第 3 章 连接链接技术和模式

网关在应用程序连接和安全方面扮演着重要角色。在基于 Kubernetes 的环境中，网关 API 是部署入口网关和管理应用程序网络的新标准。

网关 API 为入口流量管理提供标准化 API，支持多个协议。网关 API 是用户用户角色，面向角色，提供配置灵活性和可移植性。您可以使用网关 API 在每个 OpenShift 集群上设置入口策略，以便以最少的努力进行一致、一致和实施。

图 3.1. 网关 API 用户基于人员的设计

通常，基础架构所有者负责托管多个集群的基础架构，例如基于 Amazon Web Services 或 Google Cloud Platform 等云供应商。

平台工程师负责管理集群以满足用户要求，例如管理网关、策略、网络访问和应用程序权限。虽然应用程序开发人员负责管理集群中运行的应用程序，例如管理应用程序身份验证、速率限值、超时和路由到后端服务。

通过使用定义为 Kubernetes 自定义资源定义(CRD)的连接链接策略，平台工程师和应用程序开发人员可以轻松地保护、保护和连接其应用程序和基础架构。连接链接提供了用于管理 TLS、身份验证和授权、速率限制和 DNS 的策略。

策略附加 模式提供了一种使用配置在 Kubernetes 对象中添加行为的方法，这些配置不能在 object spec 字段中描述。策略附加还提供默认值和覆盖概念，允许不同的角色在对象层次结构的不同级别上操作策略 API。这些策略随特定规则和策略合并，以形成有效的策略。

以下速率限制策略的简单示例为目标网关中定义的每 10 秒配置指定的 5 个请求限制，该请求没有定义自己的速率限制策略：

apiVersion: kuadrant.io/v1
kind: RateLimitPolicy
metadata:
  name: gw-rlp
spec:
  targetRef: # Specifies Gateway API policy attachment
    group: gateway.networking.k8s.io
    kind: Gateway
    name: external
  defaults: # Means it can be overridden
    limits: # Limitador component configuration
      "global":
        rates:
        - limit: 5
          window: 10s

apiVersion: kuadrant.io/v1
kind: RateLimitPolicy
metadata:
  name: gw-rlp
spec:
  targetRef: # Specifies Gateway API policy attachment
    group: gateway.networking.k8s.io
    kind: Gateway
    name: external
  defaults: # Means it can be overridden
    limits: # Limitador component configuration
      "global":
        rates:
        - limit: 5
          window: 10s

与其他连接管理系统不同，连接链接不是独立网关。连接链接是一个 WebAssembly (WASM) 插件，它为 Envoy 代理开发。这意味着，OpenShift Service Mesh、Istio 或 Envoy 的用户不需要对现有入口对象和策略进行重大更改，才能开始使用连接链接。

WebAssembly 插件设计还意味着连接链接轻便、快速、硬件独立、非入侵和安全。

连接链接在多云和混合云环境中使用多集群配置镜像，以确保您可以在需要它们时部署路由、配置和策略。您不再需要根据云服务供应商以不同的方式设置不同的策略。反之，您可以使用连接链接以一致的方式配置和部署策略。

您还可以确保设置开发、测试和生产环境，从而防止以后出现意外情况。这样，连接链接提供了一致性、简单性、统一体验、全球管理和安全合规性。

图 3.2. 跨多云和混合云环境的多集群配置镜像

连接链接为 API 管理提供了下一代方法，其扩展至其他产品提供的传统 API 管理功能。

API 管理需要连接，连接链接提供可扩展的多集群和多Gateway 连接管理，以及 API 可观察性、身份验证和速率限制等 API 管理功能。

图 3.3. 连接链接 API 管理和连接