Envoy Gateway中实现AWS NLB的TLS终止与HTTP后端通信

在云原生架构中，TLS终止是常见的网络配置模式。本文将详细介绍如何在Envoy Gateway项目中，通过AWS Network Load Balancer (NLB)实现TLS终止，并将解密后的HTTP流量转发至后端服务的完整方案。

核心配置原理

Envoy Gateway与AWS NLB集成时，TLS终止可以在两个层面实现：

1. 在NLB层面终止TLS，然后以明文HTTP转发至Envoy
2. 在Envoy层面终止TLS

本文重点讨论第一种方案，其优势在于：

• 减少Envoy的CPU负载
• 简化证书管理（证书直接绑定到NLB）
• 符合部分企业的安全合规要求

关键配置详解

1. Gateway资源配置

正确的Gateway资源配置需要注意以下要点：

apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: gw
  namespace: test
spec:
  gatewayClassName: envoy
  infrastructure:
    annotations:
      service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: ip
      service.beta.kubernetes.io/aws-load-balancer-scheme: internal
      service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:us-east-2:<account>:certificate/<id>
      service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: ELBSecurityPolicy-TLS13-1-2-2021-06
      service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443"
  listeners:
    - name: http
      port: 80
      protocol: HTTP
    - name: https
      port: 443 
      protocol: HTTP

关键点说明：

1. AWS特定注解必须放在spec.infrastructure.annotations下，而非metadata.annotations
2. protocol: HTTP表示Envoy将接收解密后的HTTP流量
3. SSL证书ARN需要替换为实际的ACM证书

2. HTTP路由配置

实现HTTP到HTTPS重定向的配置示例：

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: ssl-redirect
spec:
  parentRefs:
  - name: gw
    sectionName: http
  rules:
    - filters:
      - type: RequestRedirect
        requestRedirect:
          scheme: https
          statusCode: 301

最佳实践建议：

1. 使用sectionName引用特定监听器，比使用port更明确
2. 301重定向适合永久性跳转，有利于SEO

3. HTTPS路由配置

处理TLS终止后流量的配置示例：

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: api-route
spec:
  parentRefs:
  - name: gw
    sectionName: https
  rules:
    - matches:
      - path:
          type: PathPrefix
          value: /api
      backendRefs:
      - name: api-service
        port: 80

常见问题排查

如果遇到TLS握手失败（如protocol version错误），请检查：

1. 注解位置：确认AWS相关注解是否放在正确位置（spec.infrastructure.annotations）
2. 证书兼容性：确保NLB使用的SSL策略与客户端支持的TLS版本匹配
3. 监听器协议：TLS终止在NLB时，Envoy监听器应使用HTTP而非HTTPS协议
4. 安全组规则：确认NLB安全组允许443端口的入站流量

性能优化建议

1. 会话保持：对于有状态应用，可在NLB启用TCP会话保持
2. 健康检查：配置适当的健康检查路径和间隔
3. 跨可用区：启用跨可用区负载均衡提高可用性
4. 访问日志：启用NLB访问日志用于流量分析

通过以上配置，开发者可以构建一个安全、高效的TLS终止架构，充分发挥AWS NLB和Envoy Gateway各自的优势。