方案架构

本次实例与官方Envoy front_proxy Example相似,首先会有一个Envoy单独运行。ingress的工作是给其他地方提供一个入口。来自外部的传入连接请求到这里,前端代理将会决定他们在内部的转发路径。

图源自Envoy官网文档 front_proxy

生成证书

openssl req -nodes -new -x509 -keyout certs/server.key -out certs/server.crt -days 365 -subj "/C=CN/ST=Guangdong/L=Guangzhou/O=studyenvoy/OU=studyenvoy/CN=*.studyenvoy.cn"

envoy配置说明

v3 api中envoy去掉了tls_context的配置,配置tls首先需要熟悉envoy的如下两个术语

  • Downstream:下游主机连接到 Envoy,发送请求并或获得响应。
  • Upstream:上游主机获取来自 Envoy 的链接请求和响应。

本次使用的是ingress的代理,需要配置的即为 Downstream

v3api中使用的是transport_socket,transport_socket为 listeners 当中某一个 filter_chains 中上线文中的配置。



transport_socket 官方说明为:

(config.core.v3.TransportSocket) Optional custom transport socket implementation to use for downstream connections. To setup TLS, set a transport socket with name tls and DownstreamTlsContext in the typed_config. If no transport socket configuration is specified, new connections will be set up with plaintext.

查看官网的transport_socket配置说明

这里使用的类型为DownstreamTlsContext

 transport_socket: # 设置tls

        name: envoy.transport_sockets.tls # 定义名称,不能为空

        typed_config: # 实现配置的类型

          "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext

          common_tls_context: # 设置tls上下文

            tls_certificates:

              certificate_chain: # 公钥设置 必须设置为,filename,inline_bytes

                filename: "/etc/envoy/certs/server.crt"

              private_key: # 私钥设置 必须设置为,filename,inline_bytes

                filename: "/etc/envoy/certs/server.key"

准备envoy和后端服务运行环境

envoy配置文件

admin:

  access_log_path: /dev/null

  address:

    socket_address: { address: 0.0.0.0, port_value: 9901 }

static_resources:

  listeners:

  - name: listeners_http

    address:

      socket_address: { address: 0.0.0.0, port_value: 80 }

    filter_chains:

    - filters:

      - name: envoy.http_connenttion_manager

        typed_config:

          "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager

          stat_prefix: ingress_http

          codec_type: AUTO

          route_config:

            name: local_route

            virtual_hosts:

            - name: local_service

              domains: [ "*" ]

              routes:

              - match: { prefix: "/" }

                redirect:

                  path_redirect: "/"

                  https_redirect: true

          http_filters:

          - name: envoy.router

  - name: listener_https

    address:

      socket_address: { address: 0.0.0.0, port_value: 443 }

    filter_chains:

    - filters:

      - name: envoy.http_connection_manager

        typed_config:

          "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager

          stat_prefix: ingress_http

          codec_type: AUTO

          route_config:

            name: local_route

            virtual_hosts:

            - name: local_service

              domains: [ "*" ]

              routes:

              - match: { prefix: "/" }

                route: { cluster: local_service }

          http_filters:

          - name: envoy.router

      transport_socket:

        name: envoy.transport_sockets.tls

        typed_config:

          "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext

          common_tls_context:

            tls_certificates:

              certificate_chain:

                filename: "/etc/envoy/certs/server.crt"

              private_key:

                filename: "/etc/envoy/certs/server.key"

  clusters:

  - name: local_service

    connect_timeout: 0.25s

    type: STRICT_DNS

    lb_policy: ROUND_ROBIN

    load_assignment:

      cluster_name: local_service

      endpoints:

      - lb_endpoints:

        - endpoint:

            address:

              socket_address: { address: webservice, port_value: 90 }

docker-compose文件示例

version: '3'

services:

  envoy:

    image: envoyproxy/envoy-alpine:v1.15-latest

    environment:

    - ENVOY_UID=0

    ports:

    - 80:80

    - 443:443

    - 82:9901

    volumes:

    - ./envoy.yaml:/etc/envoy/envoy.yaml

    - ./certs:/etc/envoy/certs

    networks:

      envoymesh:

        aliases:

        - envoy

    depends_on:

    - webserver

  webserver:

    image: sealloong/envoy-end:latest

    environment:

    - COLORFUL=blue

    networks:

      envoymesh:

        aliases:

        - myservice

        - webservice

    expose:

    - 90

networks:

  envoymesh: {}

容器启动正常

证书使用者也为生成证书的信息一致

Envoy :V3APi 开启 TLS的更多相关文章

  1. 开启 TLS 1.3 加密协议,极速 HTTPS 体验

    随着互联网的发展,用户对网络速度的要求也越来越高,尤其是目前在大力发展 HTTPS 的情况下,TLS 加密协议变得至关重要.又拍云在 HTTPS 的普及和性能优化上,始终做着自己的努力和贡献.2018 ...

  2. Docker开启TLS和CA认证

    前言:Docker直接开启2375端口是不安全的,别人只要连上之后就可以任意操作,下面是开启Docker的TLS和CA认证方法,并使用Jenkins和Portainer连接. 一.生成证书 查看服务器 ...

  3. 二进制方式部署Kubernetes 1.6.0集群(开启TLS)

    本节内容: Kubernetes简介 环境信息 创建TLS加密通信的证书和密钥 下载和配置 kubectl(kubecontrol) 命令行工具 创建 kubeconfig 文件 创建高可用 etcd ...

  4. centos7.4安装高可用(haproxy+keepalived实现)kubernetes1.6.0集群(开启TLS认证)

    目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名 ...

  5. centos7.4安装kubernetes1.6.0(开启TLS认证)

    目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名 ...

  6. Envoy:开启访问日志,access_log

    access_log: - name: envoy.listener.accesslog typed_config: "@type": type.googleapis.com/en ...

  7. Envoy:TLS双向认证

    环境准备 主机 角色 数量 front-envoy front envoy 1 service envoy 作为内部后端的envoy 2 end 后端应用程序 2 访问 / front-envoy = ...

  8. Kubernetes1.6集群上(开启了TLS)安装Dashboard

    本节内容: 配置dashboard 执行所有定义的文件 检查执行结果 访问dashboard 这是接着上一篇<二进制方式部署Kubernetes 1.6.0集群(开启TLS)>写的.Kub ...

  9. 什么是TLS?

    最近在Istio实验中经常遇到HTTP,HTTPS,TLS等名词,感觉忘得差不多,需要复习一下计算机网络的知识了. 本文参考   http://www.techug.com/post/https-ss ...

随机推荐

  1. 【Azure Developer】Github Action部署资源(ARM模板)到Azure中国区时,遇见登录问题的解决办法

    问题描述 在参考文档"使用 GitHub Actions 部署 ARM 模板"一文中,由于是在中国区Azure上操作,所以生产的部署凭证为中国区凭证.当创建工作流时,在登录到Azu ...

  2. docker使用常见问题解决方案:错误号码2058,docker WARNING :IPv4,容器间的通讯

    1.错误号码2058 1,错误解决: 解决方法:docker下mysql容器 登录 mysql -u root -p 登录你的 mysql 数据库,然后 执行这条SQL: ALTER USER 'ro ...

  3. istio:在vs中实现ab测试和路径切割

    此篇内容 主要目的是总结vs中的match的有关规则和在istio中如何实现路径切割(当下版本1.8.2) 实验demo main.go package main import ( "git ...

  4. 全网最详细的Linux命令系列-Find命令

    Find工具实战 Find工具实战,Find工具主要用于操作系统文件.目录的查找,其语法参数格式为: find path -option [ -print ] [ -exec -ok command ...

  5. kubernetes 降本增效标准指南| 资源利用率提升工具大全

    背景 公有云的发展为业务的稳定性.可拓展性.便利性带来了极大帮助.这种用租代替买.并且提供完善的技术支持和保障的服务,理应为业务带来降本增效的效果.但实际上业务上云并不意味着成本一定较少,还需适配云上 ...

  6. springboot基础项目搭建(十五篇)

    springboot系列一.springboot产生背景及介绍 springboot系列二.springboot项目搭建 springboot系列三.springboot 单元测试.配置访问路径.多个 ...

  7. 翻译:《实用的Python编程》09_01_Packages

    目录| 上一节 (8.3 调试) | 下一节 (9.2 第三方包) 9.1 包 如果编写一个较大的程序,我们并不真的想在顶层将其组织为一个个独立文件的大型集合.本节对包(package)进行介绍. 模 ...

  8. 消息中间件-RabbitMQ消息可靠性和插件化机制

    package com.study.rabbitmq.a132.confirm; import com.rabbitmq.client.*; import java.io.IOException; i ...

  9. 浅谈 Fresco 框架结构

    在前面的文章 Fresco 源码分析 -- 图片加载流程 里面详细说明了图片加载的整个流程,但是除了理解源码之外,对于源码的框架层面的设计也是需要去了解的,不能只是简单的读源码,好的源码的框架设计也是 ...

  10. 0ctf_2017_babyheap

    0ctf_2017_babyheap 首先检查一下保护 IDA 分析好的代码如下 首先申请了一块内存地址用来存放结构体数组,地址随机. 堆题常见的几个功能.我们来看看add 这里申请内存用的是call ...