cert-manager 网关监听器混合模式问题解析与解决方案

背景介绍

cert-manager 作为 Kubernetes 中广泛使用的证书管理工具，在 Gateway API 的支持方面提供了强大的功能。然而，在实际使用中，当用户尝试在同一个网关中同时配置 HTTPS 监听器（TLS 终止模式）和 TLS 监听器（透传模式）时，会遇到一些技术挑战。

问题现象

用户在使用 cert-manager 管理网关证书时，如果同时配置以下两种监听器类型：

1. HTTPS 监听器：使用 cert-manager 提供的证书进行 TLS 终止
2. TLS 监听器：配置为 TLS 透传模式（Passthrough）

会出现网关无法正常工作的情况。具体表现为：

• HTTPRoutes 关联的路由变得无响应
• 网关事件日志中出现错误提示："Skipped a listener block"
• 证书可能成功创建，但路由功能异常

技术分析

根本原因

cert-manager 的网关控制器在处理网关资源时，会对所有监听器进行检查。当遇到 TLS 透传模式的监听器时，当前实现会将其视为配置错误，因为：

1. 控制器期望所有 TLS 监听器都配置证书引用（certificateRefs）
2. 控制器仅支持 "Terminate" 模式，不支持 "Passthrough" 模式

这种严格的验证逻辑导致即使其他监听器配置正确，整个网关资源也会被标记为有问题。

底层机制

在 Kubernetes Gateway API 中：

• HTTPS 监听器通常用于 TLS 终止场景，由网关处理 TLS 加解密
• TLS 监听器在透传模式下，TLS 连接会直接传递给后端服务处理

这两种模式在实际场景中都有合法用途，cert-manager 应当能够区分处理，而不是将透传模式视为错误。

解决方案

临时解决方案

用户可以采用以下临时方案：

1. 分别创建两个独立的网关资源，各自处理不同类型的流量
2. 先创建 HTTPS 监听器并获取证书，然后添加 TLS 监听器并暂时禁用 cert-manager 注解
3. 通过服务路由将 HTTPS 网关流量导向 TLS 网关，只暴露一个负载均衡器 IP

长期解决方案

cert-manager 社区已经提出了修复方案（PR #6986），主要改进包括：

1. 跳过对 TLS 透传模式监听器的证书引用检查
2. 允许透传模式监听器与其他监听器共存
3. 仅对需要证书管理的监听器进行验证

该方案已包含在 cert-manager v1.18.0-alpha.0 预发布版本中，用户可以进行测试验证。

最佳实践建议

1. 对于生产环境，建议等待修复方案合并到稳定版本后再使用混合模式
2. 测试环境中可以尝试预发布版本进行验证
3. 密切关注网关控制器的日志事件，及时发现配置问题
4. 考虑使用独立的网关资源分离不同模式的流量处理，提高系统稳定性

总结

cert-manager 在网关证书管理方面提供了强大功能，但在处理混合模式监听器时存在局限性。通过理解问题本质和现有解决方案，用户可以更好地规划自己的网关架构。随着社区持续改进，未来版本将提供更完善的混合模式支持。