Flomesh Ingress 使用实践(四)TLS 透传

最新推荐文章于 2025-06-01 09:17:54 发布
原创 最新推荐文章于 2025-06-01 09:17:54 发布 · 405 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #service_mesh #kubernetes #云原生

文章介绍了Flomesh流量管理体系中的FSM组件,特别是其SSL透传功能。SSL透传在保证数据加密不被代理解密的情况下转发到上游服务器,确保了数据安全性。文章提供了一个使用Helm在K3s集群上安装FSM并启用SSL透传的示例,以及通过curl测试SSL连接的流程。

在这里插入图片描述

FSM 是 Flomesh 流量管理体系的一个开源组件,用于 Kubernetes 南北向的流量管理。FSM 以可编程代理 Pipy 为核心,提供了 Ingress 管理器、Gateway API* 实现、负载均衡器以及跨集群的服务注册发现等功能。

在文章 《使用 Flomesh Ingress 管理 osm-edge 服务网格入口流量》 中,我们使用 Flomesh Ingress 来服务网格的入口流量管理。实际上 Flomesh Ingress 的功能还有很多,我们后续会一一介绍。

今天就为大家介绍 Flomesh Ingress 的 SSL 透传功能。

什么是 SSL 透传

SSL(Secure Socket Layer)也被称作 TLS(Transport Layer Security),其通过加密的方式来保护客户端与服务端的安全通信。

在这里插入图片描述

SSL 透传(SSL Passthrough)是代理服务器处理 SSL 请求的两种方式之一(另一种是 SSL offload)。在 SSL 透传模式下,代理不会解密来自客户端的 SSL 请求,而是将其传递到上游服务器进行解密,这就意味着数据在通过代理的时候保持加密的状态,以此来保证重要和敏感数据的安全性。

SSL 透传的优点

  • 由于数据不在代理上解密,而是以加密的方式转发到上游服务器,数据可以免受网络攻击。
  • 加密数据未经解密到达上游服务,确保了数据的机密性。
  • 这也是代理配置 SSL 的最简单方法。

SSL 透传的缺点

  • 流量中可能会恶意代码,这些代码将直接到达后端服务器。
  • 在 SSL 透传过程中,无法切换服务器。
  • 无法做 7 层流量处理。

接下来我们看下,如何使用 FMS Ingress 的 SSL 透传。

Demo

环境准备

使用单节点的 K3s 集群,并禁用 traefik。

export
最低0.47元/天 解锁文章
k8s http/https nginx ingress (by quqi99)
技术并艺术着
11-05 3787
作者:张华 发表于:2019-11-05 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (https://zhhuabj.blog.youkuaiyun.com) Client与nginx-ingress之间可以配置https,此时nginx-ignress与backends仍然可以配置http, ssl termination, ssl passthrough三种模...
【k8s】Ingress部署、加密、认证、重写
sl963216757的博客
07-09 1187
一、Ingress简介 ingress官方文档 Ingress 公开了从集群外部到集群内服务的 HTTP 和 HTTPS 路由。 流量路由由 Ingress 资源上定义的规则控制。 可以将 Ingress 配置为服务提供外部可访问的 URL、负载均衡流量、终止 SSL/TLS,以及提供基于名称的虚拟主机等能力。Ingress 控制器 通常负责通过负载均衡器来实现 Ingress,尽管它也可以配置边缘路由器或其他前端来帮助处理流量。 Ingress 不会公开任意端口或协议。 将 HTTP 和 H
利用frps搭建本地自签名https服务的
lggirls的博客
09-02 4183
本文是为了解决前一篇文章中关于nextcloud强制使用https后一系列问题的解决方案。 确定了如何用frp对https进行转发,以及本地和服务端的基本配置示例。强制http转换到https
推荐开源项目:轻量级状态机库fsm
gitblog_00835的博客
08-23 507
推荐开源项目:轻量级状态机库fsm 在软件开发的广阔天地里,状态机作为一种强大的抽象工具,被广泛应用于游戏开发、网络编程、协议解析等多个领域。今天,我们要介绍的是一个名为fsm的开源项目,它为开发者提供了一个简洁高效的轻量级状态机实现方案。 项目介绍 fsm是一个基于C++编写的轻量级有限状态机(Finite State Machine)类库。该项目特别之处在于它不仅提供了基础的状态机实现,还支持...
https简单总结下
li198847的博客
12-18 654
1.公钥与私钥原理 1)鲍勃有两把钥匙,一把是公钥,另一把是私钥 2)鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。 3)苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。 4)鲍勃收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要鲍勃的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。 5)鲍勃给苏珊回信,决定采用"数字签名"。他...
Argo CD 项目中的 Ingress 配置详解
最新发布
gitblog_00798的博客
06-01 587
Argo CD 项目中的 Ingress 配置详解 【免费下载链接】argo-cd Argo CD 是一个声明式 Kubernetes 应用部署工具,可实现应用程序的自动化部署和版本控制。 * 提供 Kubernetes 应用的自动化部署和版本控制功能,支持多种部署策略,简化 Kubernetes 应用管理。 * 有...
nginx-ingress-controller功能
小森饭的博客
04-27 2636
参考:https://kubernetes.github.io/ 典型使用方式http和https apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: annotations: nginx.ingress.kubernetes.io/proxy-body-size: "0" nginx.ingress.kubernetes.io/proxy-read-timeout: "600" nginx.in.
Kubernetes 安装配置ingress controller
qianghong000的博客
11-21 1495
Kubernetes 安装配置ingress controller
Kubernetes Ingress 全方位解析
qq_36880175的博客
03-06 1177
定义:Kubernetes 中管理外部访问集群服务的 API 对象,提供 HTTP/HTTPS 路由、负载均衡和 TLS 终止等功能与 Service 的区别:Service 提供 L4 层代理(TCP/UDP)Ingress 实现 L7 层代理(HTTP/HTTPS)并提供更智能的路由规则数据流路径: 1.4.2 Ingress Controller 组件功能 实现机制 扩展能力 动态配置更新 监听 Ingress 资源变更 支持热
使用passthrough模式,只通过PCI任意设备(该过程是在RHEL7系统进行,其他系统原理一样)
小宇宙的专栏
11-22 6002
1.在HOST 选择PCI设备 [root@localhost~]# dmesg |grep -e DMAR -e IOMMU [    0.000000] ACPI: DMAR 000000007b7be000 00120(v01 INSYDE  HSW-LPT 00000001 ACPI00040000) [    0.155894] dmar: IOMMU 0: reg_base_a
Finite State Machine (FSM)-开源
04-26
该库是可扩展动态可配置有限状态机(FSM)的实现。 状态机的配置不是编译的,而是在运行时从文件加载或由应用程序创建的。
开源项目-evnix-mealy-fsm.zip
09-05
开源项目-evnix-mealy-fsm.zip,A mealy Style Finite State Machine in GO - suggestion appreciated :)
Http跟Https的区别,以及Https中的SSL
p=f/s
08-18 857
写在前面:简单总结下http跟https是的区别,并讲解下https中的ssl。   正文: 1、HTTP跟HTTPS的概念:   HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器输超文本到本地浏览器的输协议,它可以使浏览器更加高效,使网络输减少。   HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安...
SSL/TSL握手过程详解
糖豆包子的博客
08-07 1049
SSL/TLS 握手过程 Client Hello握手第一步是客户端向服务端发送 Client Hello 消息,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件(Support Ciphers)和 SSL Version 等信息。 Server Hello 第二步是服务端向客户端发送 Server Hello 消息,这个消息会从 Client Hello 过来的 S
使用 Flomesh 强化 Spring Cloud 服务治理
hanfengzxh的博客
08-19 597
写在最前这篇是关于如何使用 Flomesh[1] 服务网格来强化 Spring Cloud 的服务治理能力,降低 Spring Cloud 微服务架构落地服务网格的门槛,实现“自主可控”。文档在 github[2] 上持续更新,欢迎大家一起讨论:https://github.com/flomesh-io/flomesh-bookinfo-demo。架构Architect环境搭建搭建 Kubernetes 环境,可以选择 kubeadm 进行集群搭建。也可以选择 min
升级到Kubernetes1.8.4的配置细节差异以及k8s几个不常见的坑
热门推荐
紫枫凝潇烟
11-02 1万+
kubernetes已经发布了1.8,今天需要在一个新机房部署k8s环境,于是决定尝试最新版本1.8,部署过程中故意和以前的部署步骤有些不同,故而出现了一些问题,并且发现k8s这有个新版本本身几个差异地方记录如下: 1.首先遇到的问题便是get-kub-binaries.sh执行之后,无法正常下载到新版的程序压缩包了,在1.7以前都不需要科学上网就可以下载的。我只好在设置好代理的服务器上执行它下
traefik https配置
07-31 6305
前言 随着https的流行,现在绝大多数网站都转向了https。在kubernetes使用traefik暴露服务,我们也可以添加上https支持,这样外部就可以通过https访问,进一步提高安全性。 环境 kubernetes 1.10.4 traefik v1.6 k8s集群部署推荐项目:https://github.com/gjmzj/kubeasz https证书申请...
nginx配置ssl
穿过你的代码我的手
01-12 4310
感谢大牛的技术分享,本文参照:http://blog.youkuaiyun.com/kunoy/article/details/8239653,进行,并修正为自己的配置,本文为双向验证的配置。 配置环境 系统:centos6.5 nginx:1.6.2(安装通过yum安装,添加源,这个是stable`稳定版本`,http://nginx.org/packages/centos/6/noarch/RPMS
PlayMaker又一很吊的开源项目
大话程序员
08-13 4129
PlayMaker,1个U3D做游戏的FSM开源组件,其实我也不确定是不是开源,一开始还以为是某一公司的项目,因为很多功能都很工整,程序员会觉得还不错,非程序员会喜欢用,我个人觉得设计,功能,实效,推广,各方面实在是不能再好了,但看了下描述,视乎也是半开源的,看到这些Roadmap都做得都不多了,替他们觉得高兴,但自己又很失落,什么时候也才有这水平,只能勉励自己了,“很多项目都是各项前置条件缺乏,通
ingress可以代理ws吗
03-24
| 101 Switching Protocols 错误 | 检查`Upgrade`头是否 | | 连接频繁断开 | 调整`proxy-read-timeout`参数 | | HTTPS下无法连接 | 确认证书有效性 & 启用`wss://`协议 | --- ### **6. 服务网格的差异** Istio ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PipyFlomesh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值