Higress 2.0.6-rc.3 版本中 TLS 证书导致的网关监听异常问题分析

在 Higress 2.0.6-rc.3 版本中，用户反馈了一个关于网关监听端口的异常现象：当配置了 TLS 证书的路由规则后，Higress Gateway 会在一段时间后停止监听 80 和 443 端口。本文将深入分析这一问题的原因、影响范围以及解决方案。

问题现象

用户在使用 Helm 安装 Higress 2.0.6-rc.3 版本后，初始状态下 Higress Gateway 能够正常监听 80 和 443 端口。然而，当用户在控制台创建带有 TLS 证书配置的路由规则后，几分钟内网关就会停止监听这两个关键端口。

通过 netstat 命令检查，发现此时网关仅监听 15000、15004、15021 和 15090 等 Istio 相关端口，而不再监听标准的 HTTP/HTTPS 端口。删除对应的 Ingress 资源后，网关服务又恢复正常。

问题排查

1. 日志分析：检查 Higress Controller 日志未发现明显错误，系统正常运行
2. 配置检查：通过 envoy 的 config_dump 接口获取配置信息，发现当问题发生时路由配置为空
3. 证书验证：控制台能够正常解析证书内容和有效期，证书格式看似正常
4. 版本验证：在 2.0.6 正式版中该问题已得到修复

问题原因

经过 Higress 开发团队确认，这是 2.0.6-rc.3 版本中存在的一个已知 bug。当系统处理带有 TLS 证书配置的路由规则时，会导致网关监听端口的异常行为。具体来说：

1. 证书处理逻辑中存在边界条件未正确处理
2. 异常处理机制不够完善，导致整个监听器被关闭而非仅拒绝问题证书
3. 错误传播机制存在问题，未能正确记录和报告证书相关错误

解决方案

对于遇到此问题的用户，建议采取以下措施：

1. 升级版本：将 Higress 升级到 2.0.6 正式版，该版本已修复此问题
2. 临时规避：如果暂时无法升级，可以避免使用 TLS 证书配置，或者删除导致问题的特定路由规则
3. 证书检查：确保使用的证书格式正确，包括：
   • 证书链完整
   • 私钥匹配
   • 证书未过期
   • 域名匹配

技术启示

这个问题提醒我们在使用服务网格和 API 网关时需要注意：

1. 版本选择：生产环境应尽量避免使用 RC 版本，选择经过充分测试的稳定版本
2. 监控机制：应该建立完善的端口监听状态监控，及时发现类似异常
3. 渐进式部署：新增配置特别是安全相关配置时，建议采用渐进式部署策略
4. 日志收集：确保收集足够详细的日志信息，便于问题排查

Higress 作为阿里巴巴开源的云原生网关，其稳定性和可靠性对于生产环境至关重要。遇到类似问题时，及时与社区沟通并升级到修复版本是最佳实践。