首页
/ Gloo Gateway中的gRPC透传认证机制深度解析

Gloo Gateway中的gRPC透传认证机制深度解析

2025-06-12 07:29:56作者:龚格成

引言

在现代微服务架构中,认证和授权是保障系统安全的重要环节。Gloo Gateway作为一款功能强大的API网关,提供了灵活的外部认证机制。本文将重点介绍Gloo Gateway Enterprise版本中的gRPC透传认证功能,这是一种通过外部gRPC服务实现认证的解决方案。

核心概念

gRPC透传认证基本原理

gRPC透传认证允许Gloo Gateway将认证请求直接转发给实现了Envoy授权服务API的外部gRPC服务。这种设计具有以下特点:

  1. 协议兼容性:完全兼容Envoy的授权服务API规范
  2. 灵活性:开发者可以自由实现认证逻辑
  3. 性能优势:gRPC协议的高效性保证了认证过程的低延迟

适用场景

这种认证方式特别适合以下场景:

  • 已有现成的gRPC认证服务
  • 需要实现复杂自定义认证逻辑
  • 对认证性能有较高要求

实战配置

环境准备

首先需要准备一个静态上游服务作为测试目标。以下是一个示例配置:

apiVersion: gloo.solo.io/v1
kind: Upstream
metadata:
  name: json-upstream
  namespace: gloo-system
spec:
  static:
    hosts:
    - addr: jsonplaceholder.typicode.com
      port: 80

部署gRPC认证服务

接下来部署一个示例gRPC认证服务,该服务运行在9001端口:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: extauth-grpcservice
spec:
  selector:
    matchLabels:
      app: grpc-extauth
  replicas: 1
  template:
    metadata:
      labels:
        app: grpc-extauth
    spec:
      containers:
        - name: grpc-extauth
          image: quay.io/solo-io/passthrough-grpc-service-example
          ports:
            - containerPort: 9001

同时创建对应的Service:

apiVersion: v1
kind: Service
metadata:
  name: example-grpc-auth-service
spec:
  ports:
  - port: 9001
    protocol: TCP
  selector:
      app: grpc-extauth

配置虚拟服务

创建基础虚拟服务,暂时不启用认证:

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: grpc-auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo-grpc'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system

启用gRPC透传认证

创建AuthConfig资源启用gRPC透传认证:

apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
  name: grpc-passthrough-auth
  namespace: gloo-system
spec:
  configs:
  - passThroughAuth:
      grpc:
        address: example-grpc-auth-service.default.svc.cluster.local:9001
        connectionTimeout: 3s

然后更新虚拟服务引用这个AuthConfig:

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: grpc-auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo-grpc'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system
    options:
      extauth:
        configRef:
          name: grpc-passthrough-auth
          namespace: gloo-system

高级配置

故障处理机制

gRPC透传认证支持灵活的故障处理策略:

  1. 故障开放模式:通过设置failureModeAllow: true,当认证服务不可用时允许请求通过
  2. 重试策略:可以配置指数退避重试机制
retryPolicy: 
  numRetries: 10
  retryBackOff:
    baseInterval: 1s
    maxInterval: 2s

状态共享

认证步骤间可以共享状态:

  1. 读取其他认证步骤的状态:通过CheckRequest FilterMetadata中的solo.auth.passthrough
  2. 写入状态供其他步骤使用:通过CheckResponse DynamicMetadata中的solo.auth.passthrough

自定义配置

可以向认证服务传递自定义配置:

config:
  customKey1: "value1"
  customKey2: true

这些配置可以通过CheckRequest FilterMetadata中的solo.auth.passthrough.config键获取。

测试验证

未认证请求测试

curl -H "Host: foo-grpc" $(glooctl proxy url)/posts/1

预期返回空结果,状态码403。

认证请求测试

示例认证服务要求请求头包含authorization: authorize me

curl -H "Host: foo-grpc" -H "authorization: authorize me" $(glooctl proxy url)/posts/1

预期返回正常响应。

监控与日志

日志查看

查看extauth服务的日志:

kubectl logs -n gloo-system deploy/extauth -f

成功加载配置后会看到日志:

"logger":"extauth","caller":"runner/run.go:179","msg":"got new config"

关键指标

  • 故障开放模式指标extauth.solo.io/passthrough_failure_bypass,记录因故障开放模式而放行的请求数

最佳实践

  1. 合理设置超时:根据业务需求调整connectionTimeout
  2. 实现健康检查:确保认证服务的高可用性
  3. 监控认证性能:关注认证延迟指标
  4. 考虑缓存机制:对频繁认证结果实施缓存

总结

Gloo Gateway的gRPC透传认证提供了一种灵活高效的认证集成方案。通过本文的详细介绍,开发者可以快速掌握如何配置和使用这一功能,实现与自定义认证服务的无缝集成。这种方案特别适合需要高度定制认证逻辑的场景,同时保持了良好的性能和可靠性。

登录后查看全文

相关内容推荐

热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
261
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
858
509
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
257
300
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
331
1.08 K
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
397
370
note-gennote-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。
TSX
83
4
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
kernelkernel
deepin linux kernel
C
22
5