Gloo Gateway 中的 mTLS 模式详解与配置指南
什么是 mTLS
mTLS(Mutual TLS,双向 TLS)是一种安全协议,它要求通信双方都提供并验证对方的数字证书。与传统的 TLS 不同,mTLS 不仅服务器向客户端证明其身份,客户端也需要向服务器证明自己的身份。这种双向认证机制为系统间通信提供了更高的安全性。
为什么在 Gloo Gateway 中使用 mTLS
Gloo Gateway 与 Envoy 代理通过 xDS 协议进行通信。xDS 协议用于动态配置 Envoy,可能包含敏感信息。在以下场景中,启用 mTLS 尤为重要:
- 控制平面(Gloo Gateway)和数据平面(Envoy)部署在不同的集群中
- 网络环境不可信,存在中间人攻击风险
- 需要满足严格的安全合规要求
版本要求
从 Gloo Gateway 1.3.6 版本和 Gloo Gateway Enterprise 1.3.0-beta3 版本开始支持 mTLS 功能。如果您使用的是更早的版本,此功能将不可用。
快速启用 mTLS
最简单的启用方式是使用 Helm 覆盖值文件:
global:
glooMtls:
enabled: true
然后执行安装命令:
glooctl install gateway --values helm-override.yaml
此配置将使 Envoy 使用 mTLS 初始化与 Gloo Gateway 的连接。Gloo Gateway 将通过一个执行 TLS 终止的 TCP 代理进行响应。
架构详解
证书管理
启用 mTLS 后,系统会自动创建一个名为 'gloo-mtls-certgen' 的 Job,用于生成 Kubernetes TLS 类型的 Secret 'gloo-mtls-certs'。该 Secret 包含:
- CA 证书(ca.crt)
- TLS 证书(tls.crt)
- 私钥(tls.key)
Gloo Gateway 部署变更
在 Gloo Gateway 的部署中会添加两个 Sidecar 容器:
-
Envoy Sidecar:
- 负责在默认的 xDS 绑定地址(0.0.0.0:9977)上进行 TLS 终止
- 使用指定的镜像版本
- 暴露 9977 端口用于 gRPC xDS 通信
- 挂载证书 Secret 到 /etc/envoy/ssl 目录
-
SDS Sidecar:
- 实现 Envoy 的 Secret 发现服务
- 支持证书轮换而无需重启 Envoy
- 同样挂载证书 Secret
xDS 客户端变更
Gateway-Proxy
Gateway-Proxy 的配置会变更,使 Envoy 使用 TLS 初始化与 Gloo Gateway 的连接。主要变更包括:
- 集群配置中添加 TLS 传输套接字
- 添加 SDS 配置用于证书发现
- 部署中添加证书 Secret 的挂载
- 添加 SDS Sidecar 容器
Extauth 和 Rate-limiting 服务
对于企业版用户,Extauth 和 Rate-limiting 服务也需要与 Gloo Gateway 安全通信。这些服务会:
- 添加 Envoy Sidecar 处理 TLS 终止和出站加密
- 添加 SDS Sidecar 处理证书轮换
- 配置特定的监听端口和路由规则
证书轮换机制
Gloo Gateway 提供了自动证书轮换功能,通过 CronJob 实现。轮换过程分为多个阶段以确保应用无中断:
- 生成新证书(包括新的 CA 证书)
- 将新 CA 证书与旧 CA 证书并存
- 等待配置的时间(确保集群工作负载获取新证书)
- 替换服务器证书和私钥
- 再次等待
- 移除旧 CA 证书
配置示例:
global:
glooMtls:
enabled: true
gateway:
certGenJob:
cron:
enabled: true
schedule: "* * * * *" # 设置 cron 时间表
rotationDuration: 120s # 阶段间等待时间
日志与监控
SDS Sidecar 日志
各组件(gloo、gateway-proxy、extauth、rate-limit)的 SDS Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> sds
正常日志应包含 SDS 服务器监听和配置更新信息。
Envoy Sidecar 日志
Envoy Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> envoy-sidecar
初始阶段可能会看到连接错误日志,待 SDS 服务器启动并提供证书后会恢复正常。
管理界面
每个 Envoy Sidecar 都提供了管理界面(端口 8001),可通过端口转发访问:
kubectl port-forward -n gloo-system deploy/gloo 8001
访问 http://localhost:8001/certs 可验证 SDS 服务器是否成功交付证书。
最佳实践
- 在生产环境中务必启用 mTLS
- 设置合理的证书轮换周期(通常不超过90天)
- 监控 SDS 和 Envoy Sidecar 的日志
- 在启用前测试证书轮换过程
- 结合其他安全措施(如网络策略)使用
总结
Gloo Gateway 的 mTLS 功能为控制平面与数据平面之间的通信提供了企业级的安全保障。通过本文的详细指南,您可以了解其工作原理并正确配置。mTLS 是构建零信任架构的重要组件,特别适合多集群部署和安全敏感的环境。
相关内容推荐
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust0152- DDeepSeek-V4-ProDeepSeek-V4-Pro(总参数 1.6 万亿,激活 49B)面向复杂推理和高级编程任务,在代码竞赛、数学推理、Agent 工作流等场景表现优异,性能接近国际前沿闭源模型。Python00
LongCat-Video-Avatar-1.5最新开源LongCat-Video-Avatar 1.5 版本,这是一款经过升级的开源框架,专注于音频驱动人物视频生成的极致实证优化与生产级就绪能力。该版本在 LongCat-Video 基础模型之上构建,可生成高度稳定的商用级虚拟人视频,支持音频-文本转视频(AT2V)、音频-文本-图像转视频(ATI2V)以及视频续播等原生任务,并能无缝兼容单流与多流音频输入。00
auto-devAutoDev 是一个 AI 驱动的辅助编程插件。AutoDev 支持一键生成测试、代码、提交信息等,还能够与您的需求管理系统(例如Jira、Trello、Github Issue 等)直接对接。 在IDE 中,您只需简单点击,AutoDev 会根据您的需求自动为您生成代码。Kotlin03
Intern-S2-PreviewIntern-S2-Preview,这是一款高效的350亿参数科学多模态基础模型。除了常规的参数与数据规模扩展外,Intern-S2-Preview探索了任务扩展:通过提升科学任务的难度、多样性与覆盖范围,进一步释放模型能力。Python00
skillhubopenJiuwen 生态的 Skill 托管与分发开源方案,支持自建与可选 ClawHub 兼容。Python0112
热门内容推荐
最新内容推荐
项目优选
docs
pytorch
kernel
ops-mathatomcode
kernelMindSpeed-MM
flutter_flutterMindSpeed-LLM
RuoYi-Vue3