Gloo Gateway中的gRPC透传认证机制深度解析

2025-06-12 19:16:49作者：龚格成

引言

在现代微服务架构中，认证和授权是保障系统安全的重要环节。Gloo Gateway作为一款功能强大的API网关，提供了灵活的外部认证机制。本文将重点介绍Gloo Gateway Enterprise版本中的gRPC透传认证功能，这是一种通过外部gRPC服务实现认证的解决方案。

核心概念

gRPC透传认证基本原理

gRPC透传认证允许Gloo Gateway将认证请求直接转发给实现了Envoy授权服务API的外部gRPC服务。这种设计具有以下特点：

协议兼容性：完全兼容Envoy的授权服务API规范
灵活性：开发者可以自由实现认证逻辑
性能优势：gRPC协议的高效性保证了认证过程的低延迟

适用场景

这种认证方式特别适合以下场景：

已有现成的gRPC认证服务
需要实现复杂自定义认证逻辑
对认证性能有较高要求

实战配置

环境准备

首先需要准备一个静态上游服务作为测试目标。以下是一个示例配置：

apiVersion: gloo.solo.io/v1
kind: Upstream
metadata:
  name: json-upstream
  namespace: gloo-system
spec:
  static:
    hosts:
    - addr: jsonplaceholder.typicode.com
      port: 80

部署gRPC认证服务

接下来部署一个示例gRPC认证服务，该服务运行在9001端口：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: extauth-grpcservice
spec:
  selector:
    matchLabels:
      app: grpc-extauth
  replicas: 1
  template:
    metadata:
      labels:
        app: grpc-extauth
    spec:
      containers:
        - name: grpc-extauth
          image: quay.io/solo-io/passthrough-grpc-service-example
          ports:
            - containerPort: 9001

同时创建对应的Service：

apiVersion: v1
kind: Service
metadata:
  name: example-grpc-auth-service
spec:
  ports:
  - port: 9001
    protocol: TCP
  selector:
      app: grpc-extauth

配置虚拟服务

创建基础虚拟服务，暂时不启用认证：

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: grpc-auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo-grpc'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system

启用gRPC透传认证

创建AuthConfig资源启用gRPC透传认证：

apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
  name: grpc-passthrough-auth
  namespace: gloo-system
spec:
  configs:
  - passThroughAuth:
      grpc:
        address: example-grpc-auth-service.default.svc.cluster.local:9001
        connectionTimeout: 3s

然后更新虚拟服务引用这个AuthConfig：

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: grpc-auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo-grpc'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system
    options:
      extauth:
        configRef:
          name: grpc-passthrough-auth
          namespace: gloo-system

高级配置

故障处理机制

gRPC透传认证支持灵活的故障处理策略：

故障开放模式：通过设置failureModeAllow: true，当认证服务不可用时允许请求通过
重试策略：可以配置指数退避重试机制

retryPolicy: 
  numRetries: 10
  retryBackOff:
    baseInterval: 1s
    maxInterval: 2s

状态共享

认证步骤间可以共享状态：

读取其他认证步骤的状态：通过CheckRequest FilterMetadata中的solo.auth.passthrough键
写入状态供其他步骤使用：通过CheckResponse DynamicMetadata中的solo.auth.passthrough键

自定义配置

可以向认证服务传递自定义配置：

config:
  customKey1: "value1"
  customKey2: true

这些配置可以通过CheckRequest FilterMetadata中的solo.auth.passthrough.config键获取。

测试验证

未认证请求测试

curl -H "Host: foo-grpc" $(glooctl proxy url)/posts/1

预期返回空结果，状态码403。

认证请求测试

示例认证服务要求请求头包含authorization: authorize me：

curl -H "Host: foo-grpc" -H "authorization: authorize me" $(glooctl proxy url)/posts/1

预期返回正常响应。

监控与日志

日志查看

查看extauth服务的日志：

kubectl logs -n gloo-system deploy/extauth -f

成功加载配置后会看到日志：

"logger":"extauth","caller":"runner/run.go:179","msg":"got new config"

关键指标

故障开放模式指标：extauth.solo.io/passthrough_failure_bypass，记录因故障开放模式而放行的请求数

最佳实践

合理设置超时：根据业务需求调整connectionTimeout
实现健康检查：确保认证服务的高可用性
监控认证性能：关注认证延迟指标
考虑缓存机制：对频繁认证结果实施缓存

总结

Gloo Gateway的gRPC透传认证提供了一种灵活高效的认证集成方案。通过本文的详细介绍，开发者可以快速掌握如何配置和使用这一功能，实现与自定义认证服务的无缝集成。这种方案特别适合需要高度定制认证逻辑的场景，同时保持了良好的性能和可靠性。

登录后查看全文

项目优选

收起

kernel

deepin linux kernel

pytorch

Ascend Extension for PyTorch

Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台，包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分，采用java语言实现，可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用

本项目是CANN提供的数学类基础计算算子库，实现网络在NPU上加速计算。

🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer（第 2 版）》、《程序员面试金典（第 6 版）》题解