Dapr 概念 on Dapr 文档库

概述

Mon, 01 Jan 0001 00:00:00 +0000

Dapr 是一个便于移植的事件驱动运行时，帮助开发者轻松构建在云和边缘环境中运行的弹性应用，无论是无状态还是有状态的，并支持多种编程语言和开发框架。

支持任何语言、框架和环境

随着云技术的普及，传统的 Web + 数据库应用架构（如经典的三层设计）正逐渐向微服务架构转变，这些架构本质上是分布式的。开发微服务应用不应要求您成为分布式系统的专家。

这正是 Dapr 的优势所在。Dapr 将构建微服务应用的最佳实践转化为开放且独立的 API，称为构建块。Dapr 的构建块：

允许您使用任意语言和框架构建可移植的应用。
完全独立
在应用中使用的数量没有限制

通过 Dapr，您可以逐步将现有应用迁移到微服务架构，采用云原生模式，如扩展/缩减、弹性和独立部署。

Dapr 是平台无关的，这意味着您可以在以下环境中运行您的应用：

本地
任何 Kubernetes 集群
虚拟或物理机器
Dapr 集成的其他托管环境

这使您能够构建可以在云和边缘运行的微服务应用。

云和边缘的微服务构建块

Dapr 提供分布式系统构建块，使您能够以标准方式构建微服务应用并部署到任何环境。

每个构建块 API 都是独立的，这意味着您可以在应用中使用任意数量的它们。

构建块	描述
服务间调用	提供弹性的服务间调用功能，无论远程服务位于何处，都可以进行方法调用，包括重试。
发布和订阅	在服务之间发布事件和订阅主题，简化事件驱动架构的水平扩展并增强其故障弹性。Dapr 提供至少一次消息传递保证、消息 TTL、消费者组和其他高级功能。
工作流	工作流 API 可以与其他 Dapr 构建块结合使用，定义跨多个微服务的长时间运行、持久化的流程或数据流，使用 Dapr 工作流或工作流组件。
状态管理	通过状态管理存储和查询键/值对，您可以轻松地在应用中编写长时间运行、高可用的有状态服务和无状态服务。状态存储是可插拔的，示例包括 AWS DynamoDB、Azure Cosmos DB、Azure SQL Server、GCP Firebase、PostgreSQL 或 Redis 等。
资源绑定	资源绑定与触发器在事件驱动架构上进一步构建，以通过接收和发送事件到任何外部源（如数据库、队列、文件系统等）来实现扩展和弹性。
Actors	一种用于有状态和无状态对象的模式，使并发变得简单，具有方法和状态封装。Dapr 在其 actor 运行时中提供许多功能，包括并发、状态和生命周期管理，用于 actor 激活/停用，以及定时器和提醒以唤醒 actor。
Secrets	秘密管理 API 与公共云和本地秘密存储集成，以检索用于应用代码的秘密。
Configuration	配置 API 使您能够从配置存储中检索和订阅应用配置项。
分布式锁	分布式锁 API 使您的应用能够获取任何资源的锁，从而在锁被应用释放或租约超时发生之前，给予其独占访问权限。
Cryptography	加密 API 提供了一个在安全基础设施（如密钥库）之上的抽象层。它包含允许您执行加密操作的 API，如加密和解密消息，而不将密钥暴露给您的应用。
Jobs	作业 API 使您能够在特定时间或间隔安排作业。
Conversation	对话 API 使您能够抽象与大型语言模型（LLM）交互的复杂性，并包括提示缓存和个人身份信息（PII）模糊化等功能。使用对话组件，您可以提供提示与不同的 LLM 进行对话。

跨领域 API

除了其构建块，Dapr 还提供适用于您使用的所有构建块的跨领域 API。

构建模块

Mon, 01 Jan 0001 00:00:00 +0000

构建模块是一个 HTTP 或 gRPC API，可以从您的代码中调用，并使用一个或多个 Dapr 组件。Dapr 由一组 API 构建模块组成，并且可以扩展以添加新的构建模块。Dapr 的构建模块：

解决构建弹性微服务应用程序中的常见挑战
编码最佳实践和模式

下图展示了构建模块如何通过公共 API 暴露，并从您的代码中调用，使用组件来实现其功能。

Dapr 提供以下构建模块：

构建模块	端点	描述
服务间调用	`/v1.0/invoke`	服务调用使应用程序能够通过 HTTP 或 gRPC 消息形式的已知端点相互通信。Dapr 提供一个端点，结合内置服务发现的反向代理，同时利用分布式追踪和错误处理。
发布和订阅	`/v1.0/publish` `/v1.0/subscribe`	发布/订阅是一种松耦合的消息传递模式，发送者（或发布者）将消息发布到主题，订阅者订阅该主题。Dapr 支持应用程序之间的发布/订阅模式。
工作流	`/v1.0/workflow`	工作流 API 允许您定义长时间运行的、持久的流程或数据流，这些流程或数据流跨越多个微服务，使用 Dapr 工作流或工作流组件。工作流 API 可以与其他 Dapr API 构建模块结合使用。例如，工作流可以通过服务调用调用另一个服务或检索 secret，提供灵活性和可移植性。
状态管理	`/v1.0/state`	应用程序状态是应用程序希望在单个会话之外保留的任何内容。Dapr 提供基于键/值的状态和查询 API，具有可插拔的状态存储以实现持久性。
绑定	`/v1.0/bindings`	绑定提供与外部云/本地服务或系统的双向连接。Dapr 允许您通过 Dapr 绑定 API 调用外部服务，并允许您的应用程序被连接服务发送的事件触发。
Actors	`/v1.0/actors`	actor 是一个隔离的、独立的计算和状态单元，具有单线程执行。Dapr 提供基于虚拟 actor 模式的 actor 实现，提供单线程编程模型，并且当不使用时，actor 会被垃圾回收。
Secrets	`/v1.0/secrets`	Dapr 提供一个 secret 构建模块 API，并与 secret 存储集成，如公共云存储、本地存储和 Kubernetes 来存储 secret。服务可以调用 secret API 来检索 secret，例如获取数据库的连接字符串。
配置	`/v1.0/configuration`	配置 API 使您能够检索和订阅支持的配置存储的应用程序配置项。这使应用程序能够在启动时或在存储中进行配置更改时检索特定的配置信息。
分布式锁	`/v1.0-alpha1/lock`	分布式锁 API 使您能够对资源进行锁定，以便应用程序的多个实例可以在不发生冲突的情况下访问资源，并提供一致性保证。
加密	`/v1.0-alpha1/crypto`	加密 API 使您能够执行加密操作，例如加密和解密消息，而不将密钥暴露给您的应用程序。
作业	`/v1.0-alpha1/jobs`	作业 API 使您能够调度和编排作业。示例场景包括：安排批处理作业在每个工作日运行安排各种维护脚本进行清理安排 ETL 作业在特定时间（每小时、每天）运行以获取新数据，处理它，并使用最新信息更新数据仓库。
对话	`/v1.0-alpha1/conversation`	对话 API 使您能够提供提示与不同的大型语言模型（LLM）进行对话，并包括提示缓存和个人身份信息（PII）模糊化等功能。

组件

Mon, 01 Jan 0001 00:00:00 +0000

Dapr 采用模块化设计，功能以组件形式提供。每个组件都有一个接口定义。所有组件都是可互换的，因此您可以用具有相同接口的另一个组件替换掉一个组件。

您可以通过以下方式贡献实现并扩展 Dapr 的组件接口功能：

一个构建块可以使用任意组合的组件。例如，actors 和 state management 构建块都使用 state 组件。

另一个例子是，pub/sub 构建块使用 pub/sub 组件。

您可以使用 dapr components CLI 命令获取当前在托管环境中可用的组件列表。

注意

对于任何向应用程序返回数据的组件，建议相应地设置 Dapr sidecar 的内存容量（进程或容器）以避免潜在的内存不足崩溃。例如，在 Docker 中使用 --memory 选项。在 Kubernetes 中，使用 dapr.io/sidecar-memory-limit 注释。对于进程，这取决于操作系统和/或进程编排工具。

组件规范

每个组件都有一个规范（或称为 spec）。组件在设计时通过一个 YAML 文件进行配置，该文件存储在以下位置之一：

您解决方案中的 components/local 文件夹，或
在调用 dapr init 时创建的 .dapr 文件夹中全局存储。

这些 YAML 文件遵循通用的 Dapr 组件架构，但每个文件都特定于组件规范。

重要的是要理解组件规范值，特别是规范 metadata，在相同组件类型的不同组件之间可能会有所不同，例如在不同的 state 存储之间，并且某些设计时规范值可以在运行时通过向组件的 API 发出请求来覆盖。因此，强烈建议查看组件的规范，特别注意用于设置与组件交互的元数据的请求示例负载。

下图显示了每种组件类型的一些组件示例

内置和可插拔组件

Dapr 具有作为运行时一部分包含的内置组件。这些是由社区开发和捐赠的公共组件，并在每个版本中可用。

Dapr 还允许用户创建自己的私有组件，称为可插拔组件。这些组件是自托管的（进程或容器），不需要用 Go 编写，存在于 Dapr 运行时之外，并能够“插入”到 Dapr 中以利用构建块 API。

弹性

Mon, 01 Jan 0001 00:00:00 +0000

分布式应用程序通常由许多微服务组成，这些微服务在底层基础设施上可以扩展到数十个甚至数百个实例。随着这些分布式解决方案的规模和复杂性增加，系统故障的可能性也随之增加。服务实例可能由于硬件故障、意外的吞吐量或应用程序生命周期事件（如扩展和重启）等多种问题而失败或无响应。因此，设计和实施能够检测、缓解和响应故障的自愈解决方案至关重要。

弹性策略

Dapr允许您为应用程序定义和应用容错的弹性策略。您可以为以下弹性模式设定策略：

超时
重试/退避
断路器

这些策略可以在调用具有弹性规范的组件时应用于任何Dapr API调用。

应用健康检查

应用程序可能由于多种原因变得无响应，例如过于繁忙无法接受新任务、崩溃或死锁。有时这些问题可能是暂时的，也可能是持久的。

Dapr提供了一种通过探测来检查应用程序健康状况并对状态变化做出反应的机制。当检测到应用不健康时，Dapr会停止为该应用分配新任务。

阅读更多关于如何将应用健康检查应用于您的应用程序。

Sidecar健康检查

Dapr提供了一种通过HTTP /healthz 端点来确定其健康状况的方法。通过此端点，daprd进程或sidecar可以：

检查其健康状况
确定其准备就绪状态和存活状态

阅读更多关于如何将dapr健康检查应用于您的应用程序。

下一步

了解更多关于弹性
尝试其中一个弹性快速入门：
- 弹性：服务到服务
- 弹性：状态管理

应用和控制平面配置

Mon, 01 Jan 0001 00:00:00 +0000

通过 Dapr 配置，您可以通过设置和策略来更改：

单个 Dapr 应用程序的行为
Dapr 控制平面系统服务的全局行为

例如，您可以在应用程序的 sidecar 配置中设置采样率策略，以指定哪些方法可以被其他应用程序调用。如果您在 Dapr 控制平面配置中设置策略，您可以调整部署到应用程序 sidecar 实例的所有证书的更新周期。

配置以 YAML 文件的形式定义并部署。以下是一个应用程序配置示例，其中设置了一个跟踪端点，用于发送指标信息，并捕获所有的跟踪样本。

apiVersion: dapr.io/v1alpha1
kind: Configuration
metadata:
 name: daprConfig
 namespace: default
spec:
 tracing:
 samplingRate: "1"
 zipkin:
 endpointAddress: "http://localhost:9411/api/v2/spans"

上述 YAML 配置用于记录指标的跟踪。您可以通过以下方式在本地自托管模式中加载它：

编辑 .dapr 目录中的默认配置文件 config.yaml，或
使用 kubectl/helm 将其应用到您的 Kubernetes 集群。

以下示例展示了在 dapr-system 命名空间中名为 daprsystem 的 Dapr 控制平面配置。

apiVersion: dapr.io/v1alpha1
kind: Configuration
metadata:
 name: daprsystem
 namespace: dapr-system
spec:
 mtls:
 enabled: true
 workloadCertTTL: "24h"
 allowedClockSkew: "15m"

默认情况下，安装 Dapr 控制平面系统服务时会有一个名为 daprsystem 的单一配置文件。此配置文件应用全局控制平面设置，并在 Dapr 部署到 Kubernetes 时设置。

可观测性

Mon, 01 Jan 0001 00:00:00 +0000

在构建应用程序时，理解系统行为是操作应用程序的重要且具有挑战性的部分，例如：

观察应用程序的内部调用
评估其性能
在问题发生时立即意识到

对于由多个微服务组成的分布式系统来说，这尤其具有挑战性，因为一个由多个调用组成的流程可能在一个微服务中开始并在另一个微服务中继续。

在生产环境中，应用程序的可观测性至关重要，并且在开发过程中也很有用，以便：

理解瓶颈
提高性能
在微服务范围内进行基本调试

虽然可以从底层基础设施（如内存消耗、CPU使用率）中收集一些关于应用程序的数据点，但其他有意义的信息必须从“应用程序感知层”收集——这个层可以显示重要调用系列如何在微服务之间执行。通常，您需要添加一些代码来对应用程序进行检测，这些代码将收集的数据（如追踪和指标）发送到可观测性工具或服务，这些工具或服务可以帮助存储、可视化和分析所有这些信息。

维护这些检测代码（它们不是应用程序核心逻辑的一部分）需要理解可观测性工具的API，使用额外的SDK等。这种检测也可能为您的应用程序带来可移植性挑战，要求根据应用程序的部署位置进行不同的检测。例如：

不同的云提供商提供不同的可观测性工具
本地部署可能需要自托管解决方案

使用Dapr实现应用程序的可观测性

当您利用Dapr API构建块进行服务间调用、发布/订阅消息传递和其他API时，Dapr在分布式追踪方面提供了优势。由于这种服务间通信通过Dapr运行时（或“sidecar”）流动，Dapr处于一个独特的位置，可以减轻应用程序级别检测的负担。

分布式追踪

Dapr可以使用广泛采用的Open Telemetry (OTEL)和Zipkin协议配置以发出追踪数据。这使得它可以轻松集成到多个可观测性工具中。

自动追踪上下文生成

Dapr使用W3C追踪规范作为追踪上下文的一部分，包含在Open Telemetry (OTEL)中，用于生成和传播应用程序的上下文头或传播用户提供的上下文头。这意味着您可以默认获得Dapr的追踪功能。

Dapr sidecar和控制平面的可观测性

您还可以通过以下方式观察Dapr本身：

生成由Dapr sidecar和Dapr控制平面服务发出的日志
收集性能、吞吐量和延迟的指标
使用健康端点探测来指示Dapr sidecar的健康状态

日志记录

Dapr生成日志以：

提供对sidecar操作的可见性
帮助用户识别问题并进行调试

日志事件包含由Dapr系统服务生成的警告、错误、信息和调试消息。您还可以配置Dapr将日志发送到收集器，如Open Telemetry Collector、Fluentd、New Relic、Azure Monitor和其他可观测性工具，以便可以搜索和分析日志以提供见解。

指标

指标是一系列测量值和计数，随着时间的推移被收集和存储。Dapr指标提供监控能力，以理解Dapr sidecar和控制平面的行为。例如，Dapr sidecar和用户应用程序之间的指标显示调用延迟、流量失败、请求错误率等。

Dapr 控制平面指标显示sidecar注入失败和控制平面服务的健康状况，包括CPU使用率、actor放置的数量等。

健康检查

Dapr sidecar公开了一个HTTP端点用于健康检查。通过这个API，用户代码或托管环境可以探测Dapr sidecar以确定其状态并识别sidecar准备就绪的问题。

相反，Dapr可以配置为探测您的应用程序的健康状况，并对应用程序健康状况的变化做出反应，包括停止pub/sub订阅和短路服务调用。

下一步

安全性

Mon, 01 Jan 0001 00:00:00 +0000

安全性是Dapr的核心。本文介绍了在分布式应用中使用Dapr时的安全特性和功能。这些可以分为以下几类：

使用service-invocation和pubsub API进行安全通信。
通过配置应用于组件的安全策略。
操作安全实践。
状态安全，专注于静态数据。

一个示例应用程序用于说明Dapr中可用的多种安全特性。

安全通信

Dapr通过service-invocation API提供端到端的安全性，支持应用程序身份验证并设置访问策略。下图展示了这一点。

service-invocation范围访问策略

Dapr应用程序可以被限定在命名空间中进行部署和安全管理。您可以在不同命名空间的服务之间进行调用。阅读跨命名空间的service-invocation以获取更多信息。

Dapr应用程序可以限制哪些操作可以被调用，包括哪些应用程序被允许（或拒绝）调用它。阅读如何：为service-invocation应用访问控制列表配置以获取更多信息。

pubsub主题范围访问策略

对于pubsub组件，您可以限制哪些主题类型和应用程序被允许发布和订阅特定主题。阅读范围pubsub主题访问以获取更多信息。

使用mTLS加密数据

Dapr使用的一种加密传输中数据的安全机制是双向认证TLS或mTLS。mTLS为应用程序内部的网络流量提供了一些关键特性：

双向认证，客户端和服务器相互验证身份。
加密通道，用于所有在途通信，在建立双向认证后。

mTLS在几乎所有场景中都很有用，尤其是对于需要遵循法规的系统，如HIPAA和PCI。

Dapr之间的安全通信

在生产系统中，Dapr无需额外代码或复杂配置即可启用mTLS。此外，Dapr sidecar默认只允许localhost访问，阻止其他IP地址，除非明确配置。

Dapr包含一个“默认开启”的自动mTLS，为Dapr sidecar之间的流量提供在途加密。为实现这一点，Dapr利用一个名为Sentry的系统服务，该服务充当证书颁发机构（CA）/身份提供者，并签署来自Dapr sidecar的工作负载（应用程序）证书请求。

默认情况下，工作负载证书有效期为24小时，时钟偏差设置为15分钟。

除非您提供了现有的根证书，否则Sentry服务会自动创建并持久化有效期为一年的自签名根证书。Dapr管理工作负载证书的轮换；如果您自带证书，Dapr会在不影响应用程序正常运行的情况下进行。

当根证书被替换时（Kubernetes模式下为secret，自托管模式下为文件系统），Sentry会获取它们并重建信任链，无需重启且对Sentry无停机时间。

当一个新的Dapr sidecar初始化时，它会检查是否启用了mTLS。如果是，则生成一个ECDSA私钥和证书签名请求，并通过gRPC接口发送给Sentry。Dapr sidecar和Sentry之间的通信使用信任链证书进行认证，该证书由Dapr Sidecar Injector系统服务注入到每个Dapr实例中。

配置mTLS

可以通过编辑Dapr部署的默认配置中的spec.mtls.enabled字段来开启/关闭mTLS。

您可以在Kubernetes和自托管模式下进行此操作。

自托管模式下的mTLS

下图显示了Sentry系统服务如何根据操作员提供的或由Sentry服务生成并存储在文件中的根/颁发者证书为应用程序颁发证书。

Kubernetes模式下的mTLS

在Kubernetes集群中，保存根证书的secret是：

限定在部署Dapr组件的命名空间中。
仅由Dapr控制平面系统pod访问。

Dapr在Kubernetes上部署时还支持强身份验证，依赖于作为证书签名请求（CSR）一部分发送给Sentry的pod的服务账户令牌。

下图显示了Sentry系统服务如何根据操作员提供的或由Sentry服务生成并存储为Kubernetes secret的根/颁发者证书为应用程序颁发证书。

防止Dapr被IP地址访问

为了防止Dapr sidecar在任何IP地址上被调用（尤其是在Kubernetes等生产环境中），Dapr将其监听IP地址限制为localhost。如果您需要启用外部地址的访问，请使用dapr-listen-addresses设置。

安全的Dapr到应用程序通信

Dapr sidecar通过localhost运行在应用程序附近，建议在与应用程序相同的网络边界内运行。虽然许多现代云原生系统将pod级别（例如在Kubernetes上）视为可信的安全边界，但Dapr通过令牌为应用程序提供API级别的身份验证。此功能保证，即使在localhost上：

只有经过身份验证的应用程序可以调用Dapr
应用程序可以检查Dapr是否在回调它

有关配置API令牌安全性的更多详细信息，请阅读：

安全的Dapr到控制平面通信

除了Dapr sidecar之间的自动mTLS，Dapr还提供以下之间的强制mTLS：

Dapr sidecar
Dapr控制平面系统服务，即：
- Sentry服务（证书颁发机构）
- Placement服务（actor放置）
- Kubernetes Operator服务

当启用mTLS时，Sentry将根和颁发者证书写入限定在安装控制平面的命名空间的Kubernetes secret中。在自托管模式下，Sentry将证书写入可配置的文件系统路径。

隔离

Mon, 01 Jan 0001 00:00:00 +0000

Dapr 的命名空间功能提供了隔离和多租户支持，增强了安全性。通常，应用程序和组件会被部署到命名空间中，以便在特定环境中实现隔离，例如在 Kubernetes 中。

Dapr 支持在以下场景中使用命名空间：应用程序之间的服务调用、访问组件、在消费者组中发送 pubsub 消息以及 actor 类型的部署。无论是在自托管模式还是 Kubernetes 模式下，命名空间隔离都受到支持。

要开始使用，请先创建并配置您的命名空间。

在自托管模式下，通过设置 NAMESPACE 环境变量为 Dapr 实例指定命名空间。

在 Kubernetes 上，创建并配置命名空间：

kubectl create namespace namespaceA
kubectl config set-context --current --namespace=namespaceA

然后将您的应用程序部署到此命名空间中。

了解如何在 Dapr 中全面使用命名空间：

Dapr术语和定义

Mon, 01 Jan 0001 00:00:00 +0000

本页面详细介绍了您可能在Dapr文档中遇到的所有常见术语。

术语	定义	更多信息
应用程序	一个正在运行的服务或程序，通常是由用户创建和运行的。
构件	Dapr为用户提供的API，帮助创建微服务和应用程序。	Dapr构件
组件	模块化的功能单元，可以单独使用或与其他组件结合使用，由Dapr构件调用。	Dapr组件
配置	一个YAML文件，用于声明所有Dapr边车或Dapr控制平面的设置。在这里，您可以配置控制平面的mTLS设置，或应用程序实例的跟踪和中间件设置。	Dapr配置
Dapr	分布式应用运行时。	Dapr概述
Dapr控制平面	一组服务，是在托管平台（如Kubernetes集群）上安装Dapr的一部分。这使得启用Dapr的应用程序可以在平台上运行，并处理Dapr功能，如actor放置、Dapr边车注入或证书签发/轮换。	自托管概述 Kubernetes概述
HTTPEndpoint	HTTPEndpoint是一个Dapr资源，用于识别通过服务调用API访问的非Dapr端点。	服务调用API
命名空间	Dapr中的命名空间提供隔离功能，从而支持多租户。	了解更多关于命名空间的组件、服务调用、发布/订阅和actors
自主管理	在Windows/macOS/Linux机器上运行应用程序的能力，使用Dapr。Dapr提供在“自主管理”模式下运行的能力。	自主管理模式
服务	一个正在运行的应用程序或程序。这可以指您的应用程序或Dapr应用程序。
sidecar	一个与您的应用程序一起运行的程序，作为一个单独的进程或容器。	边车模式