Kubernetes Gateway API 中生成资源命名空间部署规范的演进

在 Kubernetes Gateway API 的设计演进过程中，关于控制器生成资源应该部署在哪个命名空间的问题引发了社区讨论。这个问题涉及到安全性、可调试性和实现灵活性等多个维度的考量。

背景与问题起源

最初在 GEP-1762 规范中，要求控制器必须（MUST）将生成的命名空间作用域资源部署在与 Gateway 相同的命名空间中。这一设计初衷是为了便于调试和问题排查，开发者可以集中在一个命名空间内查看所有相关资源。

然而，这一强制性要求在实际实现中遇到了挑战。某些网关实现（如 Envoy Gateway）出于安全考虑，可能没有权限在用户命名空间中创建资源。这些实现更倾向于将生成的资源部署在专用的基础设施命名空间中，通过限制控制器的写入权限来增强安全性。

社区讨论与解决方案

经过社区深入讨论，达成了以下共识：

1. 规范调整：将原来的"必须"（MUST）降级为"应该"（SHOULD），给予实现者更多灵活性。这既保留了在 Gateway 命名空间部署资源的推荐做法，又允许特殊场景下的变通。

2. 可发现性增强：为了解决资源分散在不同命名空间导致的可发现性问题，建议为生成的资源添加特定标签（如 gateway.networking.k8s.io/gateway-namespace），明确标识其关联的 Gateway 命名空间。

3. 状态信息补充：即使资源部署在不同命名空间，Gateway 的状态字段（Gateway.Status）也应包含足够的信息来帮助定位和调试这些资源。

实现考量

对于平台工程师和集群管理员来说，这一变化带来了两种可行的部署模式：

1. 基础设施命名空间模式：将生成的资源集中部署在专用命名空间，限制控制器的写入权限，提高安全性。这种模式适用于对多租户隔离要求较高的环境。

2. Gateway 命名空间模式：保持资源与 Gateway 在同一命名空间，便于直接管理和调试。这种模式适合开发环境或对操作便利性要求较高的场景。

规范演进状态

目前这一变更仍处于演进过程中，相关描述尚未完全同步到 API 文档中。对应的 GatewayInfrastructure 一致性测试被标记为"Provisional"（临时性），等待规范最终确定。

这一调整体现了 Kubernetes Gateway API 设计中的务实态度，在保持核心原则的同时，为不同实现提供了必要的灵活性，平衡了安全性与可用性的需求。