什么样的 AI 网关算是一个好网关
这篇不做具体产品排名,只回答一个问题:怎么判断一个 AI 网关好不好。内容来自对主流网关源码、文档、配置能力的核验,也来自实际落地里踩过的坑。
先给结论:好的 AI 网关至少要同时满足三点:
- 是一个合格的 L7 流量网关;
- 真正理解 LLM / Agent 流量;
- 成熟到敢放上生产核心链路。
没有绝对最好的 AI 网关,只有最适合当前团队边界的网关。大公司用“薄而快”,小团队用“厚而全”,都可能是对的,关键看模型侧、日志、告警、安全旁路这些家底有多厚。
本文适合用来做 AI 网关选型、现有网关评估,或者自研网关能力拆解;不适合当某个产品的安装教程,也不讨论个人转发代理。
导读:先给结论
能力三层模型
| 层级 | 关键词 | 判断重点 |
|---|---|---|
| 成熟度 | GA、生产背书、性能可证、核心能力可用 | 能不能长期跑在生产核心链路上 |
| AI 能力 | body 路由 / 改写、Token 治理、TTFT / TPOT、流式审查、协议转换 | 是不是真的理解 LLM / Agent 流量 |
| L7 地基 | 代理、路由、LB、改写、限流、观测、认证 | 普通网关基本功是否扎实 |
一句话:好的 AI 网关 = 合格 L7 网关 + AI 流量能力 + 生产成熟度。
职责边界
| 模型侧 / 旁路家底 | 适合的网关形态 | 网关职责 |
|---|---|---|
| 厚:模型平台、日志、告警、安全旁路都成熟 | “瘦”网关 | 路由、鉴权、基础限流、轻量观测 |
| 薄:裸跑 vLLM 或主要依赖第三方 API | “厚”网关 | 可用性兜底、日志富化、内容审查、协议转换、成本治理 |
选型三步法
| 步骤 | 做什么 | 目的 |
|---|---|---|
| ① 划边界 | 明确网关、模型侧、旁路系统各自负责什么 | 避免把所有复杂度都塞进网关 |
| ② 过底线 | 用第 4 章的一票否决线先筛 | 排掉不适合生产核心链路的方案 |
| ③ 打分 | 按第 6 章对照 P0 / P1 需求评分 | 找到最适合自己的,而不是功能最多的 |
1. 先看 AI 流量特殊在哪
普通 API 多数无状态、体积小、结构固定。AI 流量不一样:
| 特征 | 对网关的新要求 |
|---|---|
| 请求 / 响应体有语义 | 能读懂并改写 model、messages、max_tokens 等字段 |
| 响应常是 SSE 流式 | 限流、审查、观测都要能在流上工作 |
| 成本按 token 算 | 不能只看 QPS,还要看 TPM、TTFT / TPOT 和成本 |
| 后端异构且容易限流 / 挂掉 | 需要多 Provider 协议适配和 fallback |
| Agent 会触发工具调用 | trace、权限、审计、幂等和成本要能跨调用串起来 |
只会改 URL 和 header、把 body 当黑盒透传的,本质上还是普通网关。
能力该放网关,还是放旁路
同一个能力可以放网关,也可以放模型侧或旁路系统。比如日志富化、内容审查、可用性兜底,不一定都要压到网关里。
| 能力 | 家底厚时 | 家底薄时 |
|---|---|---|
| 可用性兜底 | 模型平台 / 调度层负责 | 网关承担 fallback、熔断、降权 |
| 日志与告警 | 独立平台负责 | 网关做日志富化和告警集成 |
| 内容审查 | 独立安全服务负责 | 网关内置或接外部 guardrails |
| 协议适配 | SDK / 服务层处理 | 网关做 Provider 协议转换 |
| 成本治理 | 计费或 LLMOps 系统负责 | 网关至少要统计 token 和预算 |
核心取舍是:稳定性、灵活性、性能很难同时拿满。网关越厚,能力越强,但数据面越重,故障面也越大。能放到模型侧或旁路的能力,别轻易塞进网关。
2. AI 网关能力图谱
把能力摊开,一个 AI 网关大致分九类。注意:这是能力图谱,不代表所有能力都必须由网关实现。
| 能力域 | 解决的问题 | 典型能力 |
|---|---|---|
| 管理与运维面 | 能不能系统化管理 | REST API、证书自动更新、配置热更新、插件热加载 |
| 基础网关数据面 | 是不是合格 L7 网关 | HTTP 代理、统一入口、连接复用、超时、SSL、路径重写 |
| AI 路由与负载均衡 | 请求该打到哪里 | model 路由、条件路由、会话亲和、权重 + 优先级、多供应商混合 |
| Fallback 与高可用 | 后端异常能否兜底 | 429 / 5xx fallback、健康检查、自动摘除 / 恢复、告警降权 |
| 请求 / 响应改写与协议适配 | 屏蔽后端差异 | 模型名映射、认证注入、body 字段注入、max_tokens 管控、协议转换 |
| 流量治理与成本 | 管 token、并发和钱 | RPM、TPM、组合限流、实例限流、token 统计、预算配额 |
| 可观测性与审计 | 出问题能否查清楚 | OTel、结构化日志、Prometheus、TTFT / TPOT、trace、upstream、risk level |
| 安全与内容治理 | 请求和内容是否安全 | 消费者认证、凭证托管、请求体限制、双向审查、多模态审查 |
| 扩展性与生态 | 能否持续扩展 | 插件机制、执行顺序、外部审查服务、AlertManager、Kafka / ES / HTTP sink |
几个容易混淆的点:
- 流式能力不能只看 SSE 透传:真正要看的是限流、审查、观测、fallback、协议转换、客户端断开处理这些能力,在流式请求里是不是同样可用。
- 协议转换属于高级改写:只转非流式请求不够,还要处理 SSE、错误码、tool call 和 usage。
- 可观测字段不宜全塞正文:正文看维度,字段明细适合放 checklist。
- 多地域属于高可用:部署多个地域不够,还要看路由、探测、切换、日志和告警是否闭环。
3. 核心能力域:合格线 / 优秀线
3.1 路由与负载均衡
合格线:能按 model 路由,支持加权负载均衡和基础 fallback;普通 HTTP 请求也能透传,不能强行按 Chat Completions 解析。
优秀线:能基于 body 做条件路由,比如带图片走多模态实例、长 prompt 走大上下文模型;支持权重 + 优先级、会话亲和,以及按 429、5xx、超时分别配置 fallback。
流式场景要注意 fallback 边界:首 token 前切换相对安全;一旦开始向客户端输出,再切后端可能导致重复输出、上下文断裂或重复计费。tool call 还要区分是否有副作用。
3.2 请求 / 响应改写
合格线:路径重写、header 注入、后端鉴权注入、模型名映射。
优秀线:body 字段注入能区分“缺失才补”和“强制覆盖”;改 body 时尽量保持字段顺序;OpenAI、Anthropic、Gemini、Bedrock 等协议能互转,并正确处理 tool、错误码、usage 和流式格式。
body 改写最好配置即可完成。每个场景都要写插件,就不算好。
3.3 流量治理与成本
合格线:消费者级 RPM、并发限流,以及 SSE 透传。
优秀线:按 token 限流(TPM),支持消费者 × 模型、租户 × 模型、路由级、实例级等组合维度;能做费用归因、预算配额、超限告警或熔断。
语义缓存可以省钱和降延迟,但要处理命中错误、权限隔离、时效性和审计问题,不能无脑上。
3.4 可观测性
合格线:接入 OpenTelemetry,有结构化 access log,body 日志可按租户 / 路由开关。
优秀线:TTFT、TPOT 这类延迟指标用 histogram 看 P90 / P99;token 总量能按模型、消费者、项目归因;日志覆盖模型映射、token、upstream、trace、风险等级等关键字段,并能推 Kafka、ES、HTTP、OTLP。
完整 body 日志必须支持脱敏、采样、敏感字段过滤和过期清理,否则观测越强,合规风险越大。
3.5 健康检查与高可用
合格线:被动健康检查,连续失败自动摘除。
优秀线:主动健康检查能 POST 真实推理请求,而不是只 GET /health。LLM 后端常见问题是“进程活着但推理不可用”,浅层探测发现不了。更进一步,是告警联动降权和恢复:告警触发时实例降权,恢复后自动加回流量。
3.6 安全:认证授权和内容审核
合格线:消费者认证、API Key 管理、后端凭证托管、请求体大小限制。
优秀线:JWT / OAuth、RBAC、多租户隔离;消费者身份能贯通到限流和观测;内容审查支持请求 / 响应双向、流式生效、按消费者或路由差异化配置,并能接外部服务。
3.7 Agent / Tool Call 流量
如果只服务普通 Chat Completions,这一项是加分项;如果要支撑 Agent,就是必答题。
Agent 一次请求可能触发多次模型调用和工具调用。网关至少要能串起 conversation id、tool call id、trace id;对工具调用做权限、审计、幂等和成本归因。发邮件、下订单、改配置这类工具调用,重试一次就可能变事故。
3.8 扩展性与可运维性
合格线:插件机制、配置热更新、完整管理接口(REST API 或 CRD)。
优秀线:扩展点顺序可控,插件和策略可热加载,证书能自动续期,声明式和命令式管理都能支持。
4. 四条一票否决线
有些短板不是扣分,而是直接不适合上生产核心链路。
- 数据面性能不可证:Rust / Go / Envoy / Nginx 这类成熟数据面更稳;如果关键路径依赖 Python 做高频 JSON 解析、body 改写和流式转发,必须用压测证明开销可控。
- 成熟度不够:pre-1.0、没有生产案例、社区太小、历史 CVE 严重,都要大幅打折。
- 核心能力不可用:body 条件路由、模型级 fallback、TPM 限流、语义审查等核心能力如果全锁企业版,开源版价值会很有限。
- 没有可信主动健康检查:只会被动摘除或 GET
/health,很难发现“服务活着但推理不可用”。
5. 好坏对照速查
快速判断一个网关有没有明显短板,先看这些高风险点。
| 快速判断点 | 平庸的做法 | 好的做法 |
|---|---|---|
| body 能力 | body 当黑盒,只改 header / path | 能基于 body 路由、改写、注入字段,并尽量保序 |
| 流式链路 | 只有非流式路径完整 | 限流、审查、观测、协议转换、断开处理都能在流上跑 |
| fallback | 只按状态码重试 | 区分异常类型、首 token 前后、实例限流和 tool call 副作用 |
| 指标与日志 | 只有平均延迟和请求数 | TTFT / TPOT 看分位数,token、模型、消费者、上游、trace 都能归因 |
| 健康检查 | 被动摘除或 GET /health |
主动 POST 真实推理探测,支持自动摘除 / 恢复 |
| Agent / Tool Call | 当普通 HTTP 请求转发 | trace、权限、审计、幂等和成本能串起来 |
| 生产成熟度 | pre-1.0,性能不可证 | GA、有生产背书、关键能力可用,额外开销可压测 |
6. 打分清单(权重合计 100%)
下面是通用权重,实际用时按团队 P0 / P1 调整。
A. 基础网关能力(10%)
- 普通 HTTP 代理 / 路由也能用,不是只能绑 AI provider
- 路径重写、header 注入、后端鉴权注入
- 连接复用、路由级超时、SSL 校验可控
B. 路由与负载均衡(15%)
-
model字段路由,权重 + 优先级负载均衡 - 能基于 body 内容做条件路由
- fallback 能分异常类型,并处理流式阶段和会话亲和
C. 请求 / 响应改写与协议适配(15%)
- 字段注入分得清兜底和覆盖
- 字段顺序尽量保持,模型名映射和多 Provider 协议适配可用
- 错误码、流式格式、tool call 字段能正确转换
D. 流量治理与成本(15%)
- TPM 限流,支持任意维度组合
- 成本归因和预算配额,超限可告警 / 熔断
- SSE 全链路支持,语义缓存有权限隔离和审计边界
E. 可观测性(15%)
- TTFT / TPOT 用 histogram,token 可按维度归因
- 结构化日志字段足够全,能推多种 sink
- body 日志支持脱敏、采样、按租户 / 路由开关
F. 健康检查与高可用(15%)
- 被动 outlier detection 和主动健康检查都支持
- 主动探测能 POST 真实推理请求
- 告警集成,实例能联动降权和恢复
G. 安全与合规(10%)
- API Key / JWT / OAuth / RBAC,后端凭证托管
- 请求和响应双向内容审查,含流式
- PII、prompt 注入、多模态审查能接外部服务
H. 扩展性与可运维性(5%)
- 插件机制、扩展点顺序、策略热加载可控
- REST API / CRD / GitOps 至少一种管理方式顺手
- 证书、配置、密钥生命周期可自动化
底线项:一票否决,不算分但必须过
- 数据面性能可证
- 成熟度够:GA、有生产案例、社区活跃
- 核心能力可用,或已接受买企业版
- 有可信主动健康检查,能证明模型实例真的可推理
7. 最后
好的 AI 网关不是功能最多的那个,而是最适合你职责边界的那个。
模型侧、日志、告警、安全旁路都强,网关就该薄一点,把稳定性和性能放前面;模型侧家底薄,网关就要承担更多协议适配、可用性兜底、内容治理和成本控制,但也要接受数据面复杂度上升。
最终还是三步:先划边界,再过底线,最后按 P0 需求打分。不要上来就比功能列表长度,也不要因为“网关能做”就把所有逻辑都塞进去。
2026-07-11 | 依据:主流 AI 网关源码 / 文档核验 + 落地经验