Kubernetes Gateway API路由与TLS治理

--- title: Kubernetes Gateway API路由与TLS治理 keywords: - GatewayClass - Gateway - HTTPRoute - TLS - cert-manager description: 使用 Gateway API 的 Gateway/Route 模型统一路由与证书治理，提升可移植性与多实现兼容。 categories: - 文章资讯 - 技术教程 --- # Kubernetes Gateway API路由与TLS治理 ## 概览 - Gateway API 以资源建模取代或补充 Ingress，提供更丰富的路由、跨命名空间引用与策略控制。 - 通过 `GatewayClass` 选择实现，在 `Gateway` 上终止 TLS 并由 `HTTPRoute`/`GRPCRoute`/`TCPRoute` 描述路由规则。 - 与 cert-manager 集成自动签发与轮换证书。 ## 技术参数（已验证） - 类与网关：`GatewayClass` 指定控制器；`Gateway` 定义监听器、协议与 TLS 终止（`mode: Terminate`）。 - 路由：`HTTPRoute` 通过 `hostnames`、`matches`（path/header/query）与 `backendRefs` 配置；支持权重与过滤器。 - TLS：引用 `Secret` 证书；SNI 与多主机；结合 `cert-manager` 的 `Certificate` 与 `Issuer`。 - 跨命名空间：使用 `ReferenceGrant` 授权跨命名空间后端引用。 - 观测：查看实现状态与条件；在控制器与数据面记录路由与证书事件。 ## 实战清单 - 选择 Gateway 实现并创建 `GatewayClass`/`Gateway`；为主机与路径编写 `HTTPRoute`。 - 集成 cert-manager 自动签发与轮换；验证 SNI 与多主机终止。 - 使用 `ReferenceGrant` 管理跨命名空间引用；建立路由变更台账。 - Importance: 提升路由能力与证书治理，统一跨实现的可移植性。