Gloo Gateway 企业版 FIPS 合规数据平面配置指南

什么是 FIPS 合规性

FIPS（Federal Information Processing Standards）是美国联邦政府制定的一套信息处理标准，其中 FIPS 140-2 特别针对加密模块的安全要求。符合 FIPS 标准的加密模块经过美国国家标准与技术研究院（NIST）认证，满足政府环境使用的安全要求。

对于需要部署在政府机构或受监管行业（如金融、医疗）的系统，使用 FIPS 合规的加密组件通常是强制性要求。Gloo Gateway 企业版提供了专门的 FIPS 合规镜像，帮助用户满足这些严格的合规要求。

FIPS 合规镜像安装步骤

前提条件

• 已安装 Helm 3
• 拥有有效的 Gloo Gateway 企业版许可证
• 已配置 Kubernetes 集群

安装流程

1. 创建 values 覆盖文件

创建一个名为 value-overrides.yaml 的文件，内容如下：

global:
  image:
    fips: true

2. 使用 Helm 安装 FIPS 合规版本

执行以下 Helm 命令进行安装：

helm install gloo glooe/gloo-ee --namespace gloo-system \
  -f value-overrides.yaml --create-namespace --set-string license_key=您的许可证密钥

技术实现细节

Gloo Gateway 的 FIPS 合规版本是使用 goboring 构建的，它通过 CGO 调用符合 FIPS 标准的加密库。这种实现方式具有以下特点：

1. 安全性：所有加密操作都通过经过认证的加密库执行
2. 兼容性：保持与标准版本相同的功能集
3. 性能考量：由于额外的抽象层，加密操作会有一定的性能开销

性能与兼容性考量

在选择是否使用 FIPS 合规版本时，需要考虑以下因素：

1. 性能影响：

   • 加密/解密操作会有额外开销
   • 网络吞吐量可能略有下降
   • 延迟可能轻微增加

2. 构建复杂性：

   • 使用 CGO 增加了跨平台编译的复杂性
   • 部署环境需要兼容相关依赖

3. 使用建议：

   • 仅在合规要求强制时使用 FIPS 版本
   • 非合规环境建议使用标准版本以获得更好性能

镜像验证方法

为确保安装的镜像确实是 FIPS 合规版本，可以按照以下步骤验证：

1. 拉取 FIPS 合规镜像

   docker pull 镜像仓库/gloo-ee-fips:版本号
   

2. 创建临时容器

   docker create --name gloo-ee 镜像仓库/gloo-ee-fips:版本号
   

3. 提取二进制文件

   docker cp gloo-ee:/usr/local/bin/gloo .
   

4. 使用工具检查加密库

   goversion -crypto gloo
   

验证结果说明：

• 标准版本会显示 (standard crypto)
• FIPS 合规版本会显示 X:boringcrypto (boring crypto)

最佳实践建议

1. 环境评估：

   • 明确您的合规要求
   • 评估性能影响是否可接受

2. 部署策略：

   • 在开发环境先进行充分测试
   • 考虑分阶段部署

3. 监控调整：

   • 部署后密切监控性能指标
   • 根据实际负载调整资源配置

4. 升级维护：

   • 定期检查 FIPS 合规镜像更新
   • 遵循官方升级指南

通过本文介绍的配置方法，您可以在需要严格合规的环境中安全地部署 Gloo Gateway 企业版，同时满足政府或行业监管机构的加密标准要求。