构建无服务器 A2A 网关:实现智能体发现、路由与访问控制
随着企业跨团队、供应商和基础设施部署 AI 智能体,管理智能体之间的通信正成为日益增长的运营负担。没有集中式层,每个新智能体集成都会增加点对点连接、独立凭证和自定义路由逻辑。团队花费工程周期建立连接,而不是构建智能体能力。访问控制变得分散,没有单一位置来强制执行哪些客户端可以访问哪些智能体。其结果是新智能体工作流上市速度变慢,来自不一致身份验证策略的安全风险增加,以及运营开销随网络中每个新智能体的加入而呈二次方增长。
网关模式通过在智能体前放置单个入口点来解决这一问题,无论它们是在 Amazon Elastic Container Service (Amazon ECS)、AWS Lambda、Amazon Bedrock AgentCore Runtime、非 AWS 云还是混合环境中运行。它集中处理路由并强制执行细粒度权限,而不会将团队绑定到特定的运行时、框架或编排层。此模式基于 Agent-to-Agent (A2A) 协议,该协议标准化了智能体之间的通信方式。没有中央编排器,20 个智能体的部署需要多达 190 个点对点连接。
在这篇文章中,您将学习如何在 AWS 上构建一个无服务器 A2A 网关,该网关使用基于路径的路由 (/agents/{agentId}) 在单个域后面托管多个智能体。标准的 A2A 客户端无需修改即可工作。该解决方案具有三层:
- 管理层:集中式智能体注册表,支持发现和语义搜索。
- 控制层:使用 JSON Web Token (JWT) 范围和 Lambda 授权器进行细粒度访问控制。
- 执行层:具有 OAuth 后端身份验证和服务器发送事件 (SSE) 流式传输支持的单域路由。
按照本文操作,您将部署一个由 Terraform 配置的网关,A2A 兼容的智能体可以连接到该网关。
架构概览
下图显示了网关的组件以及请求如何流经系统。Amazon API Gateway (REST API) 作为单入口点。该架构使用 REST API,因为 REST API 支持响应流式传输。流式传输对于基于 SSE 的实时智能体响应是必需的。Lambda 授权器检查 JWT 范围并生成 AWS Identity and Access Management (IAM) 策略。