Kubernetes Gateway API v1.1 解读

最新推荐文章于 2024-06-14 13:53:10 发布
最新推荐文章于 2024-06-14 13:53:10 发布
阅读量264 收藏 10
点赞数 5
文章标签: 云原生 Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanfengzxh/article/details/138992553
版权

几天前,K8s Network SIG 发布了 Gateway API(简称 gwapi)的 v1.1 版本,这个版本的发布包含了多项重要功能的 GA(一般可用),以及一些实验功能的引入。这两部分分别通过标准渠道和实验渠道发布。

发布渠道用于指示网关 API 内的功能的稳定性。所有新功能和资源都是先从实验发布渠道开始,在后续迭代演进的过程中可能会升级到标准发布渠道,也有可能完全从 API 中废除。

通过下图可以对 gwapi 的发布渠道有个清晰的了解。

在这些更新中,在我看来当属服务网格的支持 GA 最为重要,这意味着服务网格标准 API 向着统一又迈进了一步。差不多两年前,我曾写过 SMI 与 Gateway API 的 GAMMA 倡议意味着什么, 在 gwapi 差不多 1.0 的时候,SMI 在停止更新的几个月后归档了。

标准发布渠道

GRPCRoute GA

GRPCRoute API 的 v1 版本发布,标志着其可以在生产环境中稳定使用,并得到长期的支持的维护。同时 v1alpha2 版本被标记为废弃,在未来的版本中将会被移除。

Service Mesh Support GA

gwapi 对服务网格的支持正式毕业,并进入标准发布渠道。实现了对网格的支持后,可以使用同样的 API 来管理东西向(服务间)的流量,也因此基于 gwapi 构建的策略可以在网格中复用。有兴趣的可以看一下去年写的 探索 Gateway API 在 Service Mesh 中的工作机制,也可参考 官方文档

从 v1.1 开始 xRoute 的可以 attach 到(父资源) GatewayService 上,具体表现为 parentRef.kind 可以是 Gateway(默认) 和 Service。比如:

HTTPRoute 用于网关: 省略 kind: Gateway

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-app-1
spec:
  parentRefs:
    - name: my-gateway
  rules:
    ...

HTTPRoute 用于服务网格:

kind: HTTPRoute
metadata:
  name: smiley-route
  namespace: faces
spec:
  parentRefs:
    - name: smiley
      kind: Service
      group: ""
      port: 80
  rules:
    ...

一致性检查的配置文件和报告 GA

一致性报告 API 和相应的测试套件已升级为 GA v1 版本。

关于一致性报告:

符合 Gateway API 规范的实现是指通过每个 gwapi 捆绑版本(如 gateway.networking.k8s.io/bundle-version: v1.1.0)发布中包含的一致性测试的实现。 所有的 gwapi 实现必须通过一致性测试,且不能跳过任何一个测试。

v1 版本中,ConformanceReport API 扩展了 modegatewayAPIChannel 两个字段。前者用于指定实现的工作模式,后者标识该报告适用的发布渠道:标准发布 standard 或实验发布 experimental

报告也以更结构化的方式重新组织,实现现在可以添加有关测试运行方式的信息并提供复现步骤。

ParentRef 的 Port 字段 GA

之前,当一个 Gateway 上配置了多个监听器时,如果想要将路由 attach 到指定的端口,

  listeners:
  - name: foo
    protocol: HTTP
    port: 8080
    ...
  - name: bar
    protocol: HTTP
    port: 8090
    ...
  - name: baz
    protocol: HTTP
    port: 8090
    ...

可以使用 sectionName 指定监听器的名字,因此需要为监听器通过 name 字段设置名字。

spec:
  parentRefs:
  - name: acme-lb
    sectionName: foo

现在可以通过 port 字段来实现了,因为端口在网关上也是唯一的,这样就无需使用 name 字段。

spec:
  parentRefs:
  - name: acme-lb
    port: 8080

实验发布渠道

通过 BackendLBPolicy 支持会话持久性

通过 BackendLBPolicy 引入会话持久性(session persistence)支持,该功能来自 网关增强提案 GEP-1619

会话持久性是指客户端请求在“会话”持续时间内定向到同一后端服务器。

当客户端直接提供信息(例如请求头中的 cookie)时,代理将其用作将流量定向到特定服务器的参考。持久性是负载均衡的一个例外:持久性客户端请求绕过代理的负载平衡算法,直接到达之前与之建立会话的后端服务器。

见官方的 会话持久性定义

gwapi 的会话持久性,可以作用于服务粒度,也可以作用与单个路由。后者的优先级更高,会覆盖服务粒度的会话持久性配置。

路由粒度的会话持久性,通过路由规则中 sessionPersistence 配置。

kind: HTTPRoute
metadata:
  name: routeX
spec:
  rules:
  - matches:
    - path:
      value: /a
    backendRefs:
    - name: servicev1
    sessionPersistence:
      name: session-a

服务粒度的会话持久性则是通过 BackendLBPolicy 来配置。

kind: BackendLBPolicy
metadata:
  name: lbp
spec:
  targetRef:
    kind: Service
    Name: servicev1
  sessionPersistence:
    sessionName: service-cookie
    type: Cookie

注:核心 API 中的 typeCookie,在实现可以扩展支持任意请求头,类型为 Header

客户端证书校验

网关增强提案 GEP-91 讨论了如何验证前端客户端在 TLS 握手协议期间向服务器提供的 TLS 证书,可以看作是 mTLS 中的客户端认证。

在官方的核心 API 设计中,使用监听器的 tls.frontendValidation 指定的 ConfigMap 中的 CA 证书来对客户端进行认证。核心 API 只支持一个 ConfigMap,在实现是可扩展支持多个 ConfigMap 或者其他类型如 Service

apiVersion: gateway.networking.k8s.io/v1beta1
kind: Gateway
metadata:
  name: client-validation-basic
spec:
  gatewayClassName: acme-lb
  listeners:
  - name: foo-https
    protocol: HTTPS
    port: 443
    hostname: foo.example.com
    tls:
      certificateRefs:
      - kind: Secret
        group: ""
        name: foo-example-com-cert
      frontendValidation:
        caCertificateRefs:
        - kind: ConfigMap
          group: ""
          name: foo-example-com-ca-cert

BackendTLSPolicy

BackendTLSPolicy 是 gwapi 中的一种类型,用于指定通过 Service API 对象从网关到后端 Pod(或多个 Pod)的连接的 TLS 配置。与客户端认证正好相反,是对后端服务的认证。

对后端服务的认证有两种:

  • 由网关对后端服务进行认证,即在网关配置用于认证的 CA 证书。
  • 有客户端进行认证,也就是网关的透传(passthrough)模式。

相比 v1.0 里的 v1alpha2,v1.1 中的 v1alpha3 发生的重大变化:

  • targetRef 字段现在变为 targetRefs 列表,并且这些引用不再包含命名空间字段。
  • tls 字段已更名为 validation
  • caCertRefs 字段已更名为 caCertificateRefs
  • wellKnownCACerts 字段已更名为 wellKnownCACertificates
apiVersion: gateway.networking.k8s.io/v1alpha3
kind: BackendTLSPolicy
metadata:
  name: tls-upstream-auth
spec:
  targetRefs:
    - kind: Service
      name: auth
      group: ""
  validation:
    caCertificateRefs:
      - kind: ConfigMap
        name: auth-cert
        group: ""
    hostname: auth.example.com

网关参数

不同的 gwapi 实现使用了不同的负载均衡器,比如 Envoy Gateway 使用 EnvoyFSM Gateway 使用 Pipy。不同负载均衡器自身的配置各不相同,而 gwapi 无法提供通用的接口。因此在 GatewayClass API 上通过 spec.parametersRef 字段提供了配置接口。

不过 GatewayClass 的配置是全局的,针对所有的 Gateway 实例,无法针对特定的 Gateway 实例进行配置,难以满足需求。然后就有了 网关增强提案 GEP-1867

GatewayClass 类似的方式,该提案中 Gateway API 通过 infrastructure.parametersRef 字段配置 LocalParametersReference,具体由各 gwapi 实现来定义。

其他更新

除了两个发布渠道的功能外,还有其他的更新就不一一介绍了。

  1. gwctl

    • get 命令扩展以支持 gateways、gatewayclasses 和 namespaces。
    • describe 命令现在支持描述 policycrds 和 namespaces。
    • 增加了使用标签过滤资源的能力(通过 -l 选项)。
    • 修复了描述 gatewayclasses 时未描述的错误。

  2. 验证变更:不再需要在 Gateway Listeners 上配置 TLS,以实现更灵活的 TLS 配置。

  3. 一致性测试:一致性配置文件已重命名,并新增了 Mesh-GRPC 配置文件。

  4. 依赖项更新:Gateway API 升级到 Go v1.22 和 Kubernetes v1.30。

  5. 清理:删除了验证 webhook,CEL 验证现在内置在 CRDs 中替代 webhook。

更多内容可以参考 v1.1.0 更新说明

关注"云原生指北"微信公众号 (转载本站文章请注明作者和出处乱世浮生,请勿用于任何商业用途)

云原生指北
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubernetes容器网络
05-26 774
kubernetes中要保证容器之间网络互通,网络至关重要。而kubernetes本身并没有自己实现容器网络,而是通过插件化的方式自由接入进来。在容器网络接入进来需要满足如下基本原则: pod无论运行在任何节点都可以互相直接通信,而不需要借助NAT地址转换实现。 node与pod可以互相通信,在不限制的前提下,pod可以访问任意网络。 pod拥有独立的网络栈,pod看到自己的地址和外部看见的地址应该是一样的,并且同个pod内所有的容器共享同个网络栈。 容器网络基础 一个Linux容器的网络栈是被隔离在
人工智能-项目实践-C#-C#.NET 基于Yarp实现的API网关Gateway,支持Kubernetes、Consul
01-05
c Quick Start 创建 .NET 6.0 WebAPI NuGet 安装Carp.Gateway Install-Package Carp.Gateway
C#.NET 基于Yarp实现的API网关Gateway,支持Kubernetes、Consul.zip
04-30
c
gateway:最小的API网关
05-25
地位 该项目自2017年以来一直在生产中使用,在WAF和负载均衡器之后运行。 客观的 用作API的低耗时,最少配置的反向代理。 无需复杂的配置,用户门户,身份验证,负载平衡或其他任何操作。 关键是,这可以在诸如Cloudflare之类的东西后面解决,这些东西可以解决许多这些问题。 实际上,许多API网关解决方案都在负载平衡器或CDN后面运行。 最小配置: { "port": "8080", "versions": { "v1": { "/api": "localhost:8089" } } } 完整配置: { "port": "8081", "versions": { "v1": { "/google": "google.com:443", "/history": "127.0.0.1:8089"
AWS API Gateway 中文开发者手册
11-10
AWS API Gateway 中文开发者手册,Api gateway 开发者离线手册。你值得拥有
kanali:一个Kubernetes原生API管理解决方案
02-03
已淘汰-不再维护 Kanali是一个非常高效的入口控制器,具有强大的API管理功能。 使用本地Kubernetes构造构建的Kanali为您提供了在生产环境中公开服务时所需的所有功能,而无需使用多种工具来完成它们。 以下是一些值得注意的功能: Kubernetes本机: Kanali通过使用扩展了Kubernetes API,从而允许以与本机Kubernetes资源相同的方式配置Kanali。 以性能为中心:作为中间件组件,Kanali的开发以性能为重中之重! 您可以使用Kanali立即改善应用程序的网络性能。 强大的,解耦的插件框架:是否需要执行与旧系统的复杂转换或集成? Kanal
[云原生专题-24]:K8S - Kubernetes(K8S)Master集群构建与安装过程详细解读 - 初始控制节点的安装
文火冰糖(王文兵)的博客
02-04 2万+
作者主页(文火冰糖的硅基工坊):文火冰糖(王文兵)的博客_文火冰糖的硅基工坊_CSDN博客 本文网址:https://blog.csdn.net/HiWangWenBing/article/details/122759250 目录 第一步:集群规划 1.1 K8S的官方架构 1.2 K8S的实验架构 1.3 主要步骤 1.4K8S集群搭建方式选择 1.5 官方参考 第二步:搭建云服务器 2.1 安装服务器 2.2 安装后检查 第三步:搭建Docker环境(云平台手工操作) 3.1.
基于kubernetes-1.21.5 部署 Rook
estarhao的博客
11-12 1404
一 Rook概述 1.1 Ceph简介 Ceph是一种高度可扩展的分布式存储解决方案,提供对象、文件和块存储。在每个存储节点上,将找到Ceph存储对象的文件系统和Ceph OSD(对象存储守护程序)进程。在Ceph集群上,还存在Ceph MON(监控)守护程序,它们确保Ceph集群保持高可用性。 更多Ceph介绍参考:https://www.cnblogs.com/itzgr/category/1382602.html 1.2 Rook简介 Rook 是一个开源的cloud-native storage编排
Kubernetes基础(十一)-CNI网络插件用法和对比
sre救赎之路
02-04 1928
此网络模型提供了一个逻辑二层(L2)网络,该网络封装在跨 Kubernetes 集群节点的现有三层(L3)网络拓扑上。使用此模型,可以为容器提供一个隔离的 L2 网络,而无需分发路由。封装网络带来了少量的处理开销以及由于覆盖封装生成 IP header 造成的 IP 包大小增加。封装信息由 Kubernetes worker 之间的 UDP 端口分发,交换如何访问 MAC 地址的网络控制平面信息。此类网络模型中常用的封装是 VXLAN、Internet 协议安全性 (IPSec) 和 IP-in-IP。
[云原生专题-25]:K8S - Kubernetes(K8S)Master集群构建与安装过程详细解读 - worker节点的安装与加入
热门推荐
文火冰糖(王文兵)的博客
02-04 2万+
作者主页(文火冰糖的硅基工坊):文火冰糖(王文兵)的博客_文火冰糖的硅基工坊_CSDN博客 本文网址:https://blog.csdn.net/HiWangWenBing/article/details/122785801 目录 第一步:集群规划 1.1 K8S的官方架构 1.2 K8S的实验架构 1.3 主要步骤 1.4K8S集群搭建方式选择 1.5 官方参考 第二步:搭建云服务器 2.1 安装服务器 2.2 安装后检查 第三步:搭建Docker环境(云平台手工操作) 3.1.
云原生Kubernetes----Metrics-Server组件与HPA资源
hy199707的博客
06-13 1136
Kubernetes集群中,为了确保资源的有效利用和应用的高可用性,我们通常需要监控集群中各个Pod的资源使用情况,并根据这些信息进行相应的调整。Horizontal Pod Autoscaler (HPA) 就是这样一种机制,它可以根据Pod的资源使用情况自动调整Pod的副本数量。而Metrics-Server,作为Kubernetes的一个核心组件,为HPA提供了关键的度量数据支持。本文将详细解析Metrics-Server与HPA之间的关系、工作原理以及它们在实际应用中的重要性
云原生Kubernetes----RBAC用户资源权限
hy199707的博客
06-06 1086
随着云计算和容器技术的蓬勃发展,Kubernetes(K8s)作为容器编排的领头羊,其安全性成为了众多企业和开发者关注的焦点。本文将详细解析Kubernetes的安全机制,包括认证、鉴权和准入控制,以确保集群的稳定性和数据的安全。
云原生周刊:Kubernetes 十周年 | 2024.6.11
KubeSphere
06-11 644
这 10 年间,Kubernetes 从一个小型的容器编排工具,逐步发展成为一个庞大的生态系统,能够支持从小型应用到大型分布式系统的部署和运维。它解释了 Ingress 的概念,讨论了 NGINX Ingress Controller 的工作原理以及如何在 Kubernetes 集群中部署和配置它。kube-state-metrics 是一个用于收集 Kubernetes 集群状态信息的开源项目,它能够提供各种有用的指标,用于监控和调试 Kubernetes 集群。本文由博客一文多发平台。
云原生】创建harbor私有仓库及使用aliyun个人仓库
程序员的每一天的博客
06-11 372
5.harbor可能因为docker重启而挂掉使用docker-comper启动harbor。kubesphere使用aliyun个人镜像仓库。3.下载harbor以及安装harbor。2.安装docker-compose。kubesphere使用harbor。4.docker登录以及打包推送。1.安装docker。
基于DPU的云原生裸金属服务快速部署及存储解决方案
yusur的博客
06-14 486
为了解决传统裸金属服务方案的问题,中科驭数基于DPU开发了全新的云原生裸金属服务解决方案,整体架构图如下:在本方案中,DPU支持裸金属服务器的网络和存储资源虚拟化,使得物理服务器能够像虚拟机一样灵活配置,动态添加或删除网卡、硬盘等资源。这为裸金属服务器提供了类似云服务的弹性,同时保持了物理机级别的性能。另外,DPU能够管理远程存储资源,如云盘,使得裸金属服务器可以使用云存储服务,同时通过DPU加速存储I/O,提高读写性能,使得云盘接近本地存储的体验。
云原生化有什么特点?
bocco的博客
06-14 300
这样可以提高应用程序的弹性和可靠性,并减少人工操作的复杂性。云原生化,作为一种先进的构建和管理应用程序的方式,不仅代表着技术的革新,更是云计算时代下的必然产物。5、持续交付和部署: 云原生化倡导使用持续集成和持续交付的方法来实现应用程序的快速交付和部署。通过自动化的构建、测试和部署流程,可以快速、可靠地将应用程序更新推送到生产环境,减少发布的风险和时间成本。云原生化的特点使得应用程序能够更好地适应云环境的特性,提高开发和运维的效率,同时也能够更好地满足现代应用程序对弹性、可靠性和可扩展性的要求。
战略规划之五看三定方法论.pptx
06-14
战略规划之五看三定方法论.pptx
cutcamera1718339848103.png
06-14
cutcamera1718339848103.png
小游戏的java程序开发
最新发布
06-14
小游戏的java程序开发
@GatewayApi
07-28
@GatewayApi 是一个示例的注解,通常用于标识一个类或方法作为网关接口。在软件开发中,网关是一个中间层,负责接收客户端请求并将其转发到后端服务。@GatewayApi 注解可以用于标识一个类或方法,表示其是一个网关...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值