EnvoyProxy Gateway 外部处理(Ext-Proc)功能详解

EnvoyProxy Gateway 外部处理(Ext-Proc)功能详解

【免费下载链接】gateway Manages Envoy Proxy as a Standalone or Kubernetes-based Application Gateway 项目地址: https://gitcode.com/gh_mirrors/gate/gateway

概述

在现代云原生架构中，API网关经常需要与外部系统集成来实现复杂的请求/响应处理逻辑。EnvoyProxy Gateway 通过外部处理(Ext-Proc)功能，允许开发者将HTTP请求和响应的处理逻辑委托给外部gRPC服务，从而实现高度灵活的可扩展性架构。

外部处理的核心概念

外部处理(External Processing)是EnvoyProxy Gateway提供的一种扩展机制，它允许：

1. 在请求处理流程中插入自定义逻辑
2. 对请求和响应进行深度检查和修改
3. 实现认证、授权、日志记录、数据转换等复杂功能

这种机制通过EnvoyExtensionPolicy自定义资源定义(CRD)来配置，可以与Gateway和HTTPRoute资源关联。

准备工作

在开始配置前，请确保：

1. 已安装Kubernetes集群
2. 已部署EnvoyProxy Gateway
3. 具备kubectl命令行工具
4. 了解基本的Kubernetes资源操作

部署示例gRPC外部处理服务

我们将使用一个演示用的gRPC服务作为外部处理器。这个服务能够：

• 检查传入的HTTP请求
• 添加自定义请求头
• 修改响应内容

kubectl apply -f [示例gRPC服务YAML文件]

配置基础路由

首先需要创建一个HTTPRoute资源，将特定路径的流量路由到后端服务：

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: myapp
spec:
  parentRefs:
  - name: eg
  hostnames:
  - "www.example.com"
  rules:
  - matches:
    - path:
        type: PathPrefix
        value: /myapp
    backendRefs:
    - name: backend
      port: 3000

应用后，可以通过以下命令验证路由状态：

kubectl get httproute/myapp -o yaml

配置外部处理策略

接下来创建EnvoyExtensionPolicy资源，将外部处理服务与路由关联：

apiVersion: gateway.envoyproxy.io/v1alpha1
kind: EnvoyExtensionPolicy
metadata:
  name: ext-proc-example
spec:
  targetRefs:
    - group: gateway.networking.k8s.io
      kind: HTTPRoute
      name: myapp
  extProc:
  - backendRefs:
    - name: grpc-ext-proc
      port: 9002
    processingMode:
      request: {}
      response: 
        body: Streamed

关键配置说明：

1. backendRefs：指定外部处理服务的名称和端口
2. processingMode：定义处理模式
   • request: {}：发送请求头到外部处理器
   • response.body: Streamed：流式传输响应体到外部处理器

TLS安全配置

由于示例gRPC服务启用了TLS，需要创建BackendTLSPolicy来配置安全通信：

apiVersion: gateway.networking.k8s.io/v1alpha3
kind: BackendTLSPolicy
metadata:
  name: grpc-ext-proc-btls
spec:
  targetRefs:
    - group: ''
      kind: Service
      name: grpc-ext-proc
  validation:
    caCertificateRefs:
      - name: grpc-ext-proc-ca
        group: ''
        kind: ConfigMap
    hostname: grpc-ext-proc.envoygateway

测试验证

确保已设置GATEWAY_HOST环境变量后，发送测试请求：

curl -v -H "Host: www.example.com" "http://${GATEWAY_HOST}/myapp"

成功响应将包含外部处理器添加的头部信息：

• x-request-ext-processed：请求转发前添加
• x-response-ext-processed：响应返回前添加

实际应用场景

外部处理功能可以应用于多种场景：

1. 请求增强：添加追踪ID、认证令牌等
2. 数据转换：修改请求/响应体格式
3. 安全控制：实现自定义认证逻辑
4. 流量监控：记录详细的请求指标
5. A/B测试：基于请求内容路由流量

清理资源

完成测试后，删除创建的资源：

kubectl delete httproute/myapp
kubectl delete envoyextensionpolicy/ext-proc-example
kubectl delete backendtlspolicy/grpc-ext-proc-btls
kubectl delete -f [示例gRPC服务YAML文件]

最佳实践

1. 性能考虑：外部处理会增加延迟，确保处理器高效
2. 错误处理：实现完善的错误处理逻辑
3. 资源限制：为处理器设置适当的资源配额
4. 监控：监控处理器性能和错误率
5. 版本控制：处理器接口应支持版本控制

通过EnvoyProxy Gateway的外部处理功能，开发者可以灵活扩展网关能力，同时保持核心架构的简洁性。这种设计特别适合需要深度定制请求处理流程的场景。

【免费下载链接】gateway Manages Envoy Proxy as a Standalone or Kubernetes-based Application Gateway 项目地址: https://gitcode.com/gh_mirrors/gate/gateway