“`markdown

理解 K8s Gateway API：下一代 Ingress

Kubernetes Ingress 长期以来一直是管理集群外部访问的主要方式。然而，随着云原生应用的日益复杂，Ingress 的局限性也逐渐显现。K8s Gateway API 作为 Ingress 的继任者，旨在提供更灵活、更强大、更可扩展的流量管理能力，成为 Kubernetes 中下一代流量接入的事实标准。

Ingress 的局限性回顾

在深入了解 Gateway API 之前，我们先回顾一下 Ingress 在实践中遇到的一些主要挑战：

1. 缺乏标准化 API 结构： Ingress 规范相对简单，导致不同的 Ingress Controller 实现了各自的非标准扩展（Annotations），这使得配置在不同实现之间难以移植，增加了学习和维护成本。
2. 职责分离不足： Ingress 倾向于将基础设施提供者（拥有网络设备和拓扑知识）和应用开发者（拥有路由和流量策略知识）的职责混淆在一起。一个 Ingress 资源通常包含了这两种角色的配置，使得管理和协作变得复杂。
3. 对高级流量管理支持有限： Ingress 主要专注于 HTTP 路由，对 TCP/UDP、TLS 握手、流量分流、负载均衡策略等高级功能的支持不足或需要通过非标准方式实现。
4. 多租户场景支持不佳： 在多租户环境中，Ingress 难以实现精细化的权限控制和资源隔离，例如限制特定团队只能管理自己的路由规则。
5. 难以扩展： 由于 Ingress 规范的简单性，扩展性不佳，使得新功能的引入和统一管理变得困难。

什么是 K8s Gateway API？

K8s Gateway API 是一个由 Kubernetes SIG Network 小组开发的，用于管理集群流量接入的标准化 API 集合。它被设计为 Ingress 的演进版本，旨在解决上述 Ingress 的痛点，提供一个更富有表现力、更灵活、更具可扩展性的流量管理模型。

Gateway API 引入了几个核心资源，将流量管理职责清晰地划分给不同的角色，从而实现了更优雅的协作：

• GatewayClass: 定义了 Gateway 的类型和行为，类似于 IngressClass。由集群管理员或基础设施提供商部署和管理。
• Gateway: 实例化了一个具体的 Gateway（例如，一个负载均衡器或代理），并配置了其监听端口、协议和 TLS 证书等基础设施层面的属性。由集群管理员或基础设施提供商部署和管理。
• HTTPRoute/TCPRoute/UDPRoute/TLSRoute/GRPCRoute: 定义了特定协议的路由规则，将流量引导至后端的 Service。这些资源通常由应用开发者或服务所有者管理，他们可以独立地定义自己的路由策略，而无需关心底层的 Gateway 实现。

Gateway API 的核心优势

Gateway API 通过其全新的设计理念，带来了以下显著优势：

1. 基于角色的设计（Role-Oriented Design）：

   • 基础设施提供商/集群管理员： 负责部署 GatewayClass 和 Gateway，定义网络基础设施能力。
   • 应用开发者/服务所有者： 负责部署 HTTPRoute 等路由资源，定义应用流量规则。
     这种清晰的职责分离大大简化了协作，提高了操作效率和安全性。

2. 富有表现力的功能（Expressive Capabilities）：

   • 多协议支持： 除了 HTTP/HTTPS，原生支持 TCP、UDP、TLS 和 gRPC 路由。
   • 更细粒度的流量控制： 支持高级路由匹配（Header、Query Param、Method）、流量加权分流、请求/响应头操作、URL 重写、故障注入、超时重试等。
   • 灵活的负载均衡： 提供多种负载均衡策略配置。
   • 分阶段发布： 轻松实现 A/B 测试、金丝雀发布等部署策略。

3. 可扩展性（Extensibility）：

   • Gateway API 提供了强大的扩展点，允许 Ingress Controller 实现者添加自定义功能，而不会破坏核心 API 规范。
   • 例如，通过 Policy Attachment 机制，可以为 Gateway 或 Route 附加额外的策略（如认证、授权、速率限制等），这些策略可以是控制器特定的，也可以是通用的。

4. 可移植性（Portability）：

   • 由于 API 规范的标准化，使用 Gateway API 定义的流量规则在不同的 Gateway 实现（例如 Nginx、Envoy、HAProxy 等）之间具有更好的可移植性。
   • 降低了供应商锁定的风险，并简化了多云或混合云环境下的部署。

5. 多租户友好（Multi-tenancy Friendly）：

   • Gateway 资源可以由集群管理员创建，然后授权不同的命名空间或团队通过 HTTPRoute 资源附加到这个 Gateway。
   • 这种设计允许管理员对 Gateway 的使用进行严格控制，而应用团队则可以在自己的命名空间中自由管理路由，实现安全的自助服务。

Gateway API 的核心资源及其关系

理解 Gateway API 的关键在于理解这几个核心资源如何协同工作：

• GatewayClass (Cluster Scope):

  • 集群范围资源，定义了一类 Gateway 的模板，例如 “nginx-gateway-class” 或 “envoy-gateway-class”。
  • 包含一个 controllerName 字段，指向负责实现该 GatewayClass 的控制器。
  • 通常由基础设施提供商或集群管理员定义。

• Gateway (Namespace Scope):

  • 命名空间范围资源，实例化了某个 GatewayClass。
  • 定义了 Gateway 的基础设施属性，例如监听的端口（listeners）、协议、TLS 配置等。
  • 它代表了集群入口点的一个具体实例，通常对应一个外部负载均衡器或网络代理。
  • 由集群管理员或基础设施提供商部署和管理。

• HTTPRoute (Namespace Scope):

  • 命名空间范围资源，定义了 HTTP/HTTPS 流量的路由规则。
  • 通过 parentRefs 字段，可以将其绑定到一个或多个 Gateway 上，或者绑定到 Service 资源的 ServicePort 上。
  • 包含匹配规则（matches，如路径、Header、Query Param）、过滤器（filters，如重写、请求头修改）和后端引用（backendRefs，指向 Service），以及高级流量策略（如加权分流）。
  • 由应用开发者或服务所有者管理。

关系简述：

1. GatewayClass 定义了 Gateway 的“类型”。
2. Gateway 选择了具体的 GatewayClass，并配置了监听器，实际上创建了一个“入口点”。
3. HTTPRoute（或其它协议路由）将流量规则“附加”到 Gateway 的监听器上，并最终将流量路由到后端的 Service。

这种分层设计使得 Gateway API 能够灵活地适应各种场景，从简单的单服务路由到复杂的微服务流量管理。

使用场景示例

Gateway API 适用于各种复杂的流量管理场景：

• 多租户集群中的流量隔离： 每个团队可以在自己的命名空间中创建 HTTPRoute，将其附加到集群管理员提供的共享 Gateway 上，而无需担心影响其他团队。
• 高级流量分发和灰度发布： 利用 HTTPRoute 中的加权后端功能，可以轻松地将流量按比例分发到新旧版本的服务，实现平滑升级。
• API 网关： Gateway API 可以作为构建强大 API 网关的基础，提供认证、授权、速率限制、请求转换等功能。
• 多协议应用： 原生支持 TCP/UDP/TLS 路由，使得管理非 HTTP 流量的复杂性大大降低。
• 边缘代理/CDN 集成： Gateway API 提供了标准化的接口，便于与外部边缘代理或 CDN 服务集成。

结论

K8s Gateway API 代表了 Kubernetes 流量管理领域的重大进步。它通过其富有表现力的功能、基于角色的设计和强大的可扩展性，解决了 Ingress 长期以来的诸多挑战。随着其在社区中的日益成熟和广泛采用，Gateway API 有望成为 Kubernetes 中管理所有类型应用流量的标准化、推荐方式，为构建更健壮、更灵活、更易于管理的云原生应用提供坚实的基础。对于任何希望提升 Kubernetes 流量管理能力的企业和开发者来说，深入理解和采纳 Gateway API 都是一个明智的选择。
“`
I have finished writing the article.