方案架构

本次实例与官方Envoy front_proxy Example相似,首先会有一个Envoy单独运行。ingress的工作是给其他地方提供一个入口。来自外部的传入连接请求到这里,前端代理将会决定他们在内部的转发路径。

图源自Envoy官网文档 front_proxy

生成证书

openssl req -nodes -new -x509 -keyout certs/server.key -out certs/server.crt -days 365 -subj "/C=CN/ST=Guangdong/L=Guangzhou/O=studyenvoy/OU=studyenvoy/CN=*.studyenvoy.cn"

envoy配置说明

v3 api中envoy去掉了tls_context的配置,配置tls首先需要熟悉envoy的如下两个术语

  • Downstream:下游主机连接到 Envoy,发送请求并或获得响应。
  • Upstream:上游主机获取来自 Envoy 的链接请求和响应。

本次使用的是ingress的代理,需要配置的即为 Downstream

v3api中使用的是transport_socket,transport_socket为 listeners 当中某一个 filter_chains 中上线文中的配置。



transport_socket 官方说明为:

(config.core.v3.TransportSocket) Optional custom transport socket implementation to use for downstream connections. To setup TLS, set a transport socket with name tls and DownstreamTlsContext in the typed_config. If no transport socket configuration is specified, new connections will be set up with plaintext.

查看官网的transport_socket配置说明

这里使用的类型为DownstreamTlsContext

 transport_socket: # 设置tls

        name: envoy.transport_sockets.tls # 定义名称,不能为空

        typed_config: # 实现配置的类型

          "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext

          common_tls_context: # 设置tls上下文

            tls_certificates:

              certificate_chain: # 公钥设置 必须设置为,filename,inline_bytes

                filename: "/etc/envoy/certs/server.crt"

              private_key: # 私钥设置 必须设置为,filename,inline_bytes

                filename: "/etc/envoy/certs/server.key"

准备envoy和后端服务运行环境

envoy配置文件

admin:

  access_log_path: /dev/null

  address:

    socket_address: { address: 0.0.0.0, port_value: 9901 }

static_resources:

  listeners:

  - name: listeners_http

    address:

      socket_address: { address: 0.0.0.0, port_value: 80 }

    filter_chains:

    - filters:

      - name: envoy.http_connenttion_manager

        typed_config:

          "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager

          stat_prefix: ingress_http

          codec_type: AUTO

          route_config:

            name: local_route

            virtual_hosts:

            - name: local_service

              domains: [ "*" ]

              routes:

              - match: { prefix: "/" }

                redirect:

                  path_redirect: "/"

                  https_redirect: true

          http_filters:

          - name: envoy.router

  - name: listener_https

    address:

      socket_address: { address: 0.0.0.0, port_value: 443 }

    filter_chains:

    - filters:

      - name: envoy.http_connection_manager

        typed_config:

          "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager

          stat_prefix: ingress_http

          codec_type: AUTO

          route_config:

            name: local_route

            virtual_hosts:

            - name: local_service

              domains: [ "*" ]

              routes:

              - match: { prefix: "/" }

                route: { cluster: local_service }

          http_filters:

          - name: envoy.router

      transport_socket:

        name: envoy.transport_sockets.tls

        typed_config:

          "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext

          common_tls_context:

            tls_certificates:

              certificate_chain:

                filename: "/etc/envoy/certs/server.crt"

              private_key:

                filename: "/etc/envoy/certs/server.key"

  clusters:

  - name: local_service

    connect_timeout: 0.25s

    type: STRICT_DNS

    lb_policy: ROUND_ROBIN

    load_assignment:

      cluster_name: local_service

      endpoints:

      - lb_endpoints:

        - endpoint:

            address:

              socket_address: { address: webservice, port_value: 90 }

docker-compose文件示例

version: '3'

services:

  envoy:

    image: envoyproxy/envoy-alpine:v1.15-latest

    environment:

    - ENVOY_UID=0

    ports:

    - 80:80

    - 443:443

    - 82:9901

    volumes:

    - ./envoy.yaml:/etc/envoy/envoy.yaml

    - ./certs:/etc/envoy/certs

    networks:

      envoymesh:

        aliases:

        - envoy

    depends_on:

    - webserver

  webserver:

    image: sealloong/envoy-end:latest

    environment:

    - COLORFUL=blue

    networks:

      envoymesh:

        aliases:

        - myservice

        - webservice

    expose:

    - 90

networks:

  envoymesh: {}

容器启动正常

证书使用者也为生成证书的信息一致

Envoy :V3APi 开启 TLS的更多相关文章

  1. 开启 TLS 1.3 加密协议,极速 HTTPS 体验

    随着互联网的发展,用户对网络速度的要求也越来越高,尤其是目前在大力发展 HTTPS 的情况下,TLS 加密协议变得至关重要.又拍云在 HTTPS 的普及和性能优化上,始终做着自己的努力和贡献.2018 ...

  2. Docker开启TLS和CA认证

    前言:Docker直接开启2375端口是不安全的,别人只要连上之后就可以任意操作,下面是开启Docker的TLS和CA认证方法,并使用Jenkins和Portainer连接. 一.生成证书 查看服务器 ...

  3. 二进制方式部署Kubernetes 1.6.0集群(开启TLS)

    本节内容: Kubernetes简介 环境信息 创建TLS加密通信的证书和密钥 下载和配置 kubectl(kubecontrol) 命令行工具 创建 kubeconfig 文件 创建高可用 etcd ...

  4. centos7.4安装高可用(haproxy+keepalived实现)kubernetes1.6.0集群(开启TLS认证)

    目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名 ...

  5. centos7.4安装kubernetes1.6.0(开启TLS认证)

    目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名 ...

  6. Envoy:开启访问日志,access_log

    access_log: - name: envoy.listener.accesslog typed_config: "@type": type.googleapis.com/en ...

  7. Envoy:TLS双向认证

    环境准备 主机 角色 数量 front-envoy front envoy 1 service envoy 作为内部后端的envoy 2 end 后端应用程序 2 访问 / front-envoy = ...

  8. Kubernetes1.6集群上(开启了TLS)安装Dashboard

    本节内容: 配置dashboard 执行所有定义的文件 检查执行结果 访问dashboard 这是接着上一篇<二进制方式部署Kubernetes 1.6.0集群(开启TLS)>写的.Kub ...

  9. 什么是TLS?

    最近在Istio实验中经常遇到HTTP,HTTPS,TLS等名词,感觉忘得差不多,需要复习一下计算机网络的知识了. 本文参考   http://www.techug.com/post/https-ss ...

随机推荐

  1. java例题_34 用指正对三个数排序

    1 /*34 [程序 34 三个数排序] 2 题目:输入 3 个数 a,b,c,按大小顺序输出. 3 程序分析:利用指针方法. 4 */ 5 6 /*分析 7 * 指针方法的本质是按地址传值,将a,b ...

  2. Android Studio 之 BaseAdapter 学习笔记

    •前行必备--ListView的显示与缓存机制 我们知道 ListView.GridView 等控件可以展示大量的数据信息. 假如下图中的 ListView 可以展示 100 条信息,但是屏幕的尺寸是 ...

  3. GitlabCI/CD&Kubernetes项目交付流水线实践

    GitlabCI实践 GitLabCI/CD基础概念 为什么要做CI/CD? GitLab CI/CD简介 GitLabCI VS Jenkins 安装部署GitLab服务 GitLabRunner实 ...

  4. 可读性友好的JavaScript:两个专家的故事

    每个人都想成为专家,但什么才是专家呢?这些年来,我见过两种被称为"专家"的人.专家一是指对语言中的每一个工具都了如指掌的人,而且无论是否有帮助,都一定要用好每一点.专家二也知道每一 ...

  5. OO_Unit3_Summary

    JML这一单元是真的有含金量,很有难度.而且这难点和前两单元完全不同,前两单元是容易架构混乱导致细节出问题,JML单元是读不懂JML规格的话架构都构不出来,以及即使能够读懂JML规格了,让自己写规格的 ...

  6. c# 输出一个数组

    关于C#输出一个数组最普遍的方法就是用for 循环语句写 如: int[] a = new int[10];for (int i = 0; i < a.Length; i++) { a[i] = ...

  7. 记docker安装和ida远程调试问题

    docker安装 1.卸载可能存在的旧版本: sudo apt-get remove docker docker-engine docker-ce docker.io   如果想要彻底卸载docker ...

  8. 19. slot插槽传递模板

    插槽,也就是slot,是组件的一块HTML模板,这块模板显示不显示.以及怎样显示由父组件来决定. 插槽模板是slot,它是一个空壳子,因为它显示与隐藏以及最后用什么样的html模板显示由父组件控制.但 ...

  9. mooc人大单元测试2

    1 单选(2分) 下列选项中不是关系数据库基本特征的是(  ). A. 不同的列应有不同的数据类型 B. 不同的列应有不同的列名 C. 与行的次序无关 D. 与列的次序无关 2 单选(2分) 关系代数 ...

  10. Python 极速入门指南

    前言 转载于本人博客. 面向有编程经验者的极速入门指南. 大部分内容简化于 W3School,翻译不一定准确,因此标注了英文. 包括代码一共两万字符左右,预计阅读时间一小时. 目前我的博客长文显示效果 ...