Gloo Gateway 中的 mTLS 模式详解与配置指南
什么是 mTLS
mTLS(Mutual TLS,双向 TLS)是一种安全协议,它要求通信双方都提供并验证对方的数字证书。与传统的 TLS 不同,mTLS 不仅服务器向客户端证明其身份,客户端也需要向服务器证明自己的身份。这种双向认证机制为系统间通信提供了更高的安全性。
为什么在 Gloo Gateway 中使用 mTLS
Gloo Gateway 与 Envoy 代理通过 xDS 协议进行通信。xDS 协议用于动态配置 Envoy,可能包含敏感信息。在以下场景中,启用 mTLS 尤为重要:
- 控制平面(Gloo Gateway)和数据平面(Envoy)部署在不同的集群中
- 网络环境不可信,存在中间人攻击风险
- 需要满足严格的安全合规要求
版本要求
从 Gloo Gateway 1.3.6 版本和 Gloo Gateway Enterprise 1.3.0-beta3 版本开始支持 mTLS 功能。如果您使用的是更早的版本,此功能将不可用。
快速启用 mTLS
最简单的启用方式是使用 Helm 覆盖值文件:
global:
glooMtls:
enabled: true
然后执行安装命令:
glooctl install gateway --values helm-override.yaml
此配置将使 Envoy 使用 mTLS 初始化与 Gloo Gateway 的连接。Gloo Gateway 将通过一个执行 TLS 终止的 TCP 代理进行响应。
架构详解
证书管理
启用 mTLS 后,系统会自动创建一个名为 'gloo-mtls-certgen' 的 Job,用于生成 Kubernetes TLS 类型的 Secret 'gloo-mtls-certs'。该 Secret 包含:
- CA 证书(ca.crt)
- TLS 证书(tls.crt)
- 私钥(tls.key)
Gloo Gateway 部署变更
在 Gloo Gateway 的部署中会添加两个 Sidecar 容器:
-
Envoy Sidecar:
- 负责在默认的 xDS 绑定地址(0.0.0.0:9977)上进行 TLS 终止
- 使用指定的镜像版本
- 暴露 9977 端口用于 gRPC xDS 通信
- 挂载证书 Secret 到 /etc/envoy/ssl 目录
-
SDS Sidecar:
- 实现 Envoy 的 Secret 发现服务
- 支持证书轮换而无需重启 Envoy
- 同样挂载证书 Secret
xDS 客户端变更
Gateway-Proxy
Gateway-Proxy 的配置会变更,使 Envoy 使用 TLS 初始化与 Gloo Gateway 的连接。主要变更包括:
- 集群配置中添加 TLS 传输套接字
- 添加 SDS 配置用于证书发现
- 部署中添加证书 Secret 的挂载
- 添加 SDS Sidecar 容器
Extauth 和 Rate-limiting 服务
对于企业版用户,Extauth 和 Rate-limiting 服务也需要与 Gloo Gateway 安全通信。这些服务会:
- 添加 Envoy Sidecar 处理 TLS 终止和出站加密
- 添加 SDS Sidecar 处理证书轮换
- 配置特定的监听端口和路由规则
证书轮换机制
Gloo Gateway 提供了自动证书轮换功能,通过 CronJob 实现。轮换过程分为多个阶段以确保应用无中断:
- 生成新证书(包括新的 CA 证书)
- 将新 CA 证书与旧 CA 证书并存
- 等待配置的时间(确保集群工作负载获取新证书)
- 替换服务器证书和私钥
- 再次等待
- 移除旧 CA 证书
配置示例:
global:
glooMtls:
enabled: true
gateway:
certGenJob:
cron:
enabled: true
schedule: "* * * * *" # 设置 cron 时间表
rotationDuration: 120s # 阶段间等待时间
日志与监控
SDS Sidecar 日志
各组件(gloo、gateway-proxy、extauth、rate-limit)的 SDS Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> sds
正常日志应包含 SDS 服务器监听和配置更新信息。
Envoy Sidecar 日志
Envoy Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> envoy-sidecar
初始阶段可能会看到连接错误日志,待 SDS 服务器启动并提供证书后会恢复正常。
管理界面
每个 Envoy Sidecar 都提供了管理界面(端口 8001),可通过端口转发访问:
kubectl port-forward -n gloo-system deploy/gloo 8001
访问 http://localhost:8001/certs 可验证 SDS 服务器是否成功交付证书。
最佳实践
- 在生产环境中务必启用 mTLS
- 设置合理的证书轮换周期(通常不超过90天)
- 监控 SDS 和 Envoy Sidecar 的日志
- 在启用前测试证书轮换过程
- 结合其他安全措施(如网络策略)使用
总结
Gloo Gateway 的 mTLS 功能为控制平面与数据平面之间的通信提供了企业级的安全保障。通过本文的详细指南,您可以了解其工作原理并正确配置。mTLS 是构建零信任架构的重要组件,特别适合多集群部署和安全敏感的环境。
GLM-5智谱 AI 正式发布 GLM-5,旨在应对复杂系统工程和长时域智能体任务。Jinja00
GLM-5-w4a8GLM-5-w4a8基于混合专家架构,专为复杂系统工程与长周期智能体任务设计。支持单/多节点部署,适配Atlas 800T A3,采用w4a8量化技术,结合vLLM推理优化,高效平衡性能与精度,助力智能应用开发Jinja00
请把这个活动推给顶尖程序员😎本次活动专为懂行的顶尖程序员量身打造,聚焦AtomGit首发开源模型的实际应用与深度测评,拒绝大众化浅层体验,邀请具备扎实技术功底、开源经验或模型测评能力的顶尖开发者,深度参与模型体验、性能测评,通过发布技术帖子、提交测评报告、上传实践项目成果等形式,挖掘模型核心价值,共建AtomGit开源模型生态,彰显顶尖程序员的技术洞察力与实践能力。00
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00
MiniMax-M2.5MiniMax-M2.5开源模型,经数十万复杂环境强化训练,在代码生成、工具调用、办公自动化等经济价值任务中表现卓越。SWE-Bench Verified得分80.2%,Multi-SWE-Bench达51.3%,BrowseComp获76.3%。推理速度比M2.1快37%,与Claude Opus 4.6相当,每小时仅需0.3-1美元,成本仅为同类模型1/10-1/20,为智能应用开发提供高效经济选择。【此简介由AI生成】Python00
Qwen3.5Qwen3.5 昇腾 vLLM 部署教程。Qwen3.5 是 Qwen 系列最新的旗舰多模态模型,采用 MoE(混合专家)架构,在保持强大模型能力的同时显著降低了推理成本。00- RRing-2.5-1TRing-2.5-1T:全球首个基于混合线性注意力架构的开源万亿参数思考模型。Python00
项目优选
kernel
docs
leetcode
nop-entropy
flutter_flutter
RuoYi-Vue3
gitea
kernel
pytorch
rainbond