Gloo Gateway 中的 mTLS 模式详解与配置指南
什么是 mTLS
mTLS(Mutual TLS,双向 TLS)是一种安全协议,它要求通信双方都提供并验证对方的数字证书。与传统的 TLS 不同,mTLS 不仅服务器向客户端证明其身份,客户端也需要向服务器证明自己的身份。这种双向认证机制为系统间通信提供了更高的安全性。
为什么在 Gloo Gateway 中使用 mTLS
Gloo Gateway 与 Envoy 代理通过 xDS 协议进行通信。xDS 协议用于动态配置 Envoy,可能包含敏感信息。在以下场景中,启用 mTLS 尤为重要:
- 控制平面(Gloo Gateway)和数据平面(Envoy)部署在不同的集群中
- 网络环境不可信,存在中间人攻击风险
- 需要满足严格的安全合规要求
版本要求
从 Gloo Gateway 1.3.6 版本和 Gloo Gateway Enterprise 1.3.0-beta3 版本开始支持 mTLS 功能。如果您使用的是更早的版本,此功能将不可用。
快速启用 mTLS
最简单的启用方式是使用 Helm 覆盖值文件:
global:
glooMtls:
enabled: true
然后执行安装命令:
glooctl install gateway --values helm-override.yaml
此配置将使 Envoy 使用 mTLS 初始化与 Gloo Gateway 的连接。Gloo Gateway 将通过一个执行 TLS 终止的 TCP 代理进行响应。
架构详解
证书管理
启用 mTLS 后,系统会自动创建一个名为 'gloo-mtls-certgen' 的 Job,用于生成 Kubernetes TLS 类型的 Secret 'gloo-mtls-certs'。该 Secret 包含:
- CA 证书(ca.crt)
- TLS 证书(tls.crt)
- 私钥(tls.key)
Gloo Gateway 部署变更
在 Gloo Gateway 的部署中会添加两个 Sidecar 容器:
-
Envoy Sidecar:
- 负责在默认的 xDS 绑定地址(0.0.0.0:9977)上进行 TLS 终止
- 使用指定的镜像版本
- 暴露 9977 端口用于 gRPC xDS 通信
- 挂载证书 Secret 到 /etc/envoy/ssl 目录
-
SDS Sidecar:
- 实现 Envoy 的 Secret 发现服务
- 支持证书轮换而无需重启 Envoy
- 同样挂载证书 Secret
xDS 客户端变更
Gateway-Proxy
Gateway-Proxy 的配置会变更,使 Envoy 使用 TLS 初始化与 Gloo Gateway 的连接。主要变更包括:
- 集群配置中添加 TLS 传输套接字
- 添加 SDS 配置用于证书发现
- 部署中添加证书 Secret 的挂载
- 添加 SDS Sidecar 容器
Extauth 和 Rate-limiting 服务
对于企业版用户,Extauth 和 Rate-limiting 服务也需要与 Gloo Gateway 安全通信。这些服务会:
- 添加 Envoy Sidecar 处理 TLS 终止和出站加密
- 添加 SDS Sidecar 处理证书轮换
- 配置特定的监听端口和路由规则
证书轮换机制
Gloo Gateway 提供了自动证书轮换功能,通过 CronJob 实现。轮换过程分为多个阶段以确保应用无中断:
- 生成新证书(包括新的 CA 证书)
- 将新 CA 证书与旧 CA 证书并存
- 等待配置的时间(确保集群工作负载获取新证书)
- 替换服务器证书和私钥
- 再次等待
- 移除旧 CA 证书
配置示例:
global:
glooMtls:
enabled: true
gateway:
certGenJob:
cron:
enabled: true
schedule: "* * * * *" # 设置 cron 时间表
rotationDuration: 120s # 阶段间等待时间
日志与监控
SDS Sidecar 日志
各组件(gloo、gateway-proxy、extauth、rate-limit)的 SDS Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> sds
正常日志应包含 SDS 服务器监听和配置更新信息。
Envoy Sidecar 日志
Envoy Sidecar 日志可通过以下命令查看:
kubectl logs -n gloo-system deploy/<部署名称> envoy-sidecar
初始阶段可能会看到连接错误日志,待 SDS 服务器启动并提供证书后会恢复正常。
管理界面
每个 Envoy Sidecar 都提供了管理界面(端口 8001),可通过端口转发访问:
kubectl port-forward -n gloo-system deploy/gloo 8001
访问 http://localhost:8001/certs 可验证 SDS 服务器是否成功交付证书。
最佳实践
- 在生产环境中务必启用 mTLS
- 设置合理的证书轮换周期(通常不超过90天)
- 监控 SDS 和 Envoy Sidecar 的日志
- 在启用前测试证书轮换过程
- 结合其他安全措施(如网络策略)使用
总结
Gloo Gateway 的 mTLS 功能为控制平面与数据平面之间的通信提供了企业级的安全保障。通过本文的详细指南,您可以了解其工作原理并正确配置。mTLS 是构建零信任架构的重要组件,特别适合多集群部署和安全敏感的环境。
相关内容推荐
ERNIE-4.5-VL-28B-A3B-ThinkingERNIE-4.5-VL-28B-A3B-Thinking 是 ERNIE-4.5-VL-28B-A3B 架构的重大升级,通过中期大规模视觉-语言推理数据训练,显著提升了模型的表征能力和模态对齐,实现了多模态推理能力的突破性飞跃Python00
Kimi-K2-ThinkingKimi K2 Thinking 是最新、性能最强的开源思维模型。从 Kimi K2 开始,我们将其打造为能够逐步推理并动态调用工具的思维智能体。通过显著提升多步推理深度,并在 200–300 次连续调用中保持稳定的工具使用能力,它在 Humanity's Last Exam (HLE)、BrowseComp 等基准测试中树立了新的技术标杆。同时,K2 Thinking 是原生 INT4 量化模型,具备 256k 上下文窗口,实现了推理延迟和 GPU 内存占用的无损降低。Python00
MiniMax-M2MiniMax-M2是MiniMaxAI开源的高效MoE模型,2300亿总参数中仅激活100亿,却在编码和智能体任务上表现卓越。它支持多文件编辑、终端操作和复杂工具链调用Python00
HunyuanVideo-1.5暂无简介00
MiniCPM-V-4_5MiniCPM-V 4.5 是 MiniCPM-V 系列中最新且功能最强的模型。该模型基于 Qwen3-8B 和 SigLIP2-400M 构建,总参数量为 80 亿。与之前的 MiniCPM-V 和 MiniCPM-o 模型相比,它在性能上有显著提升,并引入了新的实用功能Python00
Spark-Formalizer-X1-7BSpark-Formalizer 是由科大讯飞团队开发的专用大型语言模型,专注于数学自动形式化任务。该模型擅长将自然语言数学问题转化为精确的 Lean4 形式化语句,在形式化语句生成方面达到了业界领先水平。Python00
GOT-OCR-2.0-hf阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00
最新内容推荐
项目优选
kernel
pytorch
ops-mathtorchair
flutter_flutter
Cangjie-Examples
ohos_react_native
RuoYi-Vue3cangjie_compiler
nop-entropy