Gloo Gateway 中的 mTLS 模式详解与配置指南
什么是 mTLS
mTLS(Mutual TLS,双向 TLS)是一种安全协议,它要求通信双方都提供并验证对方的数字证书。与传统的 TLS 不同,mTLS 不仅服务器向客户端证明其身份,客户端也需要向服务器证明自己的身份。这种双向认证机制为系统间通信提供了更高的安全性。
为什么在 Gloo Gateway 中使用 mTLS
Gloo Gateway 与 Envoy 代理通过 xDS 协议进行通信。xDS 协议用于动态配置 Envoy,可能包含敏感信息。在以下场景中,启用 mTLS 尤为重要:
- 控制平面(Gloo Gateway)和数据平面(Envoy)部署在不同的集群中
- 网络环境不可信,存在中间人攻击风险
- 需要满足严格的安全合规要求
版本要求
从 Gloo Gateway 1.3.6 版本和 Gloo Gateway Enterprise 1.3.0-beta3 版本开始支持 mTLS 功能。如果您使用的是更早的版本,此功能将不可用。
快速启用 mTLS
最简单的启用方式是使用 Helm 覆盖值文件:
global:
glooMtls:
enabled: true
然后执行安装命令:
glooctl install gateway --values helm-override.yaml
此配置将使 Envoy 使用 mTLS 初始化与 Gloo Gateway 的连接。Gloo Gateway 将通过一个执行 TLS 终止的 TCP 代理进行响应。
架构详解
证书管理
启用 mTLS 后,系统会自动创建一个名为 'gloo-mtls-certgen' 的 Job,用于生成 Kubernetes TLS 类型的 Secret 'gloo-mtls-certs'。该 Secret 包含:
- CA 证书(ca.crt)
- TLS 证书(tls.crt)
- 私钥(tls.key)
Gloo Gateway 部署变更
在 Gloo Gateway 的部署中会添加两个 Sidecar 容器:
-
Envoy Sidecar:
- 负责在默认的 xDS 绑定地址(0.0.0.0:9977)上进行 TLS 终止
- 使用指定的镜像版本
- 暴露 9977 端口用于 gRPC xDS 通信
- 挂载证书 Secret 到 /etc/envoy/ssl 目录
-
SDS Sidecar:
- 实现 Envoy 的 Secret 发现服务
- 支持证书轮换而无需重启 Envoy
- 同样挂载证书 Secret
xDS 客户端变更
Gateway-Proxy
Gateway-Proxy 的配置会变更,使 Envoy 使用 TLS 初始化与 Gloo Gateway 的连接。主要变更包括:
- 集群配置中添加 TLS 传输套接字
- 添加 SDS 配置用于证书发现
- 部署中添加证书 Secret 的挂载
- 添加 SDS Sidecar 容器
Extauth 和 Rate-limiting 服务
对于企业版用户,Extauth 和 Rate-limiting 服务也需要与 Gloo Gateway 安全通信。这些服务会:
- 添加 Envoy Sidecar 处理 TLS 终止和出站加密
- 添加 SDS Sidecar 处理证书轮换
- 配置特定的监听端口和路由规则
证书轮换机制
Gloo Gateway 提供了自动证书轮换功能,通过 CronJob 实现。轮换过程分为多个阶段以确保应用无中断:
- 生成新证书(包括新的 CA 证书)
- 将新 CA 证书与旧 CA 证书并存
- 等待配置的时间(确保集群工作负载获取新证书)
- 替换服务器证书和私钥
- 再次等待
- 移除旧 CA 证书
配置示例:
global:
glooMtls:
enabled: true
gateway:
certGenJob:
cron:
enabled: true
schedule: "* * * * *" # 设置 cron 时间表
rotationDuration: 120s # 阶段间等待时间
日志与监控
SDS Sidecar 日志
各组件(gloo、gateway-proxy、extauth、rate-limit)的 SDS Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> sds
正常日志应包含 SDS 服务器监听和配置更新信息。
Envoy Sidecar 日志
Envoy Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> envoy-sidecar
初始阶段可能会看到连接错误日志,待 SDS 服务器启动并提供证书后会恢复正常。
管理界面
每个 Envoy Sidecar 都提供了管理界面(端口 8001),可通过端口转发访问:
kubectl port-forward -n gloo-system deploy/gloo 8001
访问 http://localhost:8001/certs 可验证 SDS 服务器是否成功交付证书。
最佳实践
- 在生产环境中务必启用 mTLS
- 设置合理的证书轮换周期(通常不超过90天)
- 监控 SDS 和 Envoy Sidecar 的日志
- 在启用前测试证书轮换过程
- 结合其他安全措施(如网络策略)使用
总结
Gloo Gateway 的 mTLS 功能为控制平面与数据平面之间的通信提供了企业级的安全保障。通过本文的详细指南,您可以了解其工作原理并正确配置。mTLS 是构建零信任架构的重要组件,特别适合多集群部署和安全敏感的环境。
相关内容推荐
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00- QQwen3-Coder-Next2026年2月4日,正式发布的Qwen3-Coder-Next,一款专为编码智能体和本地开发场景设计的开源语言模型。Python00
xw-cli实现国产算力大模型零门槛部署,一键跑通 Qwen、GLM-4.7、Minimax-2.1、DeepSeek-OCR 等模型Go06
PaddleOCR-VL-1.5PaddleOCR-VL-1.5 是 PaddleOCR-VL 的新一代进阶模型,在 OmniDocBench v1.5 上实现了 94.5% 的全新 state-of-the-art 准确率。 为了严格评估模型在真实物理畸变下的鲁棒性——包括扫描伪影、倾斜、扭曲、屏幕拍摄和光照变化——我们提出了 Real5-OmniDocBench 基准测试集。实验结果表明,该增强模型在新构建的基准测试集上达到了 SOTA 性能。此外,我们通过整合印章识别和文本检测识别(text spotting)任务扩展了模型的能力,同时保持 0.9B 的超紧凑 VLM 规模,具备高效率特性。Python00
KuiklyUI基于KMP技术的高性能、全平台开发框架,具备统一代码库、极致易用性和动态灵活性。 Provide a high-performance, full-platform development framework with unified codebase, ultimate ease of use, and dynamic flexibility. 注意:本仓库为Github仓库镜像,PR或Issue请移步至Github发起,感谢支持!Kotlin08
VLOOKVLOOK™ 是优雅好用的 Typora/Markdown 主题包和增强插件。 VLOOK™ is an elegant and practical THEME PACKAGE × ENHANCEMENT PLUGIN for Typora/Markdown.Less00
热门内容推荐
最新内容推荐
项目优选
kernel
docs
flutter_flutter
pytorch
RuoYi-Vue3
cherry-studio
ohos_react_native
kernelAscendNPU-IR
agent-studio