Gloo Gateway中的gRPC透传认证机制深度解析

引言

在现代微服务架构中，认证和授权是保障系统安全的重要环节。Gloo Gateway作为一款功能强大的API网关，提供了灵活的外部认证机制。本文将重点介绍Gloo Gateway Enterprise版本中的gRPC透传认证功能，这是一种通过外部gRPC服务实现认证的解决方案。

核心概念

gRPC透传认证基本原理

gRPC透传认证允许Gloo Gateway将认证请求直接转发给实现了Envoy授权服务API的外部gRPC服务。这种设计具有以下特点：

1. 协议兼容性：完全兼容Envoy的授权服务API规范
2. 灵活性：开发者可以自由实现认证逻辑
3. 性能优势：gRPC协议的高效性保证了认证过程的低延迟

适用场景

这种认证方式特别适合以下场景：

• 已有现成的gRPC认证服务
• 需要实现复杂自定义认证逻辑
• 对认证性能有较高要求

实战配置

环境准备

首先需要准备一个静态上游服务作为测试目标。以下是一个示例配置：

apiVersion: gloo.solo.io/v1
kind: Upstream
metadata:
  name: json-upstream
  namespace: gloo-system
spec:
  static:
    hosts:
    - addr: jsonplaceholder.typicode.com
      port: 80

部署gRPC认证服务

接下来部署一个示例gRPC认证服务，该服务运行在9001端口：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: extauth-grpcservice
spec:
  selector:
    matchLabels:
      app: grpc-extauth
  replicas: 1
  template:
    metadata:
      labels:
        app: grpc-extauth
    spec:
      containers:
        - name: grpc-extauth
          image: quay.io/solo-io/passthrough-grpc-service-example
          ports:
            - containerPort: 9001

同时创建对应的Service：

apiVersion: v1
kind: Service
metadata:
  name: example-grpc-auth-service
spec:
  ports:
  - port: 9001
    protocol: TCP
  selector:
      app: grpc-extauth

配置虚拟服务

创建基础虚拟服务，暂时不启用认证：

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: grpc-auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo-grpc'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system

启用gRPC透传认证

创建AuthConfig资源启用gRPC透传认证：

apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
  name: grpc-passthrough-auth
  namespace: gloo-system
spec:
  configs:
  - passThroughAuth:
      grpc:
        address: example-grpc-auth-service.default.svc.cluster.local:9001
        connectionTimeout: 3s

然后更新虚拟服务引用这个AuthConfig：

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: grpc-auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo-grpc'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system
    options:
      extauth:
        configRef:
          name: grpc-passthrough-auth
          namespace: gloo-system

高级配置

故障处理机制

gRPC透传认证支持灵活的故障处理策略：

1. 故障开放模式：通过设置failureModeAllow: true，当认证服务不可用时允许请求通过
2. 重试策略：可以配置指数退避重试机制

retryPolicy: 
  numRetries: 10
  retryBackOff:
    baseInterval: 1s
    maxInterval: 2s

状态共享

认证步骤间可以共享状态：

1. 读取其他认证步骤的状态：通过CheckRequest FilterMetadata中的solo.auth.passthrough键
2. 写入状态供其他步骤使用：通过CheckResponse DynamicMetadata中的solo.auth.passthrough键

自定义配置

可以向认证服务传递自定义配置：

config:
  customKey1: "value1"
  customKey2: true

这些配置可以通过CheckRequest FilterMetadata中的solo.auth.passthrough.config键获取。

测试验证

未认证请求测试

curl -H "Host: foo-grpc" $(glooctl proxy url)/posts/1

预期返回空结果，状态码403。

认证请求测试

示例认证服务要求请求头包含authorization: authorize me：

curl -H "Host: foo-grpc" -H "authorization: authorize me" $(glooctl proxy url)/posts/1

预期返回正常响应。

监控与日志

日志查看

查看extauth服务的日志：

kubectl logs -n gloo-system deploy/extauth -f

成功加载配置后会看到日志：

"logger":"extauth","caller":"runner/run.go:179","msg":"got new config"

关键指标

• 故障开放模式指标：extauth.solo.io/passthrough_failure_bypass，记录因故障开放模式而放行的请求数

最佳实践

1. 合理设置超时：根据业务需求调整connectionTimeout
2. 实现健康检查：确保认证服务的高可用性
3. 监控认证性能：关注认证延迟指标
4. 考虑缓存机制：对频繁认证结果实施缓存

总结

Gloo Gateway的gRPC透传认证提供了一种灵活高效的认证集成方案。通过本文的详细介绍，开发者可以快速掌握如何配置和使用这一功能，实现与自定义认证服务的无缝集成。这种方案特别适合需要高度定制认证逻辑的场景，同时保持了良好的性能和可靠性。