Inicio/Blog/Agent Gateway
Infraestructura de Agentes

Cuando el API gateway se convierte en agent gateway

Un API gateway sabe que un cliente llamó POST /refunds. Un agent gateway también necesita saber quién delegó la tarea, qué agente eligió la herramienta, qué efecto se pretendía, cuánto budget queda y si el resultado puede activar otra acción.

El gateway de transporte es necesario, pero ya no suficiente

Los gateways tradicionales proporcionan TLS, autenticación, routing, load balancing, timeouts, reintentos, cuotas, WAF y telemetría. Todo sigue siendo esencial. El tráfico agentic añade operaciones semánticas sobre MCP, A2A, APIs de modelos, sesiones streaming y HTTP normal. La pregunta deja de ser “¿puede este cliente llamar esta ruta?” y pasa a “¿puede este agente descubrir e invocar esta capacidad para este usuario, tenant, tarea, objetivo y efecto?”

Un inference gateway es otra capa relacionada. Envoy AI Gateway y Kubernetes Gateway API Inference Extension añaden routing por modelo, abstracción de providers, límites por token, prioridad, rollout y optimización de serving. Un agent gateway va más allá de inferencia hacia agent-to-tool y agent-to-agent. Pueden compartir data plane, pero sus objetos de política son distintos.

DimensiónAPI gatewayInference gatewayAgent gateway
Objetos principalesRutas, métodos, clientes, servicios, headers y payloads.Modelos, providers, prompts, tokens, colas, aceleradores e inference pools.Agentes, usuarios, tenants, tareas, herramientas, skills, recursos, planes y efectos.
DiscoveryCatálogo estático u OpenAPI.Aliases de modelo y endpoints de serving.Tools, resources y prompts MCP filtrados, además de Agent Cards y skills A2A.
AutorizaciónScope de ruta o recurso, rol, claim, red y tenant.Entitlement de modelo, provider, clase de datos y coste.Sujeto delegado y agente actor, propósito, tool, objeto, argumentos, efecto y aprobación.
Rate limitingRequests, bytes, conexiones o cuota de negocio.Tokens, requests, capacidad, coste y prioridad.Tool calls, mutaciones, destinatarios, profundidad, agentes delegados, tokens, dinero y riesgo.
FiabilidadTimeouts, reintentos, circuit breakers y failover.Fallback de provider, colas, rollout y streaming.Efectos idempotentes, estado duradero, cancelación, espera, compensación y corte de loops.
AuditoríaRequest, identidad, ruta, estado y latencia.Modelo, provider, tokens, coste, latencia y finish reason.Intención, plan, tool, política, aprobación, argumentos, resultado y outcome de tarea.

Discovery es una decisión de seguridad

Las listas de herramientas y Agent Cards influyen en lo que el agente cree que puede hacer. El gateway no debe exponer todo el registry. Filtra discovery por usuario, agente, tenant, entorno, tarea, clasificación, región y aprobación. Devuelve solo capacidades potencialmente autorizables y vuelve a comprobar política al invocar.

El registry necesita procedencia: owner, protocolo, endpoint, schema, versión, signer, scopes, clasificación de entrada y salida, efectos, idempotencia, aprobación, egress, límites, dependencias y deprecación. Trata cambios en la descripción como cambios de contrato porque el modelo puede elegir distinto sin que cambie el endpoint.

Registry¿Qué tools, agentes, modelos, skills, schemas, owners, versiones y metadata de confianza existen?
Identidad¿Quién delegó, qué agente actúa, qué tenant está activo y para qué recurso se emitió el token?
Política¿Qué capacidad, argumento, objetivo, propósito, aprobación, clase de datos y riesgo están permitidos?
Evidencia¿Qué discovery, plan, call, ruta, decisión, output y acción downstream ocurrieron?

Cada call debe pasar por un pipeline de enforcement semántico

Ruta de una call en el agent gateway
01 DescubrirFiltrar capacidadesResuelve metadata, confianza del registry, tenant, propósito y visibilidad.
02 IdentificarVincular sujeto y actorValida usuario, agente, client, workload, tenant, audience, delegación, expiración y proof.
03 InterpretarEntender semánticaDecodifica operación MCP o A2A, modelo, tool, schema, argumentos, objetivos y efecto.
04 AutorizarEvaluar políticaComprueba relaciones, propósito, restricciones, datos, aprobación, región y segregación.
05 ReservarAsignar capacidad y riesgoReserva calls, tokens, coste, mutaciones, destinatarios, concurrencia, profundidad y tiempo.
06 EnrutarElegir upstream confiableSelecciona versión, inyecta credential upstream y aplica política de egress y protocolo.
07 ObservarRegistrar eventosCorrelaciona tarea, call, política, aprobación, ruta, stream, resultado, retry y downstream.
08 VerificarCerrar el cicloValida schema y poscondiciones, cobra uso, detiene loops, revoca autoridad y emite outcome.

Los tokens OAuth deben estar vinculados al recurso, no reenviarse

La especificación de autorización MCP exige protected resource metadata según RFC 9728 y enfatiza least privilege. La guía actual requiere validar que los tokens fueron emitidos para el recurso y prohíbe token passthrough. El gateway debe intercambiar u obtener un token downstream para el protected resource exacto, no reenviar uno amplio recibido del agente.

Conserva al usuario o servicio sujeto y al agente actor como identidades distintas. Credenciales breves deben limitarse a tarea, tool, tenant, objeto y operación. Si un agente delega en otro, la cadena sigue limitada y auditable; la delegación nunca amplía scope silenciosamente.

Los budgets necesitan más dimensiones que requests por segundo

Un agente puede respetar cuota de requests y aun producir comportamiento inaceptable: llamar una tool miles de veces, enviar mensajes, crear una cadena profunda, gastar tokens o repetir una mutación. Aplica límites por call, tarea, usuario, tenant, agente, tool, modelo y destino.

Reserva budgets antes de ejecutar y reconcilia uso real después. Incluye tokens, coste, calls, writes, registros, destinatarios, wall-clock, concurrencia, reintentos, profundidad y score de riesgo. Al exceder un umbral, pausa para aprobación en lugar de devolver solo HTTP 429 y fomentar retry automático.

Reintentos y fallback deben respetar el significado

Los reintentos de transporte son peligrosos con efectos. El gateway necesita metadata de idempotencia, idempotency key, errores retryable, compensación y poscondiciones. Fallback de provider puede servir para texto, pero estar prohibido cuando residencia, aprobación del modelo o compatibilidad difieren.

Streaming y tareas largas también necesitan política de sesión. Reautoriza tras cambios materiales de contexto, registry, aprobación o delegación. Cancelación y revocación deben propagarse a upstreams, no solo cerrar la conexión del cliente.

Los event logs deben explicar la tarea sin filtrarla

Correlaciona discovery, autorización, request de modelo, tool call, mensaje A2A, retry, aprobación y resultado bajo IDs de tarea y trace. OpenTelemetry ofrece convenciones para HTTP y GenAI, y las específicas de MCP evolucionan. Usa atributos estructurados en vez de tratar todo como POST opaco.

No almacenes prompts, argumentos, secretos u outputs indiscriminadamente. Registra schemas, hashes, clasificaciones, IDs, versiones de política, uso, decisiones y referencias protegidas. Operaciones necesita causalidad; un atacante no necesita un archivo de transcripciones.

Lo que construiría

Construiría un gateway con data plane HTTP y gRPC compartido y extensiones conscientes de APIs de modelos, MCP y A2A. El control plane gestionaría registry firmado, políticas, credential exchange, budgets, egress, aprobaciones, schemas y telemetría.

La vista principal reconstruiría una tarea entre agente, modelo, tool, API y agente downstream. Mostraría por qué cada capacidad apareció, por qué cada call se permitió, cómo cambió el budget, qué efectos ocurrieron y dónde se detuvo la ejecución.

El principio de diseño

Un agent gateway no debe decidir si el plan del modelo es inteligente. Debe hacer cada capacidad visible por política, cada identidad explícita, cada efecto limitado, cada retry semánticamente seguro y cada tarea reconstruible.