个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我正在尝试在 GKE (v1.11.2-gke.18) 上实现具有相互 TLS 身份验证的 gRPC 服务。
不强制执行客户端身份验证时,GKE 自动创建的 HTTP2 运行状况检查会响应,并且所有连接都会出现问题。
当我打开相互身份验证时,运行状况检查失败 - 可能是因为缺少客户端证书和 key 而无法完成连接。
与往常一样,文档内容很简单且相互矛盾。我需要一个完全编程的解决方案(即无需控制台调整),但除了手动将运行状况检查更改为 TCP 之外,我无法找到解决方案。
据我所知我猜我需要:
service.alpha.kubernetes.io/app-protocols: '{"grpc":"HTTP2"}' 的容器上执行 SSL 终止的替代方法专有注释或者也许还有其他我没有考虑到的事情?下面的配置非常适用于带有 TLS 的 REST 和 gRPC,但不适用于 mTLS。
service.yaml
apiVersion: v1
kind: Service
metadata:
name: grpc-srv
labels:
type: grpc-srv
annotations:
service.alpha.kubernetes.io/app-protocols: '{"grpc":"HTTP2"}'
spec:
type: NodePort
ports:
- name: grpc
port: 9999
protocol: TCP
targetPort: 9999
- name: http
port: 8080
protocol: TCP
targetPort: 8080
selector:
app: myapp
ingress.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: io-ingress
annotations:
kubernetes.io/ingress.global-static-ip-name: "grpc-ingress"
kubernetes.io/ingress.allow-http: "true"
spec:
tls:
- secretName: io-grpc
- secretName: io-api
rules:
- host: grpc.xxx.com
http:
paths:
- path: /*
backend:
serviceName: grpc-srv
servicePort: 9999
- host: rest.xxx.com
http:
paths:
- path: /*
backend:
serviceName: grpc-srv
servicePort: 8080
最佳答案
目前似乎还没有办法使用 GKE L7 入口来实现这一点。但我已经成功部署了 NGINX Ingress Controller 。 Google 有一个关于如何部署一个不错的教程 here .
这会安装一个 L4 TCP 负载均衡器,不对服务进行健康检查,让 NGINX 处理 L7 终止和路由。这给了你更多的灵 active ,但问题在于细节,而细节并不容易获得。我发现的大部分内容都是通过 github 问题进行搜索而学到的。
我设法实现的是让 NGINX 处理 TLS 终止,并仍然将证书传递到后端,这样您就可以通过 CN 处理用户身份验证等事情,或者根据 CRL 检查证书序列.
下面是我的入口文件。这些注释是实现 mTLS 身份验证所需的最低限度,并且仍然可以在后端访问证书。
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: grpc-ingress
namespace: master
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "master/auth-tls-chain"
nginx.ingress.kubernetes.io/auth-tls-verify-depth: "2"
nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "true"
nginx.ingress.kubernetes.io/backend-protocol: "GRPCS"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/grpc-backend: "true"
spec:
tls:
- hosts:
- grpc.example.com
secretName: auth-tls-chain
rules:
- host: grpc.example.com
http:
paths:
- path: /grpc.AwesomeService
backend:
serviceName: awesome-srv
servicePort: 9999
- path: /grpc.FantasticService
backend:
serviceName: fantastic-srv
servicePort: 9999
需要注意的几点:
auth-ls-chain key 包含 3 个文件。 ca.crt 是证书链,应包含任何中间证书。 tls.crt 包含您的服务器证书,tls.key 包含您的私钥。后端协议(protocol):“GRPCS” 是防止 NGINX 终止 TLS 所必需的。如果您想让 NGINX 终止 TLS 并在不加密的情况下运行您的服务,请使用 GRPC 作为协议(protocol)。grpc-backend: "true" 需要让 NGINX 知道使用 HTTP2 进行后端请求。最好的部分是,如果您有多个命名空间,或者您也运行 REST 服务(例如 gRPC 网关),NGINX 将重用相同的负载均衡器。与 GKE 入口相比,这可以节省一些成本,GKE 入口将为每个入口使用单独的 LB。
上面来自主命名空间,下面是来自临时命名空间的 REST 入口。
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
namespace: staging
annotations:
kubernetes.io/ingress.class: nginx
kubernetes.io/tls-acme: "true"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
spec:
tls:
- hosts:
- api-stage.example.com
secretName: letsencrypt-staging
rules:
- host: api-stage.example.com
http:
paths:
- path: /awesome
backend:
serviceName: awesom-srv
servicePort: 8080
- path: /fantastic
backend:
serviceName: fantastic-srv
servicePort: 8080
对于 HTTP,我使用 LetsEncrypt,但有大量关于如何设置它的信息。
如果您执行到 ingress-nginx pod,您将能够看到 NGINX 的配置方式:
...
server {
server_name grpc.example.com ;
listen 80;
set $proxy_upstream_name "-";
set $pass_access_scheme $scheme;
set $pass_server_port $server_port;
set $best_http_host $http_host;
set $pass_port $pass_server_port;
listen 442 proxy_protocol ssl http2;
# PEM sha: 142600b0866df5ed9b8a363294b5fd2490c8619d
ssl_certificate /etc/ingress-controller/ssl/default-fake-certificate.pem;
ssl_certificate_key /etc/ingress-controller/ssl/default-fake-certificate.pem;
ssl_certificate_by_lua_block {
certificate.call()
}
# PEM sha: 142600b0866df5ed9b8a363294b5fd2490c8619d
ssl_client_certificate /etc/ingress-controller/ssl/master-auth-tls-chain.pem;
ssl_verify_client on;
ssl_verify_depth 2;
error_page 495 496 = https://help.example.com/auth;
location /grpc.AwesomeService {
set $namespace "master";
set $ingress_name "grpc-ingress";
set $service_name "awesome-srv";
set $service_port "9999";
set $location_path "/grpc.AwesomeServices";
rewrite_by_lua_block {
lua_ingress.rewrite({
force_ssl_redirect = true,
use_port_in_redirects = false,
})
balancer.rewrite()
plugins.run()
}
header_filter_by_lua_block {
plugins.run()
}
body_filter_by_lua_block {
}
log_by_lua_block {
balancer.log()
monitor.call()
plugins.run()
}
if ($scheme = https) {
more_set_headers "Strict-Transport-Security: max-age=15724800; includeSubDomains";
}
port_in_redirect off;
set $proxy_upstream_name "master-analytics-srv-9999";
set $proxy_host $proxy_upstream_name;
client_max_body_size 1m;
grpc_set_header Host $best_http_host;
# Pass the extracted client certificate to the backend
grpc_set_header ssl-client-cert $ssl_client_escaped_cert;
grpc_set_header ssl-client-verify $ssl_client_verify;
grpc_set_header ssl-client-subject-dn $ssl_client_s_dn;
grpc_set_header ssl-client-issuer-dn $ssl_client_i_dn;
# Allow websocket connections
grpc_set_header Upgrade $http_upgrade;
grpc_set_header Connection $connection_upgrade;
grpc_set_header X-Request-ID $req_id;
grpc_set_header X-Real-IP $the_real_ip;
grpc_set_header X-Forwarded-For $the_real_ip;
grpc_set_header X-Forwarded-Host $best_http_host;
grpc_set_header X-Forwarded-Port $pass_port;
grpc_set_header X-Forwarded-Proto $pass_access_scheme;
grpc_set_header X-Original-URI $request_uri;
grpc_set_header X-Scheme $pass_access_scheme;
# Pass the original X-Forwarded-For
grpc_set_header X-Original-Forwarded-For $http_x_forwarded_for;
# mitigate HTTPoxy Vulnerability
# https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/
grpc_set_header Proxy "";
# Custom headers to proxied server
proxy_connect_timeout 5s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
proxy_buffering off;
proxy_buffer_size 4k;
proxy_buffers 4 4k;
proxy_request_buffering on;
proxy_http_version 1.1;
proxy_cookie_domain off;
proxy_cookie_path off;
# In case of errors try the next upstream server before returning an error
proxy_next_upstream error timeout;
proxy_next_upstream_tries 3;
grpc_pass grpcs://upstream_balancer;
proxy_redirect off;
}
location /grpc.FantasticService {
set $namespace "master";
set $ingress_name "grpc-ingress";
set $service_name "fantastic-srv";
set $service_port "9999";
set $location_path "/grpc.FantasticService";
...
这只是生成的 nginx.conf 的摘录。但您应该能够看到单个配置如何跨多个命名空间处理多个服务。
最后一段是我们如何通过上下文获取证书的代码片段。从上面的配置中可以看到,NGINX 将经过身份验证的证书和其他详细信息添加到 gRPC 元数据中。
meta, ok := metadata.FromIncomingContext(*ctx)
if !ok {
return status.Error(codes.Unauthenticated, "missing metadata")
}
// Check if SSL has been handled upstream
if len(meta.Get("ssl-client-verify")) == 1 && meta.Get("ssl-client-verify")[0] == "SUCCESS" {
if len(meta.Get("ssl-client-cert")) > 0 {
certPEM, err := url.QueryUnescape(meta.Get("ssl-client-cert")[0])
if err != nil {
return status.Errorf(codes.Unauthenticated, "bad or corrupt certificate")
}
block, _ := pem.Decode([]byte(certPEM))
if block == nil {
return status.Error(codes.Unauthenticated, "failed to parse certificate PEM")
}
cert, err := x509.ParseCertificate(block.Bytes)
if err != nil {
return status.Error(codes.Unauthenticated, "failed to parse certificate PEM")
}
return authUserFromCertificate(ctx, cert)
}
}
// if fallen through, then try to authenticate via the peer object for gRPCS,
// or via a JWT in the metadata for gRPC Gateway.
关于grpc - 使用 mTLS 进行 GKE gRPC 入口运行状况检查,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53411086/
26
4
0
我在Kubernetes 1.15.9上运行了Istio 1.4.0。我正在努力实现以下目标,但是我阅读Istio文档的次数越多,我就越会感到困惑。让我以简单的方式讲。 第一件事是,我想为最大服务(如
我对 istio 的 mTLS 流程有点困惑。在bookinginfo 示例中,我看到服务通过http 而不是https 进行调用。如果服务之间有 mTLS 那么服务会进行 http 调用吗? 是否可
目前,我们正在运行一个 Azure 应用服务托管应用程序,提供不同的 API 端点,例如 /public/xyz 和 /secured/xyz,其中所有 API 都位于 /secure/... 在应用
从 wikipedia 读取 mTLS 微服务中的 mTLS 和服务之间的通信是否比仅使用 TLS 更快? 我的意思是,如果仅使用 TLS,每次在客户端和服务器之间建立通信时都会发生握手。 如果 mT
关于如何通过 HTTPS、双向 TLS、双向 SSL 抓取/metrics 端点的小问题。 我们的 Prometheus 实例部署在位置 A。 然后,我们在各个地方部署了一堆微服务,但从不与 Prom
背景 我需要为各种客户端连接到服务器。 每个客户端连接都应使用唯一的 TLS 证书。 MTLS 在服务器上就位。 我想使用连接池来改善延迟。 使用以下 http 客户端 org.apache.
我需要一些帮助来解决特定的 Kubernetes + mTLS 问题。 如何使 Kubernetes active 探针在安全 https mTLS 健康检查端点上工作? 我的应用程序是一个 Web
我知道对于 MTLS ,双方,客户端和服务器交换证书。这些证书应由双方都可以信任的 CA 签名,以验证证书。 我的问题是,MTLS 是否也意味着除了验证证书(如果 CA 是可信的,叶证书是可信的),任
我在 Spring Boot 应用程序中的 mTLS 配置有问题。 问题:由于 client-auth: need 导致证书是强制性的,如何使用自签名证书授权请求选项 到目前为止完成的步骤: 我使用以
我正在尝试运行 Istio 在线类(class)中的以下命令集: 设置 Istio 证书颁发机构 (CA) 留言本应用程序的版本 2 使用未启用 Istio 的外部服务(音调分析器)。因此,您将在本实
OpenShift 中部署了一个应用程序 (Java)。 istio-ingress-gateway 也已配置。我的任务是使用带有 mTLS 的 https 协议(protocol)调用我的服务。目前
目前,我想引入 istio 作为我们微服务的服务网格框架。我曾经玩过它(< 1 周),我的理解是 Istio 确实提供了一种简单的方法来保护服务到服务的通信。许多(或全部?) Istio 文档/文章提
我们正在升级我们自己和合作伙伴之间的连接,他们要求我们升级到 MTLS。我一直在调试低级 java, javax.net.debug=all我可以看到握手成功。然而,合作伙伴对主题和发行人字段进行了完
没有找到任何有关如何实现 Cloudfront + MTLS 或 Api Gateway + MTLS 的资料。可能吗?如果没有,是否有其他方法可以使用 CloudFront + ApiGateway
对于普通的 TLS,客户端将检查我正在与之通信的服务器实际上是否位于与 CN 匹配的 FQDN 上,因此如果证书用于不同的域,则默认情况下 TLS 不应工作,因为该证书不适用于该站点. 对于 mTLS
目前我正在运行带有 ACL 的 Redis 6 和带有 C# 客户端的 mTLS。我正在尝试更新我们的 Java 端以也使用 ACL 和 mTLS 但一直遇到问题。我目前主要专注于 mTLS,并没有取
我正在尝试在 GKE (v1.11.2-gke.18) 上实现具有相互 TLS 身份验证的 gRPC 服务。 不强制执行客户端身份验证时,GKE 自动创建的 HTTP2 运行状况检查会响应,并且所有连
namespace 上启用了自动注入(inject),我正在尝试使用 Auto mTLS。已验证 Istio pilot 和 citadel 运行正常。已正确创建和安装证书密码。 istio 代理启动
我有一个托管 REST 回显服务的 Kubernetes 集群 (AKS)。该服务通过 HTTP 运行良好。我正在使用 NGINX 入口来路由流量。我现在想通过 HTTPS 和 mTLS 设置此服务,
我有一个有趣的问题,也许你可以帮助我。 给定了两个 spring 应用程序,分别称为 app1 和 app2。这两个服务都发生了大量的 REST 调用。我需要实现一个安全解决方案,它们都可以在 RES
我是一名优秀的程序员,十分优秀!