青云QingCloudKubeSphere Gateway API 网关扩展正式上线

随着 Ingress NGINX 逐步进入退役周期，Kubernetes 入口治理能力也正在加快从 Ingress 向 Gateway API 演进。

面向这一变化，KubeSphere 正式推出 Gateway API 网关扩展。这意味着，KubeSphere 基于 Gateway API 的网关能力已正式落地，并进入可用阶段。

我们从实际场景出发，看看 KubeSphere Gateway API 网关扩展解决了什么问题、适合哪些场景，以及现有 Ingress 业务如何平滑迁移。

Gateway API 解决的首先是 API 标准层 的问题。对于一个真实的多租户平台来说，还需要继续回答几个更落地的问题：

谁来部署和维护 GatewayClass 背后的数据面工作负载？不同团队的 Gateway 如何按企业空间、项目等组织结构隔离？网关资源能否在控制台中直接管理，而不是只能通过命令行维护？网关相关的监控和日志如何接入平台能力？

KubeSphere Gateway API 网关扩展，解决的正是这一层平台化能力。

三个核心概念，对应 Gateway API 标准

为了让 Gateway API 能够真正适用于企业级、多租户场景，KubeSphere 在标准模型之上引入了三个核心概念，并与 Gateway API 的角色保持一致。

1. 网关实现（Gateway Implementation）

网关实现对应 Gateway API 背后的实现组件，包含网关实现工作负载以及一个 GatewayClass 实例。流量真正被接收和转发的位置，就在这一层。

网关实现通过 Service 对外暴露，当前支持 NodePort 和 LoadBalancer 两种方式，用户可以根据集群环境和基础设施条件进行选择。

2. 网关（Gateway）

网关对应 Gateway API 中的 Gateway 资源。它通过 listeners 引用同层级网关实现中的 entrypoints，用于定义监听端口、协议以及 TLS 证书等配置。

这一层通常更接近平台团队的职责边界，用来统一定义入口能力。

3. 应用路由（Route）

应用路由对应 Gateway API 中的各类路由资源，用于定义流量进入 Gateway 之后应如何转发到后端服务。

当前，KubeSphere 已支持以下四种 Route 类型：

HTTPRouteGRPCRouteTLSRouteTCPRoute

这覆盖了从七层到四层的常见入口场景，也使不同协议下的路由规则能够以更标准化的方式进行配置。

整体来看，这三类资源分别对应实现层、入口层和路由层，职责划分比传统 Ingress 模型更清晰，也更适合平台团队和业务团队分工协作。

三层级治理：把 API 字段对齐到组织结构

支持 Gateway API 只是第一步。对于企业级平台来说，更关键的是如何把这套能力真正纳入组织结构和权限体系中。KubeSphere Gateway API 网关扩展将网关实现和网关划分为三个层级：集群、企业空间、项目。

在这一模型下，网关层级与网关实现层级一一对应。Gateway 只能引用同层级的网关实现，而 Route 的可绑定范围也会随着 Gateway 的层级受到限制。

这种隔离并不是界面上的“软约束”，而是通过 Gateway 的路由允许范围在控制面进行约束。跨层级的 Route 即便配置了parentRefs，也不会被对应 Gateway 接受或生效。

这套机制对应着三类典型使用场景：

集群层级网关：由平台管理员维护，作为集群统一的南北向入口，允许集群范围内的 Route 挂载。企业空间层级网关：由企业空间管理员维护，作为某个业务线或部门边界内的入口。项目层级网关：由项目级用户维护，生命周期和项目对齐。

对于此前使用 Ingress 构建多租户入口体系的用户来说，这类问题并不陌生。过去很多隔离能力依赖 RBAC 和运维约定来维持，而现在，这些边界可以直接落到资源层级和标准 API 字段中。

监控和日志：依赖 WizTelemetry 扩展

网关实现的可观测性通过独立扩展接入：

WizTelemetry 监控：提供网关实现的指标采集与监控面板，覆盖连接数、QPS、延迟、错误率等指标。WizTelemetry 日志：提供网关日志的搜索与排查能力。

网关扩展本身聚焦数据面和控制面能力，观测层则可按需启用。如果生产环境对请求级排查、访问日志检索和故障定位有要求，建议同时启用 WizTelemetry 监控和 WizTelemetry 日志扩展。

如果你正在规划新的入口方案，建议从测试环境或新业务开始体验 Gateway API 网关扩展。

我们也非常欢迎你在实际使用中的反馈，这将直接影响后续默认网关方案的选择。如有问题或建议，欢迎通过 GitHub Issue 或开发者论坛与我们交流。