Kubernetes SIG Network가 Gateway API v1.4.0을 GA 채널에 릴리즈해 BackendTLSPolicy, supportedFeatures, Named Rules 3가지 표준 기능 추가

Context

Gateway API 도입 이전에는 Gateway에서 backend 사이의 TLS 암호화된 연결을 설정하기 위한 API 스펙이 존재하지 않았다. 또한 GatewayClass 구현체가 어떤 기능을 지원하는지 명확하게 선언할 방법이 없어 사용자와 도구가 각 구현체의 능력을 파악하기 어려웠다.

Technical Solution

• BackendTLSPolicy를 Standard 채널에 졸업: Gateway가 backend Pod과의 TLS 연결을 설정할 때 hostname, caCertificateRefs(최대 8개의 PEM 인코딩 인증서 번들), subjectAltNames(Hostname 또는 URI 타입) 설정 지원
• GatewayClass status에 supportedFeatures 필드 추가: 구현체가 지원하는 기능 목록(예: HTTPRoute, HTTPRouteHostRewrite, HTTPRoutePortRedirect, HTTPRouteQueryParamMatching)을 명시적으로 선언
• conformance test suite를 GatewayClass status의 supportedFeatures 값을 기반으로 자동 실행하도록 변경: 별도의 플래그(--supported-features, --exempt, --all-features) 없이 자동으로 해당 기능에 대한 테스트만 수행
• Mesh, Default gateways, externalAuth filter for HTTPRoute 3가지 experimental 기능 신규 추가
• CORS 규칙의 allowCredentials 검증 스키마를 더 엄격하게 변경: 기존 HTTPRoute 정의가 새 스키마를 준수하지 않으면 API 서버에서 거부
• CI/CD 파이프라인에 Kube API Linter 추가: API reviewer의 부담 감소 및 일반적 실수 자동 방지
• CRD 테스트 실행 시간을 envtest 사용으로 개선

Impact

conformance test 실행 시 추가 플래그 설정 불필요로 변경됨에 따라 테스트 프로세스 단순화. 7개 구현체(Cilium, Contour, Envoy Gateway, Kong, NGINX Gateway Fabric, Traefik, Avi/VMware NSX) 이미 v1.4.0 conformance 달성.

Key Takeaway

Gateway API는 Kubernetes 버전 업그레이드 없이 독립적으로 배포되므로(Kubernetes 1.26 이상), 신기능을 신속하게 도입할 수 있으며, supportedFeatures 필드를 통해 구현체의 능력을 명시적으로 추적함으로써 사용자와 도구 간 신뢰성 있는 호환성 정보 제공이 가능해진다.