Nginx了为什么还要API网关

不少刚接触微服务的同学都会有这个疑问:Nginx已经能反向代理、负载均衡、甚至做基础限流了,为啥还要额外加一层API网关?难道不是为了加而加吗?

其实这俩根本不是替代关系,而是「各管一段」的搭档,今天咱们用大白话把这个事唠明白。

1778038241

先搞懂Nginx到底是干啥的

Nginx从诞生起就是个高性能网络层入口工具,你可以把它理解成高速路口的「总收费站」:

  • 特长1:抗并发,C10K问题解决得非常漂亮,几万并发连接也能稳稳扛住
  • 特长2:静态资源分发,前端HTML/CSS/JS、图片这些直接缓存返回,不用打穿到后端
  • 特长3:基础反向代理、TCP/HTTP负载均衡、SSL证书终结、基础IP限流/黑名单拦截

它的核心设计目标是「把流量又快又稳地接进来」,所有能力都围绕「网络层转发效率」做优化配置大多是静态的,改个上游地址经常还要 reload 配置。

单体应用、小项目用 Nginx 完全够:配几个 upstream,把请求转到 2–3 台后端服务器,顶多做点路径重写,足够用了。

微服务时代,Nginx不够用的地方就来了

等你拆微服务了,后端服务从「固定的两三台机器」变成「几十上百个动态扩缩容的实例」,需求就变了:你需要的不是「转出去」,而是「转对、转稳、转得可控」。这时候 Nginx 原生能力就捉襟见肘了:

1. 动态路由 / Nacos服务发现

微服务实例随时会上线、下线、扩缩容,IP 和端口是变的。Nginx 原生得手动改 upstream 配置再 reload,或者用 lua 脚本调注册中心,维护成本高还容易出错。
API 网关天生就能对接 Nacos / Eureka 等注册中心,服务列表变了自己刷新,不用人工介入。

2. 统一鉴权 / 权限控制

总不能每个微服务都写一遍 JWT 校验、RBAC 权限判断、多租户隔离、风控校验吧?重复代码就算了,改个鉴权规则还要发十几个服务版本。
放网关做统一拦截,没登录的直接挡回去,合法请求带上用户信息再转发到后端,后端只用专心写业务逻辑就行。

3. 精细化流量治理

大促要做灰度发布?按用户 ID 切 10% 流量到新版本;
要对某个用户做接口级限流?支付接口每秒最多 10 次;
下游服务挂了要做熔断降级返回兜底数据?

这些 Nginx 不是完全做不到,但要么得写复杂的 lua 脚本,要么配置散在各处,调试运维成本极高。
API 网关原生支持这些场景,点点控制台就能配,还带可视化监控。

4. 协议转换 / 请求聚合

前端不想调七八个接口拼数据?网关可以做 BFF(Backend For Frontend)层,一个外部请求拆分给订单、用户、商品三个微服务,聚合成一个结果返回;
还能做 HTTP 转 gRPC / internal RPC 的转换,适配内部异构服务。

实际生产里都是怎么用的?

绝大多数成熟架构都是 Nginx + API 网关分层部署,俩各干各的活:

  1. 最外层放 Nginx(流量网关)

    • 扛 DDoS
    • 处理 HTTPS 卸载
    • 缓存静态资源
    • 做全局 IP 限流
    • /api/* 的请求转发到 API 网关集群
    • 非 API 请求直接返回静态资源

  2. 内层放 API 网关(业务网关)

    • 对接注册中心做动态路由
    • 统一鉴权
    • 精细化限流熔断
    • 灰度发布
    • 链路追踪埋点
    • 请求聚合
    • 再把请求转到具体微服务

相当于 Nginx 当「大门保安」,拦住明显不怀好意的流量,维持入口通畅;
API 网关当「大堂经理」,核对身份、引导去对应窗口、处理特殊需求,俩配合起来才舒服。

啥时候不用 API 网关?

也不是所有场景都需要硬上:

  • 你就是个单体应用,最多两台机器做负载均衡,直接 Nginx 够了
  • 团队没人懂网关维护,业务也简单,没必要为了「看起来高端」加一层
  • 只有几个固定后端服务,没有动态扩缩容、统一鉴权这些需求,Nginx + OpenResty 写点 lua 也能凑合用

但如果你的服务越拆越多、团队协作越来越复杂、要做灰度 / 限流 / 统一鉴权,那 API 网关就是刚需,不是重复造轮子,是把通用逻辑收拢,省得每个服务都写一遍。