Tetrate推出Envoy开源扩展市场，破解WAF与SAML集成难题

Tetrate公司推出了 Built on Envoy——一个免费开源的Envoy扩展市场。该项目旨在提供丰富的Envoy扩展组件，帮助开发者简化部署流程，促进开源实战社区知识共享，从而加速Envoy在各类场景中的应用落地。

译自：Tetrate launches open source marketplace to simplify Envoy adoption

作者：Adrian Bridgwater

代理式AI开发公司Tetrate 近日正式发布了 Built on Envoy。这是一个汇集了各类实用扩展的免费开源市场，目标直指简化云原生应用代理Envoy的采用过程。

那么，Envoy究竟是什么？Envoy是一个为云原生/IaaS应用而生的开源边缘和服务代理。它的故事始于网约车服务Lyft，其核心能力是作为中间服务器，管理服务间的网络流量，以此提升整个系统的安全性。

被Envoy项目团队形容为“微服务的通用数据平面”的Envoy，其运行模式是与每个应用程序并行。它通过一种与平台无关的方式，为应用程序抽象并提供通用的网络功能。

Tetrate表示，当前团队在部署Envoy时常会遇到一些棘手的“陷阱”，拖慢项目进度。而Built on Envoy正是为了克服这些难题而生——它将那些经过验证的最佳实践流程打包成即用型扩展，并免费提供给整个社区。

但究竟是什么让Envoy的部署变得“麻烦”呢？

为何Envoy部署会成为“扫兴小子”？

采用Envoy时常见的障碍往往集中在安全和认证领域。例如，集成Web应用防火墙(WAF)、处理OAuth2令牌交换、解决安全断言标记语言(SAML)相关问题，以及处理更广泛的授权工作流细节，都充满了挑战。

对任何软件工程师而言，WAF集成很少是即插即用的任务。当开发人员试图应用安全规则来阻挡恶意数据、同时允许合法用户流量时，集成会变得异常复杂。更棘手的是，当代码库迭代更新时，WAF规则也需要同步调整——而代码变更几乎是持续发生的。SAML则可能在属性映射上遇到麻烦，比如不同的软件系统对“电子邮件”这类常见实体的标记格式不一致，从而导致声明缺失错误。总之，这些加密握手过程并非总能一帆风顺。

除了安全扩展，Built on Envoy市场还提供处理AI治理需求的扩展。例如，根据Azure内容安全服务检查大语言模型(LLM)的请求内容，缓存模型请求，以及满足包括数据平台代理配置、路由区域固定在内的运维需求。

此外，市场还提供了文件服务器扩展服务。这项技术允许团队直接从Envoy提供HTML页面、仪表板和文档等静态资产，从而无需额外部署一个独立的Web服务器。

为了方便开发者，Built on Envoy配备了一个CLI包管理器。开发者只需使用简单的命令，就能在本地机器上运行带有特定扩展的Envoy，这大大减少了实验、原型设计和功能迭代所需的时间。

定制扩展的普遍困境

Tetrate指出，Envoy的强大功能传统上只有具备深厚专业知识的团队才能充分驾驭。许多软件工程团队最终不得不“闭门造车”，自行构建定制化的扩展。这不仅造成了大量的重复劳动，也使得这些团队错失了与社区分享其成果、共同进步的机会。

基于这一普遍现状，一个供开发者下载和部署经过验证的扩展的开源市场，似乎来得正是时候。Envoy的创始人Matt Klein也对整个项目表示兴奋。

Klein说：“到目前为止，为Envoy编写扩展一直是一个费力的过程，需要编写C++并编译整个代理的完全自定义构建。动态模块的兴起，以及允许使用Go或Rust等语言进行扩展，将极大地释放Envoy的扩展潜力，让更多人受益。”

“太多的团队在独立解决相同的问题。Built on Envoy 为社区提供了一个公开分享这些解决方案的方式，以便每个Envoy用户都能更快地行动。”

社区驱动，免费共享

Tetrate提供了一份详细的演练，介绍了当前可用的扩展及其具体用例。公司CTO Varun Talwar表示，他的团队多年来目睹了企业客户大规模部署Envoy的历程，因此一次又一次地看到了相同的挑战。

Talwar说：“有太多的团队在独立解决完全相同的问题。Built on Envoy为社区提供了一个公开分享这些解决方案的途径，让每个Envoy用户都能更高效地推进工作。我们为整个生态系统构建了它，并邀请所有人来使用、来贡献。”

如今，Envoy的能力已得到广泛验证。它每天处理着数百万次机器学习预测；通过参与Google漏洞奖励计划，其安全性也得到了持续加固。当下，Netflix每天依赖Envoy处理数十亿次API请求，而Airbnb则用它来管理每秒超过100万个的用户事件——这两家组织都依靠Envoy进行关键的任务流量管理。

Built on Envoy项目基于Apache 2.0开源协议发布，完全免费使用。Tetrate目前已经为这个市场播种了首批扩展，但其长期愿景是建立一个由社区共同维持的生态系统。在这个生态里，来自各行各业的组织可以分享他们构建的成果，众人拾柴火焰高，共同加速Envoy在全球范围内的采用。

引用链接

• [1] Tetrate launches open source marketplace to simplify Envoy adoption: https://thenewstack.io/tetrate-built-on-envoy/
• [2] Tetrate: https://tetrate.io/
• [3] Built on Envoy: https://builtonenvoy.io/
• [4] 网约车服务Lyft: https://thenewstack.io/lyfts-envoy-provides-move-monolith-soa/
• [5] Envoy项目团队: http://envoy
• [6] Web应用防火墙 (WAF): https://thenewstack.io/waf-securing-applications-at-the-edge/
• [7] Azure内容安全: https://thenewstack.io/microsoft-adopts-openinfra-kata-containers-security-on-azure/
• [8] 详细的演练: https://tetr8.io/builtonenvoy
• [9] Google漏洞奖励计划: https://www.envoyproxy.io/docs/envoy/latest/intro/arch_overview/security/google_vrp