从零搭建Spring Cloud微服务:一个安全工程师的踩坑实录
上周五晚上九点半,我盯着屏幕上那个熟悉的 Connection refused: no further information 报错,一边啃着冷掉的披萨,一边在心里问候了Eureka八百遍。作为公司里那个“除了写业务还要盯安全漏洞”的苦命安全工程师,最近却被领导安排了个新活儿——把我们那套单体老古董拆成微服务。理由很充分:“你不是想跳槽吗?正好练练手。”
行吧,谁让我简历上写着“熟悉分布式架构”呢(其实只是刷了几道LeetCode题)。于是,这周我就在MacBook Pro上搭起了Spring Cloud全家桶,顺便用Windows虚拟机测兼容性——没错,我就是那种宁可死也不用Windows写代码的人。
为什么是现在?
说实话,我对微服务一直持保留态度。不是技术不行,而是见过太多团队为了“时髦”而微服务,结果把简单问题复杂化。我们原来的系统是典型的Java单体应用,Spring Boot + MyBatis,跑在Tomcat上,数据库是MySQL集群。去年双11压测时,订单模块一崩,整个系统瘫痪,运维小哥差点哭出来。
产品经理当时说:“要不我们搞微服务?”
我内心OS:“你懂个锤子微服务。”
但转念一想,这确实是提升系统韧性的机会。而且,安全角度来看,微服务天然支持更细粒度的权限控制和网络隔离——比如订单服务只能访问订单DB,用户服务不能直接连支付网关。这对我们这种对数据敏感的金融类应用太重要了。
于是,我给自己定了三个目标:
- 高内聚低耦合:每个服务职责单一
- 可观测性强:日志、监控、链路追踪一个都不能少
- 安全基线达标:TLS加密、RBAC权限、API网关鉴权
搭建过程:从Hello World到生产可用
第一步:服务注册与发现——别再硬编码IP了!
最早期的做法是在配置文件里写死其他服务的IP和端口,结果每次部署都要改一堆YAML。运维大哥看到我就绕道走。
Spring Cloud Eureka 解决了这个问题。我在本地起一个Eureka Server:
# eureka-server/src/main/resources/application.yml
server:
port: 8761
eureka:
client:
register-with-eureka: false
fetch-registry: false
然后两个业务服务(user-service 和 order-service)注册上去:
# user-service/application.yml
eureka:
client:
service-url:
defaultZone: http://localhost:8761/eureka/
spring:
application:
name: user-service
这时候就能通过服务名调用对方了,而不是IP。Feign让这事更优雅:
@FeignClient(name = "order-service")
public interface OrderClient {
@GetMapping("/orders/user/{userId}")
List<Order> getOrdersByUserId(@PathVariable Long userId);
}
开发心得:千万别在生产环境用Eureka默认配置!记得关掉自我保护模式(eureka.server.enable-self-preservation=false),否则节点宕机后不会立刻剔除,导致调用方疯狂500。
第二步:配置中心——告别“改配置重启服务”
以前改个超时时间都要发版,测试小姐姐已经把我拉黑了。Spring Cloud Config + Git 后端拯救了我。
我把所有服务的配置放在一个私有Git仓库里,结构如下:
config-repo/
├── user-service-dev.yml
├── user-suite-prod.yml
├── order-service-dev.yml
└── ...
Config Server 配置:
spring:
cloud:
config:
server:
git:
uri: https://gitlab.company.com/configs.git
username: ${GIT_USER}
password: ${GIT_TOKEN}
业务服务启动时自动拉取对应环境的配置。更爽的是,配合 Spring Cloud Bus + RabbitMQ,还能实现动态刷新!改完Git里的配置,发个POST请求 /actuator/refresh,服务就热更新了。
安全提醒:Git仓库必须设为私有!别学某公司把数据库密码commit到GitHub上,被我司安全扫描工具扫出来,通报批评三次。
第三步:API网关——你的第一道防线
微服务多了,前端总不能一个个调吧?Zuul or Gateway?我选了Gateway(Zuul性能太拉胯,而且Netflix已停止维护)。
关键配置:
spring:
cloud:
gateway:
routes:
- id: user_route
uri: lb://user-service
predicates:
- Path=/api/users/**
filters:
- StripPrefix=1
这里 lb:// 表示走负载均衡,自动从Eureka拿实例列表。
重点来了:我在Gateway层加了JWT鉴权和IP黑白名单。所有请求先过安全过滤器,非法请求直接403,根本进不了业务服务。这比每个服务自己做鉴权安全多了——毕竟,程序员总会忘记写权限校验,但我这个安全工程师写的网关,可不会漏。
@Component
public class AuthFilter implements GlobalFilter, Ordered {
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
String token = exchange.getRequest().getHeaders().getFirst("Authorization");
if (!isValidToken(token)) {
exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
return exchange.getResponse().setComplete();
}
return chain.filter(exchange);
}
}
第四步:熔断与降级——别让雪崩毁了你
去年双11事故就是因为订单服务慢,导致用户服务线程池耗尽。这次我上了Resilience4j(Hystrix已停更,别用了!)。
@Service
public class UserService {
@CircuitBreaker(name = "orderService", fallbackMethod = "getDefaultOrders")
public List<Order> getUserOrders(Long userId) {
return orderClient.getOrdersByUserId(userId);
}
private List<Order> getDefaultOrders(Long userId, Exception e) {
log.warn("Order service down, returning empty list", e);
return Collections.emptyList();
}
}
配合Prometheus + Grafana,实时看熔断器状态。当错误率超过50%,自动打开熔断,10秒后半开试探。这招在压测时救了我好几次。
架构设计:不只是搭积木
很多人以为Spring Cloud就是堆组件,其实架构设计才是核心。我花了一整天画了这张图(虽然不能放图,但你可以脑补):
- 所有服务无状态,方便水平扩展
- 数据库按领域拆分:user_db, order_db, payment_db
- Redis缓存热点数据,但绝不作为唯一数据源
- 消息队列(RabbitMQ)解耦异步操作,比如发邮件、扣库存
接口设计原则:
- RESTful + JSON,禁用XML(省带宽)
- 统一响应格式:
{code, message, data} - 敏感字段脱敏(手机号、身份证)
- 分页用
page和size,别用offset(大数据量性能差)
数据库设计:
- 每个服务独享DB,禁止跨库join
- 订单ID用雪花算法生成,避免自增暴露业务量
- 建索引前必问:这个查询QPS多少?数据量多大?
生产运维:血泪教训总结
日志聚合
ELK(Elasticsearch + Logstash + Kibana)必须上。每个服务打日志带上 traceId,用MDC实现全链路追踪。排查问题时,输入一个traceId,整条调用链日志全出来。
监控告警
- JVM内存、GC频率
- 接口RT(99分位)、错误率
- Eureka注册实例数突降告警
- 磁盘使用率 >80% 自动通知
有一次半夜收到告警,order-service内存飙升。登上机器一看,原来是有个循环调用没加缓存,查一次用户信息就调十次DB。赶紧回滚,第二天晨会挨批——但至少没影响线上用户。
安全加固
- 所有内部通信走HTTPS(用自签名证书也行)
- Actuator端点加权限,只允许内网访问
- 定期用OWASP ZAP扫API漏洞
- Docker镜像扫描CVE(推荐Trivy)
跳槽刷题之外的真实成长
写这篇文章时,我刚收到一个二线大厂的面试邀约,岗位是“云原生安全工程师”。他们看到我GitHub上这个微服务项目,特别感兴趣。看来,光刷算法题不够,得有真实项目背书。
回顾这两周,虽然天天加班到深夜,咖啡当水喝,但收获巨大:
- 深入理解了服务治理的底层逻辑
- 学会了在架构层面考虑安全
- 写出了可维护、可观测的代码
最重要的是,我不再怕微服务了。它不是银弹,但用对了地方,真的能救命。
最后几句真心话
如果你也在搞微服务,记住:
- 别为了微服务而微服务,先问清楚业务是否需要
- 小团队慎用,运维成本很高
- 安全是底线,别等被黑了才后悔
- 多写文档,别指望靠脑子记配置
下周我要开始研究Service Mesh了(Istio真香警告)。不过在那之前,得先把这份Spring Cloud笔记整理好,发给组里新人——毕竟,我不想再半夜被叫起来救火了。
对了,如果你觉得这篇文章有用,点个赞呗?我还在准备跳槽,简历上能多一行“技术博客作者”也是加分项 😅
附:核心组件版本参考(2024年稳定版)
| 组件 | 版本 | 说明 |
|---|---|---|
| Spring Boot | 3.2.x | 必须用3.x,2.x已停止维护 |
| Spring Cloud | 2023.0.0 | 对应Boot 3.2 |
| Eureka | 4.0.x | 注意不是Netflix官方维护了 |
| Gateway | 4.0.x | 性能比Zuul强10倍 |
| Resilience4j | 2.2.x | Hystrix替代品 |
| Config Server | 4.0.x | 支持Vault、Consul等后端 |
避坑指南:
- 别用Spring Cloud Alibaba Nacos做注册中心,除非你愿意被绑定阿里生态
- Feign默认不支持GET传对象,要用
@SpringQueryMap - Gateway的filters执行顺序很重要,SecurityFilter必须最前
- 本地开发用Docker Compose起依赖服务,别污染主机环境
好了,披萨凉了,该去改下一个Bug了。希望你的微服务之路,比我顺利一点。
评论 0