Kong插件兼容性踩坑记录

Kong插件兼容性踩坑记录

在为公司微服务架构部署Kong API网关时，遇到了一个令人头疼的插件兼容性问题。我们的目标是通过Kong实现统一认证、限流和请求路由，但在集成kong-plugin-jwt和kong-plugin-rate-limiting两个核心插件时，出现了严重的冲突。

问题复现步骤

1. 首先安装并启用JWT插件：

kubectl apply -f jwt-plugin.yaml

2. 然后尝试启用限流插件：

kubectl apply -f rate-limiting-plugin.yaml

3. 配置文件内容如下：

# jwt-plugin.yaml
apiVersion: configuration.konghq.com/v1
kind: KongPlugin
metadata:
  name: jwt-auth
plugin: jwt
config:
  claim_to_verify: "exp"
  secret_ref: "jwt-secret"

# rate-limiting-plugin.yaml
apiVersion: configuration.konghq.com/v1
kind: KongPlugin
metadata:
  name: rate-limiting
plugin: rate-limiting
config:
  minute: 100
  policy: "local"

实际表现

启用两个插件后，发现所有API请求都返回500错误。通过kubectl logs查看Kong容器日志，得到以下关键错误信息：

error in access phase: failed to execute plugin 'rate-limiting': attempt to index field 'limit' (a nil value)

解决方案

经过排查发现，问题出在Kong版本与插件版本不匹配。我们使用的是Kong 2.8.1，但安装的kong-plugin-rate-limiting版本为0.9.0，而该版本存在已知bug。

解决方案：

1. 升级到兼容版本：

helm upgrade kong kong/kong --set image.tag=2.8.3

2. 重新安装插件：

kubectl delete kongplugin jwt-auth rate-limiting
kubectl apply -f updated-plugins.yaml

3. 验证修复结果：

# 检查插件状态
kubectl get kongplugin

# 测试API调用
curl -H "Authorization: Bearer <token>" http://kong-api/my-service

经验总结

在生产环境中部署Kong网关时，必须确保所有插件版本与Kong主版本兼容。建议使用官方推荐的插件版本组合，并建立严格的版本控制流程。此外，部署前应先在测试环境进行充分验证。

关键配置示例

apiVersion: configuration.konghq.com/v1
kind: KongPlugin
metadata:
  name: unified-plugin
plugin: rate-limiting
config:
  minute: 60
  policy: "local"
  limit_by: "consumer"
  hide_client_headers: true

这不仅解决了兼容性问题，还优化了网关性能，实现了真正的微服务统一入口控制。