Envoy Gateway 实战:配置后端服务 TLS 加密通信

最新推荐文章于 2025-06-27 09:05:11 发布
最新推荐文章于 2025-06-27 09:05:11 发布
阅读量373 收藏 5
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00656/article/details/148941335

Envoy Gateway 实战:配置后端服务 TLS 加密通信

前言

在现代微服务架构中,服务间的安全通信至关重要。本文将详细介绍如何在 Envoy Gateway 中为后端服务配置 TLS 加密通信,确保网关与后端服务之间的数据传输安全。

TLS 基础概念

TLS(Transport Layer Security)是一种加密协议,用于在网络通信中提供隐私和数据完整性。在 Envoy Gateway 中配置后端 TLS 可以实现:

  1. 数据加密传输
  2. 服务身份验证
  3. 防止中间人攻击

准备工作

在开始配置前,需要准备以下工具和环境:

  1. OpenSSL 工具链(用于创建证书)
  2. 已安装 Envoy Gateway 的 Kubernetes 集群
  3. 基本的 Kubernetes 管理权限

证书创建与配置

1. 创建 CA 根证书

首先需要创建自签名的 CA 根证书,用于后续签发服务证书:

openssl req -x509 -sha256 -nodes -days 365 \
  -newkey rsa:2048 \
  -subj '/O=example Inc./CN=example.com' \
  -keyout ca.key -out ca.crt

2. 创建服务证书

为后端服务 www.example.com 创建证书:

# 创建 OpenSSL 配置文件
cat > openssl.conf <<EOF
[req]
req_extensions = v3_req
prompt = no

[v3_req]
keyUsage = keyEncipherment, digitalSignature
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.example.com
EOF

# 生成证书签名请求和私钥
openssl req -out www.example.com.csr \
  -newkey rsa:2048 -nodes \
  -keyout www.example.com.key \
  -subj "/CN=www.example.com/O=example organization"

# 使用 CA 签发证书
openssl x509 -req -days 365 \
  -CA ca.crt -CAkey ca.key -set_serial 0 \
  -in www.example.com.csr -out www.example.com.crt \
  -extfile openssl.conf -extensions v3_req

3. 存储证书到 Kubernetes

将创建的证书存储为 Kubernetes Secret:

kubectl create secret tls example-cert \
  --key=www.example.com.key \
  --cert=www.example.com.crt

kubectl create configmap example-ca \
  --from-file=ca.crt

配置后端服务 TLS

1. 更新后端部署

修改现有后端部署,挂载 TLS 证书:

kubectl patch deployment backend --type=json --patch '
[
  {
    "op": "add",
    "path": "/spec/template/spec/containers/0/volumeMounts",
    "value": [
      {
        "name": "secret-volume",
        "mountPath": "/etc/secret-volume"
      }
    ]
  },
  {
    "op": "add",
    "path": "/spec/template/spec/volumes",
    "value": [
      {
        "name": "secret-volume",
        "secret": {
          "secretName": "example-cert",
          "items": [
            {
              "key": "tls.crt",
              "path": "crt"
            },
            {
              "key": "tls.key",
              "path": "key"
            }
          ]
        }
      }
    ]
  },
  {
    "op": "add",
    "path": "/spec/template/spec/containers/0/env/-",
    "value": {
      "name": "TLS_SERVER_CERT",
      "value": "/etc/secret-volume/crt"
    }
  },
  {
    "op": "add",
    "path": "/spec/template/spec/containers/0/env/-",
    "value": {
      "name": "TLS_SERVER_PRIVKEY",
      "value": "/etc/secret-volume/key"
    }
  }
]'

2. 创建 TLS 后端服务

暴露后端服务的 443 端口:

apiVersion: v1
kind: Service
metadata:
  labels:
    app: backend
    service: backend
  name: tls-backend
  namespace: default
spec:
  selector:
    app: backend
  ports:
  - name: https
    port: 443
    protocol: TCP
    targetPort: 8443

配置 BackendTLSPolicy

使用 BackendTLSPolicy 资源告诉 Envoy Gateway 如何与 TLS 后端建立安全连接:

apiVersion: gateway.networking.k8s.io/v1alpha3
kind: BackendTLSPolicy
metadata:
  name: enable-backend-tls
  namespace: default
spec:
  targetRefs:
  - group: ''
    kind: Service
    name: tls-backend
    sectionName: "443"
  validation:
    caCertificateRefs:
    - name: example-ca
      group: ''
      kind: ConfigMap
    hostname: www.example.com

更新 HTTPRoute

修改现有 HTTPRoute,指向新的 TLS 后端服务:

kubectl patch HTTPRoute backend --type=json --patch '
[
  {
    "op": "replace",
    "path": "/spec/rules/0/backendRefs/0/port",
    "value": 443
  },
  {
    "op": "replace",
    "path": "/spec/rules/0/backendRefs/0/name",
    "value": tls-backend
  }
]'

验证配置

1. 检查 HTTPRoute 状态

kubectl get HTTPRoute backend -o yaml

2. 测试 TLS 连接

根据环境选择以下测试方式之一:

有外部负载均衡器的情况
export GATEWAY_HOST=$(kubectl get gateway/eg -o jsonpath='{.status.addresses[0].value}')
curl -v -HHost:www.example.com \
  --resolve "www.example.com:80:${GATEWAY_HOST}" \
  http://www.example.com:80/get
无负载均衡器的情况
export ENVOY_SERVICE=$(kubectl get svc -n envoy-gateway-system \
  --selector=gateway.envoyproxy.io/owning-gateway-namespace=default,gateway.envoyproxy.io/owning-gateway-name=eg \
  -o jsonpath='{.items[0].metadata.name}')

kubectl -n envoy-gateway-system port-forward service/${ENVOY_SERVICE} 80:80 &

curl -v -HHost:www.example.com \
  --resolve "www.example.com:80:127.0.0.1" \
  http://www.example.com:80/get

成功响应应包含 TLS 握手详情:

{
  "tls": {
    "version": "TLSv1.2",
    "serverName": "www.example.com",
    "negotiatedProtocol": "http/1.1",
    "cipherSuite": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
  }
}

高级配置:自定义 TLS 参数

Envoy Gateway 允许通过 EnvoyProxy 资源自定义 TLS 参数。例如,强制使用 TLS 1.3:

1. 更新 GatewayClass

apiVersion: gateway.networking.k8s.io/v1
kind: GatewayClass
metadata:
  name: eg
spec:
  controllerName: gateway.envoyproxy.io/gatewayclass-controller
  parametersRef:
    group: gateway.envoyproxy.io
    kind: EnvoyProxy
    name: custom-proxy-config
    namespace: envoy-gateway-system

2. 创建 EnvoyProxy 配置

apiVersion: gateway.envoyproxy.io/v1alpha1
kind: EnvoyProxy
metadata:
  name: custom-proxy-config
  namespace: envoy-gateway-system
spec:
  backendTLS:
    minVersion: "1.3"

3. 验证 TLS 1.3 配置

再次测试连接,应看到 TLS 版本已升级:

{
  "tls": {
    "version": "TLSv1.3",
    "serverName": "www.example.com",
    "negotiatedProtocol": "http/1.1",
    "cipherSuite": "TLS_AES_128_GCM_SHA256"
  }
}

安全建议

  1. 生产环境应使用正规 CA 签发的证书
  2. 定期轮换证书和密钥
  3. 监控证书过期时间
  4. 考虑使用服务网格提供的自动 mTLS 功能

总结

本文详细介绍了在 Envoy Gateway 中为后端服务配置 TLS 加密通信的全过程,包括证书创建、后端服务配置、BackendTLSPolicy 应用以及高级 TLS 参数定制。通过实施这些配置,可以显著提升服务间通信的安全性。

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

后端 Gateway 配置技巧:让你的服务更灵活
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-27 675
本文旨在为开发者和架构师提供一套完整的后端Gateway配置方法论,涵盖从基础路由配置到高级流量管理技巧的全方位内容。我们将重点讨论如何通过灵活配置Gateway来提升系统的可扩展性、可靠性和安全性。本文首先介绍Gateway的基本概念和工作原理,然后深入探讨各种配置技巧,包括路由、负载均衡、服务发现等核心功能。接着通过实际案例展示这些技巧的应用,最后讨论未来发展趋势和挑战。:系统的统一入口,负责请求路由、协议转换、安全控制等功能的中间件服务发现:动态检测和注册后端服务实例的机制熔断器。
后端领域 Gateway服务治理的重要性
架构师的AI之路,分享AI应用开发架构的学习与实践。
05-08 837
本文旨在系统性地阐述API网关在后端服务治理体系中的关键作用和技术实现。我们将覆盖网关的核心功能、架构设计、实现原理以及在微服务环境中的实际应用场景。特别关注网关如何解决服务治理中的常见挑战,如流量管理、安全防护和服务编排等问题。文章首先介绍网关的基本概念和服务治理的背景知识,然后深入分析网关的核心架构和关键技术。接着通过具体代码示例展示实现细节,讨论实际应用场景,最后展望未来发展趋势。每个章节都包含详细的技术分析和实践指导。:系统的统一入口,负责请求路由、协议转换、安全控制等功能的中间件。
跟我学EnvoyGateway配置 TLS 透传
进击的Blazor
12-05 362
在 K8s 环境下,TLS 透传有着重要的应用场景。本文将详细介绍通过 Envoy Gateway 配置 TLS 透传所需的步骤,帮助使用者理解如何让应用自身去终止 TLS 连接,而网关依据 SNI 头将请求路由到应用。按照快速入门任务中的步骤安装 Envoy Gateway 以及示例清单。在继续操作前,应当能够使用 HTTP 来查询示例后端。需使用 OpenSSL 来生成 TLS 相关资源。通过网关(例如 Envoy 代理)对示例应用发起。
Envoy Gateway实战:基于IP地址的访问控制策略配置指南
gitblog_00523的博客
06-27 413
Envoy Gateway实战:基于IP地址的访问控制策略配置指南 前言 在现代云原生架构中,API网关作为流量入口,其安全控制能力至关重要。Envoy Gateway作为基于Envoy代理实现的Kubernetes原生API网关,提供了强大的IP访问控制功能。本文将详细介绍如何在Envoy Gateway配置IP白名单/黑名单,实现对后端服务的精细化访问控制。 核心概念解析 1. Securi...
Envoy 介绍:现代服务通信的高性能代理
velock的博客
05-03 1162
Envoy是一个由 Lyft 开发并捐献给 CNCF(云原生计算基金会)的开源高性能代理,专为服务通信场景设计,支持 L4/L7 层协议,具备可扩展、高可用、可观测的特性。应用程序和服务之间的服务代理(sidecar)统一流量出口的网关(gateway)多协议的边缘代理(edge proxy)服务网格的核心数据面组件(如 Istio)
跟我学 EnvoyGateway配置 TCP 流量的TLS 终止模式
进击的Blazor
12-05 1011
本文将详细介绍通过 Envoy Gateway 为 TCP 流量配置 TLS 终止模式所需的步骤,需注意的是,此任务使用自签名 CA,仅应用于测试和演示目的。按照快速入门任务中的步骤安装 Envoy Gateway 以及示例清单。在继续操作前,应当能够使用 HTTP 来查询示例后端。需使用 OpenSSL 来生成 TLS 相关资源。
跟我学EnvoyGatewayEnvoy Gateway资源概述
进击的Blazor
12-02 577
在Kubernetes中,有多种资源可用于满足入口流量处理需求。本文将简要介绍相关资源。
Istio系列学习(十)----Istio的服务网关配置:Gateway
我在深圳的这些日子的博客
01-26 7523
一、定义 gateway和VirtualService的关系 gateway:定义了服务从外面怎么访问,在入口处对服务进行统一治理。 VirtualService:定义了匹配到的内部服务怎么流转。 二、gateway配置实例 含义:外部通过80端口访问网格内的服务 gateway配置如图: 配合gateway的使用,修改VirtualService,在host上匹配gateway上请求的主机名,并通过gateways字段关联定义的gateway对象。 VirtualService的定义如图 三、gat
Kubernetes服务网格实战:从理论到落地
TechEnthusiast的博客
02-03 311
服务网格是一个基础设施层,用于处理服务通信,实现可靠的请求分发,同时提供可观察性、流量管理、安全性和策略等功能。它通常由一组轻量级网络代理组成,与应用程序代码部署在一起,但对应用透明。Istio是目前最流行的开源服务网格解决方案之一。它提供了一种统一的方式来管理、连接和保护微服务服务网格技术,特别是Istio,为微服务架构带来了强大的流量管理、安全和可观察性能力。通过本文的实践,我们不仅理解了服务网格的核心概念,还掌握了在Kubernetes环境中部署和使用Istio的基本技能。
服务架构构建的完整路径:四大系统方法总结
热门推荐
张彦峰的博客
12-25 171万+
本文介绍了构建微服务架构的系统方法,重点从四个方面展开讨论:服务模型、实现技术、基础设施和研发过程。首先,通过服务建模方法和服务拆分与集成策略,阐述了如何设计微服务架构。接着,探讨了关键技术实现,包括服务通信、事件驱动、负载均衡、API网关等。基础设施方面,文章涵盖了测试、交付部署、监控与安全等重要内容。最后,本文讨论了微服务架构转型过程中的组织和文化调整,以及如何通过敏捷开发、DevOps等实践推动研发过程的优化。通过这些内容,本文为构建高效、可扩展的微服务架构提供了全面的指导与实用的建议。
Envoy Ingress Gateway的安装与配置
Envoy Ingress Gateway是一个高性能的边缘代理服务器,用于管理和路由网络流量到后端服务。作为Kubernetes中的Ingress Controller,Envoy Ingress Gateway可以在集群中接收外部请求,并将流量路由到不同的服务。 ...
ERP系统客户与供应商信息视图创建:Oracle数据库中客户和供应商数据整合查询设计
最新发布
07-24
内容概要:本文档定义了一个名为 `xxx_SCustSuplier_info` 的视图,用于整合和展示客户(Customer)和供应商(Supplier)的相关信息。视图通过连接多个表来获取组织单位、客户账户、站点使用、位置、财务代码组合等数据。对于客户部分,视图选择了与账单相关的记录,并提取了账单客户ID、账单站点ID、客户名称、账户名称、站点代码、状态、付款条款等信息;对于供应商部分,视图选择了有效的供应商及其站点信息,包括供应商ID、供应商名称、供应商编号、状态、付款条款、财务代码组合等。视图还通过外连接确保即使某些字段为空也能显示相关信息。 适合人群:熟悉Oracle ERP系统,尤其是应付账款(AP)和应收账款(AR)模块的数据库管理员或开发人员;需要查询和管理客户及供应商信息的业务分析师。 使用场景及目标:① 数据库管理员可以通过此视图快速查询客户和供应商的基本信息,包括账单信息、财务代码组合等;② 开发人员可以利用此视图进行报表开发或数据迁移;③ 业务分析师可以使用此视图进行数据分析,如信用评估、付款周期分析等。 阅读建议:由于该视图涉及多个表的复杂连接,建议读者先熟悉各个表的结构和关系,特别是 `hz_parties`、`hz_cust_accounts`、`ap_suppliers` 等核心表。此外,注意视图中使用的外连接(如 `gl_code_combinations_kfv` 表的连接),这可能会影响查询结果的完整性。
旋转坐标系下基于超稳定性的模型参考自适应控制与角度估算 - 超稳定性
07-24
内容概要:本文探讨了在旋转坐标系中利用模型参考自适应控制(MRAC)进行角度估算的方法。首先介绍了旋转坐标系下的模型及其面临的挑战,随后阐述了MRAC的基本概念和核心思想,即通过已知参考模型调整控制系统以应对未知变化。接着重点讲解了超稳定性设计,确保系统在外扰下迅速恢复稳定。然后深入讨论了自适应率的设计与实现,这是实现精确角度估算的关键环节。最后,文章通过代码与算法分析展示了具体实现细节,并展望了该方法在未来机器人技术和航空航天领域的广泛应用前景。 适合人群:从事自动化控制、机器人技术、航空航天等领域研究的专业人士和技术爱好者。 使用场景及目标:适用于需要在复杂动态环境下实现高精度角度测量和控制的项目,旨在提高系统的稳定性和响应速度。 其他说明:文中涉及大量数学运算和逻辑判断,建议读者具备一定的控制理论基础和编程经验,以便更好地理解和实践相关技术。
基于国产M0核MCU的风机量产程序与FOC电机控制开发方案 - FOC控制 全集
07-24
基于国产M0核MCU平台的风机量产程序及其FOC电机控制开发方案。主要内容涵盖龙博格电机观测器、SVPWM、顺逆风启动策略、五段式与七段式调制方法以及3电阻采样技术。文中提供了具体的源码实现细节,包括PWM中断处理、电流重构、观测器更新、风速检测逻辑和调制模式切换等。此外,还讨论了硬件抽象层的设计,确保代码可以在其他MCU平台上轻松移植。 适合人群:从事电机控制开发的技术人员,特别是对FOC控制算法和嵌入式系统有一定了解的研发人员。 使用场景及目标:①深入理解FOC电机控制的具体实现;②掌握顺逆风启动策略的应用;③学习如何优化PWM调制模式以降低电流谐波失真;④探索龙博格观测器的实际应用及性能优化。 其他说明:本文不仅提供理论指导,还附带完整的源码实现,便于实际项目中的应用和测试。同时,硬件抽象层的设计使得代码具有良好的可移植性,能够快速适配不同的MCU平台。
易语言Jlink烧录程序源码:实现自动化一键调试与多芯片烧录功能
07-24
内容概要:本文介绍了易语言Jlink烧录程序的开发过程及其源码实现。该程序旨在通过调用JLinkARM.dll文件,实现对指定J-Link的控制,进而完成自动化一键调试、烧录软件、通讯测试、设备校准等功能。文中详细讲解了工具的工作原理、集成与调用方式、代码实现步骤,并探讨了未来功能扩展的可能性。当前版本已实现选择J-Link序列号、芯片型号、烧录地址和烧录文件的一拖一烧录功能,未来计划增加一拖多烧录、烧录序列号管理和出厂配对数据等功能。 适合人群:嵌入式系统开发者、硬件工程师、自动化调试工程师。 使用场景及目标:适用于ARM内核芯片的量产烧录,帮助提高生产效率,减少人工干预,提升产品质量。 其他说明:该工具不仅限于特定芯片,理论上所有J-Link支持的ARM内核芯片均可使用。
Comsol仿真下弯曲光纤与波导模式分析及损耗计算方法探讨
07-24
使用Comsol软件进行弯曲光纤和波导的模式分析及损耗计算的方法。首先简述了Comsol软件的功能及其在光纤弯曲问题上的应用价值。接着,逐步指导读者如何在Comsol中构建三维模型,设置关键参数(如材料属性、几何尺寸)并定义光源位置。随后,重点讲解了光在弯曲光纤内的传播模式变化规律,解释了不同模式对光传输质量的影响机制。最后,阐述了通过编写代码调用Comsol内置函数完成损耗估算的具体流程,展示了弯曲程度、材料特性等因素对损耗量的影响关系。 适用人群:从事光学工程、通信技术领域的科研工作者和技术人员,尤其是那些希望深入了解光纤内部光行为特性的专业人士。 使用场景及目标:适用于需要评估光纤弯曲对其性能影响的研究项目;旨在提高对光纤设计原理的理解,优化实际产品性能。 其他说明:文中不仅提供了理论知识,还包含了具体的建模步骤和编程技巧,使读者能够在实践中掌握相关技能。
基于粒子群算法优化BP神经网络的多变量输入单输出回归预测模型Matlab实现
07-24
内容概要:本文介绍了一种基于粒子群算法(PSO)优化BP神经网络(PSO-BP)的多变量输入单输出回归预测模型,并详细阐述了其在Matlab环境下的实现方法。文中首先介绍了BP神经网络的基本概念及其在多变量输入单输出回归预测中的应用背景,指出BP神经网络参数调整的复杂性和挑战。接着,提出了利用粒子群算法优化BP神经网络参数的方法,通过模拟鸟群觅食行为进行全局寻优,找到最佳参数组合。最后,给出了具体的Matlab代码实现步骤,包括数据准备、BP神经网络构建、粒子群算法实现以及模型训练与测试。 适合人群:具有一定机器学习和Matlab编程基础的研究人员和技术开发者。 使用场景及目标:适用于需要解决多变量输入单输出回归预测问题的实际应用场景,如金融预测、工业控制等领域。目标是通过优化BP神经网络参数,提升模型的预测精度和稳定性。 阅读建议:读者可以通过本文详细了解PSO-BP模型的工作原理和实现细节,在实践中不断调整参数配置,以适应不同的业务需求。同时,建议结合实际案例进行深入研究,进一步探索模型的潜力和局限性。
MATLAB语音识别系统:基于GUI的数字0-9识别及深度学习模型应用 · GUI v1.2
07-24
内容概要:本文介绍了一款基于MATLAB的语音识别系统,主要功能是识别数字0到9。该系统采用图形用户界面(GUI),方便用户操作,并配有详尽的代码注释和开发报告。文中详细描述了系统的各个组成部分,包括音频采集、信号处理、特征提取、模型训练和预测等关键环节。此外,还讨论了MATLAB在此项目中的优势及其面临的挑战,如提高识别率和处理背景噪音等问题。最后,通过对各模块的工作原理和技术细节的总结,为未来的研究和发展提供了宝贵的参考资料。 适合人群:对语音识别技术和MATLAB感兴趣的初学者、学生或研究人员。 使用场景及目标:适用于希望深入了解语音识别技术原理的人群,特别是希望通过实际案例掌握MATLAB编程技巧的学习者。目标是在实践中学习如何构建简单的语音识别应用程序。 其他说明:该程序需要MATLAB 2019b及以上版本才能正常运行,建议使用者确保软件环境符合要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汤中岱Wonderful

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值