Envoy Gateway中实现AWS NLB的TLS终止与HTTP后端通信

2025-07-07 12:02:46作者：邵娇湘

在云原生架构中，TLS终止是常见的网络配置模式。本文将详细介绍如何在Envoy Gateway项目中，通过AWS Network Load Balancer (NLB)实现TLS终止，并将解密后的HTTP流量转发至后端服务的完整方案。

核心配置原理

Envoy Gateway与AWS NLB集成时，TLS终止可以在两个层面实现：

在NLB层面终止TLS，然后以明文HTTP转发至Envoy
在Envoy层面终止TLS

本文重点讨论第一种方案，其优势在于：

减少Envoy的CPU负载
简化证书管理（证书直接绑定到NLB）
符合部分企业的安全合规要求

关键配置详解

1. Gateway资源配置

正确的Gateway资源配置需要注意以下要点：

apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: gw
  namespace: test
spec:
  gatewayClassName: envoy
  infrastructure:
    annotations:
      service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: ip
      service.beta.kubernetes.io/aws-load-balancer-scheme: internal
      service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:us-east-2:<account>:certificate/<id>
      service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: ELBSecurityPolicy-TLS13-1-2-2021-06
      service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443"
  listeners:
    - name: http
      port: 80
      protocol: HTTP
    - name: https
      port: 443 
      protocol: HTTP

关键点说明：

AWS特定注解必须放在spec.infrastructure.annotations下，而非metadata.annotations
protocol: HTTP表示Envoy将接收解密后的HTTP流量
SSL证书ARN需要替换为实际的ACM证书

2. HTTP路由配置

实现HTTP到HTTPS重定向的配置示例：

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: ssl-redirect
spec:
  parentRefs:
  - name: gw
    sectionName: http
  rules:
    - filters:
      - type: RequestRedirect
        requestRedirect:
          scheme: https
          statusCode: 301

最佳实践建议：

使用sectionName引用特定监听器，比使用port更明确
301重定向适合永久性跳转，有利于SEO

3. HTTPS路由配置

处理TLS终止后流量的配置示例：

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: api-route
spec:
  parentRefs:
  - name: gw
    sectionName: https
  rules:
    - matches:
      - path:
          type: PathPrefix
          value: /api
      backendRefs:
      - name: api-service
        port: 80