首页
/ Gloo Gateway中的gRPC透传认证机制深度解析

Gloo Gateway中的gRPC透传认证机制深度解析

2025-06-12 19:05:18作者:龚格成

引言

在现代微服务架构中,认证和授权是保障系统安全的重要环节。Gloo Gateway作为一款功能强大的API网关,提供了灵活的外部认证机制。本文将重点介绍Gloo Gateway Enterprise版本中的gRPC透传认证功能,这是一种通过外部gRPC服务实现认证的解决方案。

核心概念

gRPC透传认证基本原理

gRPC透传认证允许Gloo Gateway将认证请求直接转发给实现了Envoy授权服务API的外部gRPC服务。这种设计具有以下特点:

  1. 协议兼容性:完全兼容Envoy的授权服务API规范
  2. 灵活性:开发者可以自由实现认证逻辑
  3. 性能优势:gRPC协议的高效性保证了认证过程的低延迟

适用场景

这种认证方式特别适合以下场景:

  • 已有现成的gRPC认证服务
  • 需要实现复杂自定义认证逻辑
  • 对认证性能有较高要求

实战配置

环境准备

首先需要准备一个静态上游服务作为测试目标。以下是一个示例配置:

apiVersion: gloo.solo.io/v1
kind: Upstream
metadata:
  name: json-upstream
  namespace: gloo-system
spec:
  static:
    hosts:
    - addr: jsonplaceholder.typicode.com
      port: 80

部署gRPC认证服务

接下来部署一个示例gRPC认证服务,该服务运行在9001端口:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: extauth-grpcservice
spec:
  selector:
    matchLabels:
      app: grpc-extauth
  replicas: 1
  template:
    metadata:
      labels:
        app: grpc-extauth
    spec:
      containers:
        - name: grpc-extauth
          image: quay.io/solo-io/passthrough-grpc-service-example
          ports:
            - containerPort: 9001

同时创建对应的Service:

apiVersion: v1
kind: Service
metadata:
  name: example-grpc-auth-service
spec:
  ports:
  - port: 9001
    protocol: TCP
  selector:
      app: grpc-extauth

配置虚拟服务

创建基础虚拟服务,暂时不启用认证:

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: grpc-auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo-grpc'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system

启用gRPC透传认证

创建AuthConfig资源启用gRPC透传认证:

apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
  name: grpc-passthrough-auth
  namespace: gloo-system
spec:
  configs:
  - passThroughAuth:
      grpc:
        address: example-grpc-auth-service.default.svc.cluster.local:9001
        connectionTimeout: 3s

然后更新虚拟服务引用这个AuthConfig:

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: grpc-auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo-grpc'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system
    options:
      extauth:
        configRef:
          name: grpc-passthrough-auth
          namespace: gloo-system

高级配置

故障处理机制

gRPC透传认证支持灵活的故障处理策略:

  1. 故障开放模式:通过设置failureModeAllow: true,当认证服务不可用时允许请求通过
  2. 重试策略:可以配置指数退避重试机制
retryPolicy: 
  numRetries: 10
  retryBackOff:
    baseInterval: 1s
    maxInterval: 2s

状态共享

认证步骤间可以共享状态:

  1. 读取其他认证步骤的状态:通过CheckRequest FilterMetadata中的solo.auth.passthrough
  2. 写入状态供其他步骤使用:通过CheckResponse DynamicMetadata中的solo.auth.passthrough

自定义配置

可以向认证服务传递自定义配置:

config:
  customKey1: "value1"
  customKey2: true

这些配置可以通过CheckRequest FilterMetadata中的solo.auth.passthrough.config键获取。

测试验证

未认证请求测试

curl -H "Host: foo-grpc" $(glooctl proxy url)/posts/1

预期返回空结果,状态码403。

认证请求测试

示例认证服务要求请求头包含authorization: authorize me

curl -H "Host: foo-grpc" -H "authorization: authorize me" $(glooctl proxy url)/posts/1

预期返回正常响应。

监控与日志

日志查看

查看extauth服务的日志:

kubectl logs -n gloo-system deploy/extauth -f

成功加载配置后会看到日志:

"logger":"extauth","caller":"runner/run.go:179","msg":"got new config"

关键指标

  • 故障开放模式指标extauth.solo.io/passthrough_failure_bypass,记录因故障开放模式而放行的请求数

最佳实践

  1. 合理设置超时:根据业务需求调整connectionTimeout
  2. 实现健康检查:确保认证服务的高可用性
  3. 监控认证性能:关注认证延迟指标
  4. 考虑缓存机制:对频繁认证结果实施缓存

总结

Gloo Gateway的gRPC透传认证提供了一种灵活高效的认证集成方案。通过本文的详细介绍,开发者可以快速掌握如何配置和使用这一功能,实现与自定义认证服务的无缝集成。这种方案特别适合需要高度定制认证逻辑的场景,同时保持了良好的性能和可靠性。

登录后查看全文

相关内容推荐

1 Solo-io/gloo项目中的gRPC Web支持配置指南2 在Solo.io Gloo中实现gRPC服务路由配置指南3 Gloo Gateway中的GraphQL自动模式发现机制解析4 Gloo Gateway 中的 mTLS 模式详解与配置指南5 Solo-io/gloo 混合网关配置深度解析6 Gloo Gateway 常见问题深度解析7 Gloo Gateway 核心集成功能深度解析8 使用Solo.io Gloo实现请求头的外部处理与修改9 Gloo Gateway 流量管理核心技术解析10 Gloo Gateway与Istio服务网格集成指南
热门项目推荐

热门内容推荐

1 【亲测免费】 开源项目 `build-your-own-x` 使用指南2 【亲测免费】 探索科技之旅:《Build Your Own X》项目详解3 GitHub_Trending/bu/build-your-own-x自动化:CI/CD流程在自制项目中的应用4 从零打造智能家居系统:用build-your-own-x实现家庭自动化

最新内容推荐

pi-mono自定义工具开发实战指南:从入门到精通3个实时风控价值:Flink CDC+ClickHouse在金融反欺诈的实时监测指南Docling 实用指南:从核心功能到配置实践自动化票务处理系统在高并发抢票场景中的技术实现:从手动抢购痛点到智能化解决方案OpenCore Legacy Patcher显卡驱动适配指南:让老Mac焕发新生7个维度掌握Avalonia:跨平台UI框架从入门到架构师Warp框架安装部署解决方案:从环境诊断到容器化实战指南突破移动瓶颈:kkFileView的5层适配架构与全场景实战指南革新智能交互:xiaozhi-esp32如何实现百元级AI对话机器人如何打造专属AI服务器?本地部署大模型的全流程实战指南

项目优选

收起
kernelkernel
deepin linux kernel
C
27
12
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
601
4.04 K
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
69
21
pytorchpytorch
Ascend Extension for PyTorch
Python
441
531
AscendNPU-IRAscendNPU-IR
AscendNPU-IR是基于MLIR(Multi-Level Intermediate Representation)构建的,面向昇腾亲和算子编译时使用的中间表示,提供昇腾完备表达能力,通过编译优化提升昇腾AI处理器计算效率,支持通过生态框架使能昇腾AI处理器与深度调优
C++
112
170
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.46 K
825
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
922
770
flutter_flutterflutter_flutter
暂无简介
Dart
847
204
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
321
375
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
174
249