Apache APISIX 是一个动态、实时、高性能的云原生 API 网关,同时具备强大的 AI 网关能力。它基于 NGINX 和 LuaJIT 构建,并在 2019 年作为顶级开源项目捐赠给 Apache 软件基金会。APISIX 彻底摒弃了对传统关系型数据库的依赖,采用分布式键值存储 etcd 作为配置中心,这赋予了它毫秒级配置热加载的核心优势。它提供了极其丰富的流量治理功能,涵盖负载均衡、动态路由、动态上游、灰度发布、熔断、全方位身份验证和可观测性。不仅能够妥善处理传统的南北向业务流量以及微服务间的的东西向流量,APISIX 还原生集成于云原生生态,可无缝作为 Kubernetes Ingress 控制器运行。随着生成式 AI 的爆发,APISIX 通过其高度可扩展的多语言插件架构,原生支持 OpenAI、DeepSeek、Claude 等主流大语言模型的代理访问,为 AI 应用程序提供统一的多模型调度、基于 Token 的精准限流及安全合规防护,帮助开发者在复杂的基础设施架构下交付极致稳定和可扩展的服务。
Lista de funções
- 毫秒级全动态路由与配置更新:无需重启任何网关服务,即可实现路由规则、上游节点、SSL 证书以及插件配置的实时热加载,确保高并发业务零中断。
- 内置云原生 AI 网关功能:通过专门的
ai-proxy等插件,支持代理并统一管理国内外数十种主流大语言模型(如 OpenAI、DeepSeek、Gemini),支持大模型间的负载均衡、请求回退重试、提示词内容审核以及针对 Token 消耗的细粒度限流限速。 - 跨平台与云原生环境全兼容:真正做到平台无关与零厂商锁定,支持从裸金属服务器、虚拟机到各类容器化 Kubernetes 集群的无缝部署,并全面适配 ARM64 架构。
- 全面协议代理与转换支持:不仅仅处理 HTTP/HTTPS 请求,更支持动态 TCP/UDP 代理、HTTP 到 Dubbo/gRPC 的协议转换转换映射、基于客户端 ID 的动态 MQTT 代理等复杂微服务通信协议需求。
- 企业级流量治理与调度机制:内置 A/B 测试、金丝雀发布(灰度发布)、蓝绿部署、全维度频率限制与并发限制。在高负载或后端故障时,提供自动化的服务降级和熔断机制保护业务主干。
- 全方位零信任安全防护体系:支持跨域资源共享 (CORS)、URI 重写与重定向。提供极其完整的身份验证与授权方案,涵盖 JWT、API Key、OpenID Connect、OAuth 2.0 及基于 HMAC 的鉴权算法,并支持防范恶意网络攻击。
- 高自由度的多语言插件生态:内置超过 100 种开箱即用的功能插件,满足绝大多数业务诉求。同时,对拥有极高定制化需求的企业,支持采用 Lua、Java、Go、Python 和 Wasm (WebAssembly) 等不同技术栈开发扩展插件。
- 无死角的全链路可观测性闭环:原生集成指标、日志和分布式链路追踪,无缝对接 Prometheus、Grafana、Zipkin、SkyWalking、Datadog 以及 Elasticsearch,协助运维人员快速进行故障溯源与系统性能瓶颈定位。
Usando a Ajuda
Apache APISIX 的设计初衷是为了解决高吞吐量、微服务及 AI 时代异常复杂的流量治理痛点。无论您是想将其作为传统的微服务 API 网关,还是当做代理大型语言模型(LLM)调用的统一 AI 网关使用,都可以通过以下详尽的步骤快速掌握 APISIX 的安装部署、核心配置与插件使用。以下教程基于最通用的 Docker 容器化环境编写,致力于让开发者“复制即用”,打造沉浸式的研发体验。
一、 准备工作与环境依赖
由于 Apache APISIX 采用分布式架构设计,其高度动态化的特性依赖于 etcd 作为底层的配置存储引擎。为了让您在本地开发或测试环境中快速跑通整个流程,官方强烈建议使用 Docker 和 Docker Compose 来一键拉取并运行全套组件。
- Validação ambiental:请确认您的操作系统(Windows / macOS / Linux)已成功安装 Docker 引擎以及 Docker Compose 插件。您可以通过在终端执行以下指令来确认:
docker -v docker compose version - 端口预留检查:APISIX 默认需要占用
9080(处理常规 HTTP 流量)、9443(处理 HTTPS 加密流量)以及9180(处理 Admin API 管理请求)等端口,启动前请确保这些系统端口未被其他程序占用。
二、 快速安装与部署流程
为了极致简化上手过程,Apache APISIX 官方在 GitHub 提供了开箱即用的自动化部署脚本。
- 获取官方部署模板:请在您的命令行终端中执行 Git 克隆命令,下载包含完整环境预设代码的开源仓库:
git clone https://github.com/apache/apisix-docker.git cd apisix-docker/example - 启动 APISIX 服务集群:在该
example目录下,官方已经准备了最佳实践的docker-compose.yml配置文件。执行以下指令以守护进程(后台)模式启动整个 API 网关环境:docker compose up -d - 验证安装状态: Implementação
docker ps。若您能在终端回显列表中看到apisix核心进程容器以及etcd数据中心容器处于Up运行状态,恭喜您,网关底座已成功搭建!
三、 核心功能指引:配置路由与负载均衡
APISIX 提供了一套基于 RESTful 架构的 Admin API,您可以通过发起标准的 HTTP 请求来对网关进行“毫秒级无感热刷新”的动态配置管理,告别传统 NGINX 每次改配置必须 reload 的尴尬。
Requisitos do cenário:假设您有一个提供天气数据的后端应用托管在 httpbin.org。您希望当终端用户请求本地域名 /get 路径时,APISIX 能够将流量代理到真实的远端服务器上。
- 创建路由并绑定上游服务器:
打开终端,通过curl命令发送 JSON 格式配置进行路由绑定:curl -i -X PUT http://127.0.0.1:9180/apisix/admin/routes/1 \ -H "X-API-KEY: edd1c9f034335f136f87ad84b625c8f1" \ -d '{ "uri": "/get", "upstream": { "type": "roundrobin", "nodes": { "httpbin.org:80": 1 } } }'instruções:
-H "X-API-KEY"传入的值是 Admin API 默认的安全访问校验 Key,生产环境中请务必修改!"type": "roundrobin"指定了后端节点间的流量分发采用轮询负载均衡算法。 - 验证流量代理效果:
配置一旦被 APISIX 收到即刻生效。现在,您只需要用浏览器或命令行访问代理入口:curl -i http://127.0.0.1:9080/get如果您获得了
httpbin.org返回的规范 JSON 数据报文,说明最基础的 API 反向代理配置已大功告成。
四、 特色进阶操作:作为云原生 AI 网关配置大模型代理
在各类人工智能(AI Agent)爆火的今天,企业面临多 AI 供应商对接混乱、接口限额及秘钥分发不安全的问题。通过 APISIX 内置的 ai-proxy 插件,可以零代码侵入业务,直接让网关承担 AI 流量的大管家。
- 配置大模型请求拦截路由:
假定您的业务系统要调用大厂模型生成文本,发送下述指令拦截访问/v1/chat/completions的 API:curl -i -X PUT http://127.0.0.1:9180/apisix/admin/routes/2 \ -H "X-API-KEY: edd1c9f034335f136f87ad84b625c8f1" \ -d '{ "uri": "/v1/chat/completions", "plugins": { "ai-proxy": { "auth": { "header": { "Authorization": "Bearer 填写您的_API_KEY" } }, "model": { "provider": "openai", "name": "gpt-4o" } } }, "upstream": { "type": "roundrobin", "nodes": { "api.openai.com:443": 1 }, "scheme": "https" } }'instruções:网关将自动把凭据和模型路由隐蔽处理。业务端开发人员只需把请求打到内部的 APISIX 地址上,极大保障了昂贵的 API Key 不被泄露,且能快速切换底层不同的服务商提供者(如 DeepSeek (etc.).
五、 必备安全防护:开启细粒度的高并发限流防刷限制
为了防止您的服务被恶意爬虫拖垮,或 AI 模型额度被意外的循环代码消耗殆尽,加上一道安全防线至关重要。
- 动态叠加
limit-count限流插件:
使用 HTTP PATCH 增量修改此前建立好的路由(无需中断现行连接):curl -i -X PATCH http://127.0.0.1:9180/apisix/admin/routes/1 \ -H "X-API-KEY: edd1c9f034335f136f87ad84b625c8f1" \ -d '{ "plugins": { "limit-count": { "count": 5, "time_window": 60, "rejected_code": 429, "key": "remote_addr" } } }'instruções:这套规则使得系统在 60 秒的滑动时间窗内,对来自于同一个 IP 地址(
remote_addr)的客户端请求只放行 5 次。超载时,网关将在最外层直接拦截,并立刻阻断返回429 Too Many Requests。您的微服务代码甚至不需要感知此次攻击的存在。
通过上述完整的操作手册,再配合 APISIX 提供的开源网页控制台(Apache APISIX Dashboard),您能够搭建起一套真正匹配大规模生产级别的多模态流量网关平台。
cenário do aplicativo
- 微服务集群的集中式南北向网关
作为所有外部客户端、移动端 App 和前端浏览器访问内部微服务架构群的唯一官方流量入口。在网关层完成统一的 SSL 卸载、用户鉴权拦截、高频限流以及跨域配置,极大降低企业内部微服务的开发冗余复杂度。 - 多语言智能应用的统一 AI 网关引擎
针对以大语言模型为核心的智能应用(如智能助理、RAG系统)。由 APISIX 代理底层对外的 OpenAI、DeepSeek 等大模型接口调用,利用统一路由隐藏后端各厂商的模型差异,并根据消耗的上下文 Token 数额执行计费控制和请求调度分发,避免大模型幻觉带来的资金损失与业务瘫痪。 - 高效的云原生容器网络路由层 (Kubernetes Ingress)
用于全面接管 Kubernetes 内部的应用对外暴露入口。作为 K8s Ingress Controller,它可以替代原本老旧的 NGINX 控制器方案。利用其高动态特性,当 K8s 集群发生 Pod 创建和销毁扩缩容时,路由自动生效无需任何 Reload 重启,彻底根绝连接阻断的问题。 - 异构微服务间的东西向通信桥梁 (Service Mesh)
应用在多部门协同的大型系统中,统一纳管后端服务到服务(服务间互相调用)的数据流。不仅可帮助传统 HTTP 协议动态转换为 gRPC 和 Dubbo 协议以适配历史系统债务,还能为企业链路调用引入熔断和重试保护伞。
QA
- Apache APISIX 在技术架构上和传统 API 网关有什么本质区别?
APISIX 架构在设计之初就追求绝对的极致性能与动态性。它依托 NGINX 为高吞吐数据代理层,但底层摒弃了使用 MySQL 等关系型数据库作为配置管理的模式,改用具备超高分布式共识特性的 etcd。这使得所有路由更新可避开数据库轮询耗时,在全网关集群实现毫秒级即时生效。 - 如果团队没人懂 Lua 语言,还可以为 APISIX 编写自定义插件吗?
完全可以。APISIX 拥有极为出色的开发者体验并支持多语言生态。除了原生的 Lua 引擎外,其内部抽象提供了 Plugin Runner 机制,这允许团队直接使用 Java、Go、Python 或 Wasm (WebAssembly) 等熟悉的技术栈去撰写处理网络拦截与处理规则的高阶业务插件。 - 每次修改路由、更新证书、上架新插件需要重启网关服务吗?
绝不需要重启。Apache APISIX 最大的卖点即为“零中断热更新”。无论您是添加了新路由节点,更新了已经过期的 TLS 证书,还是从 100 个插件里新启用了一个安全插件,指令一经发出,网关便会在运行态直接把配置应用到内存中并起效,保障业务连贯性。 - 当前系统正在引入生成式 AI 技术,APISIX 怎么帮助我管理多种大模型?
APISIX 定位不仅是 API 网关,还是标准化的 AI 网关。针对 AI 应用,官方提供了强悍的ai-proxy以及相应的 Token 限流插件。网关可以同时接入海内外的多家 LLM 提供商,利用其权重轮询机制动态控制各大模型的请求比例,支持备用大模型自动回退(Fallback),并在前端拦截敏感词防止恶意的 Prompt 注入。
