 3]
7
8    subgraph API 网关场景
9        G[客户端] --> H(互联网)
10        H --> I{API 网关}
11        I --> J[微服务 A]
12        I --> K[微服务 B]
13        I --> L[微服务 C]
14        I -- 身份验证, 速率限制 --> J
15        I -- 缓存, 转换 --> K
16        I -- 协议转换 --> L
17    end
18
19    style C fill:#f9f,stroke:#333,stroke-width:2px
20    style I fill:#f9f,stroke:#333,stroke-width:2px
21    linkStyle 2 stroke-width:2px,fill:none,stroke:green
22    linkStyle 3 stroke-width:2px,fill:none,stroke:green
23    linkStyle 4 stroke-width:2px,fill:none,stroke:green
24
25    linkStyle 7 stroke-width:2px,fill:none,stroke:blue
26    linkStyle 8 stroke-width:2px,fill:none,stroke:blue
27    linkStyle 9 stroke-width:2px,fill:none,stroke:blue
28
29    classDef traffic_cop fill:#e0f7fa,stroke:#00bcd4,stroke-width:2px
30    class C traffic_cop
31    class I traffic_cop

图 1：概念差异 - 负载均衡器 vs. API 网关

上图直观地展示了核心区别。负载均衡器 (C) 只是将传入的请求路由到几个相同的 Web 服务器 (D, E, F) 之一。而 API 网关 (I) 则充当一个更智能的中介，在根据 API 请求路由到不同的微服务 (J, K, L) 之前，可能会应用各种策略（身份验证、速率限制、缓存、转换、协议转换）。

如何：实现与最佳实践

了解 API 网关和负载均衡器在实践中如何实现和使用，能进一步巩固它们的不同角色。

负载均衡器实践

负载均衡器可以是基于硬件的设备（例如 F5 BIG-IP、Citrix ADC），也可以是基于软件的解决方案（例如 Nginx、HAProxy、AWS ELB/ALB、Azure Load Balancer、Google Cloud Load Balancing）。

负载均衡器的关键特性：

• 流量分发算法：
  • 轮询： 按顺序将请求分发给组中的每个服务器。
  • 最少连接： 将新请求发送到活动连接数最少的服务器。
  • IP 哈希： 将来自特定客户端 IP 的请求定向到同一台服务器，对于会话保持很有用。
  • 加权负载均衡： 为每台服务器分配一个“权重”，将更多流量导向更强大或更空闲的服务器。
• 健康检查： 定期探测后端服务器以确保其正常运行。如果服务器健康检查失败，则会暂时从轮换中移除，直到恢复。
• SSL/TLS 终止： 将 SSL/TLS 握手的加密开销从后端服务器卸载，提高其性能。这通常是第 7 层功能。
• 粘性会话（会话保持）： 确保来自特定客户端的会话期间的所有请求都发送到同一台后端服务器，这对于有状态应用程序至关重要。这可以通过 Cookie 或 IP 哈希实现。
• 连接排空： 优雅地将服务器从负载均衡池中移除，允许现有连接完成后再将其下线进行维护。

负载均衡器最佳实践：

• 选择合适的算法： 对于无状态服务，轮询或最少连接通常很高效。对于有状态服务，考虑 IP 哈希或基于 Cookie 的粘性会话，但要了解可能导致分布不均。
• 实施健壮的健康检查： 配置能准确反映服务运行状态（而不仅仅是服务器是否在线）的健康检查。检查应用层端点。
• 考虑第 4 层与第 7 层： 第 4 层负载均衡器对于基本的 TCP/UDP 分发来说更快、更简单。第 7 层负载均衡器提供更多智能（例如基于内容的路由、URL 重写、SSL 终止），但会引入更多延迟。
• 冗余： 以高可用配置（例如主备或主主）部署负载均衡器，以防止其成为单点故障。
• 监控： 监控负载均衡器指标（连接数、请求率、错误率）以识别瓶颈或问题。

API 网关实践

API 网关可以是商业产品（例如 Apigee、Kong、Tyk、Azure API Management、AWS API Gateway）或开源解决方案（例如 Kong、Ocelot、Spring Cloud Gateway）。

API 网关的关键特性：

• 身份验证和授权： 通过验证客户端凭据（例如 OAuth2、JWT）和执行访问策略来保护 API。这将安全问题从单个微服务中卸载。
• 速率限制和节流： 控制客户端在给定时间段内可以发出的请求数量，防止滥用并确保公平使用。
• 请求/响应转换： 在转发到后端之前修改请求头、正文或查询参数，并在发送回客户端之前类似地转换响应。这允许进行 API 版本控制、协议转换（例如 REST 到 gRPC）和数据操作。
• 路由和组合： 根据 URL 路径、HTTP 方法或其他条件将 API 请求定向到适当的后端微服务。还可以将来自多个微服务的响应聚合成单个响应。
• 缓存： 缓存 API 响应，以减少对频繁访问数据的延迟和后端服务的负载。
• 监控和分析： 提供对 API 使用情况、性能和错误率的洞察，对于操作可见性至关重要。
• 日志记录： 集中记录 API 请求和响应，有助于调试和审计。
• 协议转换： 桥接不同的通信协议（例如将 gRPC 服务暴露为 REST API）。
• 开发者门户： 许多 API 网关提供开发者门户来记录 API、管理 API 密钥和引导开发者。

API 网关最佳实践：

• 定义清晰的 API 契约： 使用 OpenAPI/Swagger 定义和执行 API 契约，确保一致性和易用性。
• 集中安全： 利用 API 网关处理所有身份验证、授权和速率限制，以在所有 API 中保持一致的安全态势。
• 抽象内部复杂性： 设计 API 网关，向外部客户端暴露一个简化的统一接口，隐藏底层的微服务架构。
• 明智地实施缓存： 为静态或不经常变化的数据缓存响应以提高性能，但要注意缓存失效策略。
• 监控和告警： 为 API 网关指标（延迟、错误率、请求量）配置全面的监控和告警，以主动识别问题。
• 版本控制策略： 使用 API 网关管理 API 版本控制，允许客户端在使用旧版本的同时开发新版本。
• 部署策略： 以高可用性和可扩展性部署 API 网关，类似于其他关键基础设施组件。
• 避免过度编排： 虽然 API 网关可以组合请求，但避免让它们变得太“智能”，否则它们可能成为单体瓶颈。将业务逻辑保持在微服务内部。

协同作用：它们如何协同工作

在许多复杂的架构中，特别是那些涉及面向外部的 API 和内部微服务的架构，API 网关和负载均衡器通常协同部署。

1graph TD
2    A[外部客户端] --> B{外部负载均衡器};
3    B --> C[API 网关 1];
4    B --> D[API 网关 2];
5    C --> E{内部负载均衡器};
6    D --> E;
7    E --> F[微服务 A 实例 1];
8    E --> G[微服务 A 实例 2];
9    E --> H[微服务 B 实例 1];
10    E --> I[微服务 B 实例 2];
11
12    subgraph API 网关层
13        C;
14        D;
15    end
16
17    subgraph 微服务后端
18        F;
19        G;
20        H;
21        I;
22    end
23
24    style B fill:#f9f,stroke:#333,stroke-width:2px
25    style E fill:#f9f,stroke:#333,stroke-width:2px
26    linkStyle 0 stroke-width:2px,fill:none,stroke:green;
27    linkStyle 1 stroke-width:2px,fill:none,stroke:green;
28    linkStyle 2 stroke-width:2px,fill:none,stroke:blue;
29    linkStyle 3 stroke-width:2px,fill:none,stroke:blue;
30    linkStyle 4 stroke-width:2px,fill:none,stroke:red;
31    linkStyle 5 stroke-width:2px,fill:none,stroke:red;
32    linkStyle 6 stroke-width:2px,fill:none,stroke:red;
33    linkStyle 7 stroke-width:2px,fill:none,stroke:red;

图 2：微服务架构中的 API 网关和负载均衡器

在这种常见的设置中：

1. 外部负载均衡器 (B)： 位于网络边缘，将来自外部客户端 (A) 的传入流量分发到 API 网关的多个实例 (C, D)。这确保了 API 网关本身的高可用性和可扩展性。它可能执行基本的第 4 层或第 7 层负载均衡。
2. API 网关 (C, D)： 接收来自外部负载均衡器的流量。然后应用其丰富的 API 管理功能：身份验证、授权、速率限制、请求转换以及基于 API 路径或版本的智能路由。
3. 内部负载均衡器 (E)： API 网关处理请求后，将其转发到内部负载均衡器 (E)。然后，这个内部负载均衡器将请求分发到特定微服务的多个实例（F, G 对应微服务 A；H, I 对应微服务 B）。这种设置确保了个体微服务也是高可用和可扩展的。

这种分层方法利用了两种组件的优势：负载均衡器在各个层级提供健壮、高性能的流量分发，而 API 网关则提供智能、策略驱动的 API 交互管理。

API 网关 vs. 服务网格

简要提及 API 网关与服务网格之间的区别也很重要，因为两者都处理微服务中的服务间通信。

API 网关主要关注南北流量——进入或离开微服务生态系统的流量。它专注于外部客户端交互、安全性和 API 的暴露。

服务网格（例��� Istio、Linkerd）主要关注东西流量——生态系统内部微服务之间的流量。它为内部服务到服务的通信提供流量管理、可观测性（指标、追踪、日志记录）和安全（mTLS）等功能。每个微服务通常都有一个边车代理（如 Envoy）来处理这些关注点。

虽然可能存在一些重叠（例如，高级 API 网关可能为内部路由提供一些类似服务网格的功能），但它们的主要关注点和部署位置有很大不同。一个常见的模式是在边缘部署一个 API 网关，并由一个服务网格管理内部微服务通信。

1graph TD
2    subgraph 外部
3        A[客户端]
4    end
5
6    subgraph API 网关层
7        B(API 网关)
8    end
9
10    subgraph 服务网格层
11        C(边车代理 M1)
12        D(微服务 1)
13        E(边车代理 M2)
14        F(微服务 2)
15        G(控制平面)
16    end
17
18    A -- "南北流量" --> B;
19    B -- "API 调用" --> C;
20    C -- "本地拦截" --> D;
21    D -- "东西流量 (通过代理)" --> E;
22    E -- "本地拦截" --> F;
23    G -- "配置代理" --> C;
24    G -- "配置代理" --> E;
25
26    style A fill:#e0f7fa,stroke:#00bcd4,stroke-width:2px;
27    style B fill:#fff9c4,stroke:#ffeb3b,stroke-width:2px;
28    style C fill:#f3e5f5,stroke:#9c27b0,stroke-width:2px;
29    style D fill:#e8f5e9,stroke:#4caf50,stroke-width:2px;
30    style E fill:#f3e5f5,stroke:#9c27b0,stroke-width:2px;
31    style F fill:#e8f5e9,stroke:#4caf50,stroke-width:2px;
32    style G fill:#e0f2f7,stroke:#03a9f4,stroke-width:2px;

图 3：API 网关与服务网格交互

此图说明了 API 网关如何处理外部客户端请求，可能路由到一个微服务，然后该微服务的通信由服务网格（代理 C 和 E，由 G 控制）管理。

结论

虽然 API 网关和负载均衡器都是现代云原生架构中必不可少的组件，但它们的角色是不同且互补的。负载均衡器是一种基础网络流量管理工具，通过智能分发请求来确保底层服务器的可用性和可扩展性。相反，API 网关是一个专门的应用层组件，为 API 消费者提供统一、安全且受管理的入口点，并提供身份验证、速率限制和请求转换等高级功能。理解这种区别使架构师能够设计出更具弹性、性能更好且更安全的系统，通常通过战略性地部署这两个组件来发挥各自的优势。选择不是“非此即彼”，而是“何时何地”部署每个组件以实现最佳系统性能和可维护性。