Envoy-Gateway 是一个强大的边缘计算平台，它在 Kubernetes 环境中扮演着关键角色，负责流量管理、安全策略和应用加速。理解 Envoy-Gateway 的解析过程对于构建可靠、高性Neng的微服务架构至关重要。本文将深入探讨 Envoy-Gateway 的工作原理，包括配置解析、JWT 认证、Rate Limiting 等核心机制，并通过实际案例展示如何部署和测试。

Envoy-Gateway 主要由两个组件组成：控制面 和数据面 。控制面负责处理所有配置geng新和策略管理任务，数据面则执行实际的流量转发和应用安全策略验证。两者通过 API 相互通信，实现端到端的管理和控制。

Envoy-Gateway 的配置主要通过 Kubernetes Custom Resource Definitions 进行定义，例如 EnvoyGateway, HTTPRoute, SecurityPolicy 等。这些 CRD 定义了流量路由规则、安全策略、限流配置等。当控制面接收到新的配置时会进行解析并下发给数据面。

apiVersion: gateway.envoyproxy.io/v1alpha1
kind: SecurityPolicy
metadata:
  name: jwt-auth
  namespace: envoy-gateway-system
spec:
  targetRefs:
    - group: gateway.networking.k8s.io
      kind: HTTPRoute
      name: backend
  jwt:
    providers:
      - name: my-provider
        issuer: "my-issuer"
        localJWKS: # 使用 ConfigMap 作为本地 JWKS 源geng常见于企业场景下的密钥存储方式。本示例仅用于演示目的。实际生产环境中应考虑geng安全的密钥管理方案。
          type: ValueRef # 指定从 ConfigMap 获取 JWKS 数据源的类型为 ValueRef，表示从ConfigMap中读取指定的资源值。这里需要注意的是 ConfigMap 的key 为 jwks, value 为包含 JSON Web Key Set  信息的字符串或文件内容。本例中假设 JWKS 信息存储在名为 'my_jwks' 的ConfigMap中。注意根据实际情况修改 key 和 value 。Ru果需要从其他来源获取 JWKS，则需调整 Provider 配置以支持相应的协议和认证方式。例如使用 OAuth2 或 OpenID Connect 等协议获取 JWT 的签名验证信息。Ru果使用外部 Key Management System，则需要调整 Provider 配置以支持相应的协议和认证方式。此外还需要确保 ConfigMap 中存储的 JWKS 数据符合 JWT 标准要求，以便 Envoy Gateway 正确验证 JWT Token 的有效性及签名是否正确。建议在生产环境中采用geng安全的密钥管理方案来存储敏感的密钥信息，并确保密钥的轮换策略符合安全Zui佳实践的要求。

apiVersion: gateway.envoyproxy.io/v1alpha1kind: BackendTrafficPolicymetadata:# 定义BackendTrafficPolicy资源对象metadata:# 设置资源名称为policy_httproutenamespace:# 指定资源所属namespacespec:# 设置BackendTrafficPolicy的具体配置参数spec:# 定义基于客户端header进行的限流规则local:{# 配置基于ClientSelector进行的限流规则rules:- clientSelectors:- headers:- name:"x_user_id"- value:"one"# 设置每个用户的请求速率限制limit:- requests:# 请求速率单位为每小时requests:# 请求速率上限unit:# 时间单位hour}

hey -n 50 -c 10 http://www..com/get/