Gloo Gateway 中的 mTLS 模式详解与配置指南
什么是 mTLS
mTLS(Mutual TLS,双向 TLS)是一种安全协议,它要求通信双方都提供并验证对方的数字证书。与传统的 TLS 不同,mTLS 不仅服务器向客户端证明其身份,客户端也需要向服务器证明自己的身份。这种双向认证机制为系统间通信提供了更高的安全性。
为什么在 Gloo Gateway 中使用 mTLS
Gloo Gateway 与 Envoy 代理通过 xDS 协议进行通信。xDS 协议用于动态配置 Envoy,可能包含敏感信息。在以下场景中,启用 mTLS 尤为重要:
- 控制平面(Gloo Gateway)和数据平面(Envoy)部署在不同的集群中
- 网络环境不可信,存在中间人攻击风险
- 需要满足严格的安全合规要求
版本要求
从 Gloo Gateway 1.3.6 版本和 Gloo Gateway Enterprise 1.3.0-beta3 版本开始支持 mTLS 功能。如果您使用的是更早的版本,此功能将不可用。
快速启用 mTLS
最简单的启用方式是使用 Helm 覆盖值文件:
global:
glooMtls:
enabled: true
然后执行安装命令:
glooctl install gateway --values helm-override.yaml
此配置将使 Envoy 使用 mTLS 初始化与 Gloo Gateway 的连接。Gloo Gateway 将通过一个执行 TLS 终止的 TCP 代理进行响应。
架构详解
证书管理
启用 mTLS 后,系统会自动创建一个名为 'gloo-mtls-certgen' 的 Job,用于生成 Kubernetes TLS 类型的 Secret 'gloo-mtls-certs'。该 Secret 包含:
- CA 证书(ca.crt)
- TLS 证书(tls.crt)
- 私钥(tls.key)
Gloo Gateway 部署变更
在 Gloo Gateway 的部署中会添加两个 Sidecar 容器:
-
Envoy Sidecar:
- 负责在默认的 xDS 绑定地址(0.0.0.0:9977)上进行 TLS 终止
- 使用指定的镜像版本
- 暴露 9977 端口用于 gRPC xDS 通信
- 挂载证书 Secret 到 /etc/envoy/ssl 目录
-
SDS Sidecar:
- 实现 Envoy 的 Secret 发现服务
- 支持证书轮换而无需重启 Envoy
- 同样挂载证书 Secret
xDS 客户端变更
Gateway-Proxy
Gateway-Proxy 的配置会变更,使 Envoy 使用 TLS 初始化与 Gloo Gateway 的连接。主要变更包括:
- 集群配置中添加 TLS 传输套接字
- 添加 SDS 配置用于证书发现
- 部署中添加证书 Secret 的挂载
- 添加 SDS Sidecar 容器
Extauth 和 Rate-limiting 服务
对于企业版用户,Extauth 和 Rate-limiting 服务也需要与 Gloo Gateway 安全通信。这些服务会:
- 添加 Envoy Sidecar 处理 TLS 终止和出站加密
- 添加 SDS Sidecar 处理证书轮换
- 配置特定的监听端口和路由规则
证书轮换机制
Gloo Gateway 提供了自动证书轮换功能,通过 CronJob 实现。轮换过程分为多个阶段以确保应用无中断:
- 生成新证书(包括新的 CA 证书)
- 将新 CA 证书与旧 CA 证书并存
- 等待配置的时间(确保集群工作负载获取新证书)
- 替换服务器证书和私钥
- 再次等待
- 移除旧 CA 证书
配置示例:
global:
glooMtls:
enabled: true
gateway:
certGenJob:
cron:
enabled: true
schedule: "* * * * *" # 设置 cron 时间表
rotationDuration: 120s # 阶段间等待时间
日志与监控
SDS Sidecar 日志
各组件(gloo、gateway-proxy、extauth、rate-limit)的 SDS Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> sds
正常日志应包含 SDS 服务器监听和配置更新信息。
Envoy Sidecar 日志
Envoy Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> envoy-sidecar
初始阶段可能会看到连接错误日志,待 SDS 服务器启动并提供证书后会恢复正常。
管理界面
每个 Envoy Sidecar 都提供了管理界面(端口 8001),可通过端口转发访问:
kubectl port-forward -n gloo-system deploy/gloo 8001
访问 http://localhost:8001/certs 可验证 SDS 服务器是否成功交付证书。
最佳实践
- 在生产环境中务必启用 mTLS
- 设置合理的证书轮换周期(通常不超过90天)
- 监控 SDS 和 Envoy Sidecar 的日志
- 在启用前测试证书轮换过程
- 结合其他安全措施(如网络策略)使用
总结
Gloo Gateway 的 mTLS 功能为控制平面与数据平面之间的通信提供了企业级的安全保障。通过本文的详细指南,您可以了解其工作原理并正确配置。mTLS 是构建零信任架构的重要组件,特别适合多集群部署和安全敏感的环境。
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00- DDeepSeek-OCRDeepSeek-OCR是一款以大语言模型为核心的开源工具,从LLM视角出发,探索视觉文本压缩的极限。Python00
MiniCPM-V-4_5MiniCPM-V 4.5 是 MiniCPM-V 系列中最新且功能最强的模型。该模型基于 Qwen3-8B 和 SigLIP2-400M 构建,总参数量为 80 亿。与之前的 MiniCPM-V 和 MiniCPM-o 模型相比,它在性能上有显著提升,并引入了新的实用功能Python00
HunyuanWorld-Mirror混元3D世界重建模型,支持多模态先验注入和多任务统一输出Python00
MiniMax-M2MiniMax-M2是MiniMaxAI开源的高效MoE模型,2300亿总参数中仅激活100亿,却在编码和智能体任务上表现卓越。它支持多文件编辑、终端操作和复杂工具链调用Jinja00
Spark-Scilit-X1-13B科大讯飞Spark Scilit-X1-13B基于最新一代科大讯飞基础模型,并针对源自科学文献的多项核心任务进行了训练。作为一款专为学术研究场景打造的大型语言模型,它在论文辅助阅读、学术翻译、英语润色和评论生成等方面均表现出色,旨在为研究人员、教师和学生提供高效、精准的智能辅助。Python00
GOT-OCR-2.0-hf阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile014
- Spark-Chemistry-X1-13B科大讯飞星火化学-X1-13B (iFLYTEK Spark Chemistry-X1-13B) 是一款专为化学领域优化的大语言模型。它由星火-X1 (Spark-X1) 基础模型微调而来,在化学知识问答、分子性质预测、化学名称转换和科学推理方面展现出强大的能力,同时保持了强大的通用语言理解与生成能力。Python00
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
项目优选
kernel
docs
flutter_flutter
fountain
nop-entropy
cangjie_runtimeCangjie-Examples
openHiTLS
RuoYi-Vue3
cherry-studio