Kong网关混合模式部署中的证书配置问题解析

概述

在使用Kong网关的混合模式部署时，经常会遇到证书相关的配置问题。本文将以一个典型的案例为基础，深入分析Kong在Kubernetes集群中混合模式部署时可能遇到的证书问题及其解决方案。

问题现象

在Kubernetes集群中部署Kong网关的混合模式（控制平面和数据平面分离）时，虽然已经配置了CA签名的证书，但在通过访问URL访问服务时，客户端仍然报告使用的是自签名证书。具体表现为：

1. 控制平面和数据平面都配置了相同的证书Secret
2. 证书文件在Pod内正确挂载到指定路径
3. 管理界面和API接口工作正常
4. 访问服务能返回正确的API响应，但客户端收到自签名证书警告

配置分析

控制平面配置要点

控制平面的配置中需要注意几个关键点：

1. 明确设置role: control_plane标识节点角色
2. 配置集群证书路径：

   cluster_cert: /etc/secrets/kong-cluster-cert/fullchain.crt
   cluster_cert_key: /etc/secrets/kong-cluster-cert/tls.key
   cluster_ca_cert: /etc/secrets/kong-cluster-cert/ca-cert.pem
   

3. 启用集群TLS通信：

   cluster:
     enabled: true
     tls:
       enabled: true
   

数据平面配置要点

数据平面的配置需要特别注意：

1. 设置role: data_plane标识节点角色
2. 配置控制平面和遥测端点地址
3. 指定SSL信任证书：

   lua_ssl_trusted_certificate: /etc/secrets/kong-cluster-cert/ca-cert.pem
   

4. 访问服务的SSL证书配置：

   proxy_ssl_cert: /etc/secrets/kong-cluster-cert/tls.crt
   proxy_ssl_cert_key: /etc/secrets/kong-cluster-cert/tls.key
   

问题根源

经过分析，问题可能出在以下几个方面：

1. 端口配置不当：数据平面与控制平面通信时使用了非标准端口(8005/8006)，而证书可能只针对标准HTTPS端口(443)签发
2. 证书链不完整：虽然配置了证书文件，但可能缺少中间证书
3. 证书主题不匹配：证书的CN或SAN可能不包含实际使用的域名

解决方案

最终通过以下调整解决了问题：

1. 使用标准HTTPS端口：

   cluster_control_plane: "kong-cluster-dev-ksa-01.example.com:443"
   cluster_telemetry_endpoint: "kong-clustertelemetry-dev-ksa-01.example.com:443"
   

2. 启用Kong Ingress Controller：确保流量路由和证书管理更加规范
3. 验证证书链完整性：确保证书文件包含完整的证书链（根证书、中间证书和终端证书）

最佳实践

1. 证书管理：

   • 使用Kubernetes Secret统一管理证书
   • 确保证书文件包含完整证书链
   • 定期轮换证书

2. 端口配置：

   • 尽量使用标准端口(443)进行HTTPS通信
   • 非标准端口可能导致证书验证问题

3. 混合模式部署：

   • 确保控制平面和数据平面在相同命名空间
   • 验证节点间通信的MTLS配置
   • 监控控制平面和数据平面的连接状态

总结

Kong网关在混合模式下的证书配置需要特别注意细节。通过本文的分析，我们可以了解到端口配置和证书链完整性对HTTPS通信的重要性。在实际部署中，建议遵循标准实践，使用工具验证证书配置，并密切关注日志中的SSL相关错误信息，这样可以有效避免类似问题的发生。