Flomesh Ingress 使用实践(四)TLS 透传

最新推荐文章于 2025-06-01 09:17:54 发布
原创 最新推荐文章于 2025-06-01 09:17:54 发布 · 405 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #service_mesh #kubernetes #云原生

文章介绍了Flomesh流量管理体系中的FSM组件,特别是其SSL透传功能。SSL透传在保证数据加密不被代理解密的情况下转发到上游服务器,确保了数据安全性。文章提供了一个使用Helm在K3s集群上安装FSM并启用SSL透传的示例,以及通过curl测试SSL连接的流程。

在这里插入图片描述

FSM 是 Flomesh 流量管理体系的一个开源组件,用于 Kubernetes 南北向的流量管理。FSM 以可编程代理 Pipy 为核心,提供了 Ingress 管理器、Gateway API* 实现、负载均衡器以及跨集群的服务注册发现等功能。

在文章 《使用 Flomesh Ingress 管理 osm-edge 服务网格入口流量》 中,我们使用 Flomesh Ingress 来服务网格的入口流量管理。实际上 Flomesh Ingress 的功能还有很多,我们后续会一一介绍。

今天就为大家介绍 Flomesh Ingress 的 SSL 透传功能。

什么是 SSL 透传

SSL(Secure Socket Layer)也被称作 TLS(Transport Layer Security),其通过加密的方式来保护客户端与服务端的安全通信。

在这里插入图片描述

SSL 透传(SSL Passthrough)是代理服务器处理 SSL 请求的两种方式之一(另一种是 SSL offload)。在 SSL 透传模式下,代理不会解密来自客户端的 SSL 请求,而是将其传递到上游服务器进行解密,这就意味着数据在通过代理的时候保持加密的状态,以此来保证重要和敏感数据的安全性。

SSL 透传的优点

  • 由于数据不在代理上解密,而是以加密的方式转发到上游服务器,数据可以免受网络攻击。
  • 加密数据未经解密到达上游服务,确保了数据的机密性。
  • 这也是代理配置 SSL 的最简单方法。

SSL 透传的缺点

  • 流量中可能会恶意代码,这些代码将直接到达后端服务器。
  • 在 SSL 透传过程中,无法切换服务器。
  • 无法做 7 层流量处理。

接下来我们看下,如何使用 FMS Ingress 的 SSL 透传。

Demo

环境准备

使用单节点的 K3s 集群,并禁用 traefik。

export
最低0.47元/天 解锁文章
nginx ssl
zhaoyangjian724的专栏
06-13 2375
nginx 4层ssl: ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-stream --with-stream_ssl_preread_module --with-stream_ssl_module node2:/root/nginx-1.17.9#/usr/local/nginx/sbin/nginx -c /etc/nginx/nginx_900.
uiautomator2+mitmproxy+weditor+Python3抖音数据抓取
热门推荐
wywinstonwy的专栏
06-02 1万+
一、uiautomator2 UiAutomator是Google提供的用来做安卓自动化测试的一个Java库,基于Accessibility服务。功能很强,可以对第三方App进行测试,获取屏幕上任意一个APP的任意一个控件属性,并对其进行任意操作,但有两个缺点:1. 测试脚本只能使用Java语言 2. 测试脚本要打包成jar或者apk包上到设备上才能运行。 我们希望测试逻辑能够用Python编写,能够在电脑上运行的时候就控制手机。这里要非常感谢 Xiaocong He (@xiaocong),他将这个
利用frps搭建本地自签名https服务的
lggirls的博客
09-02 4183
本文是为了解决前一篇文章中关于nextcloud强制使用https后一系列问题的解决方案。 确定了如何用frp对https进行转发,以及本地和服务端的基本配置示例。强制http转换到https
mitmdump抓包中遇到的一些问题总结
m0_56082814的博客
12-30 5490
mitmdump是 mitmproxy 的命令行接口,利用它我们可以捕获手机app中的请求并对接 Python 脚本,用 Python 实现监听后的处理。安装方法可以参考相关链接,下面主要讲下遇到的问题及处理方法。 问题:Cannot establish TLS with client报错 在配置完电脑和手机端的证书并且手机代理设置好后,滑动手机捕获请求时cmd会一直闪动并且报Cannot establish TLS with client错误,如下图: 错误原因:mitmproxy缺少https..
38.云原生之Istio安全-流量鉴权加密
wangluoanquan111的博客
03-28 1279
在实际的渗测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。[Istio 文档](https://istio.io/latest/zh/docs/tasks/security/authentication/mtls-Istio流量主要包含入口流量和内部流量,入口流量是需要TLS进行加密的,加密解密过程是需要消耗CPU资源的,若是集群规模比较大内部服务多,内部流量。
k8s http/https nginx ingress (by quqi99)
技术并艺术着
11-05 3787
作者:张华 发表于:2019-11-05 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (https://zhhuabj.blog.youkuaiyun.com) Client与nginx-ingress之间可以配置https,此时nginx-ignress与backends仍然可以配置http, ssl termination, ssl passthrough三种模...
【k8s】Ingress部署、加密、认证、重写
sl963216757的博客
07-09 1187
一、Ingress简介 ingress官方文档 Ingress 公开了从集群外部到集群内服务的 HTTP 和 HTTPS 路由。 流量路由由 Ingress 资源上定义的规则控制。 可以将 Ingress 配置为服务提供外部可访问的 URL、负载均衡流量、终止 SSL/TLS,以及提供基于名称的虚拟主机等能力。Ingress 控制器 通常负责通过负载均衡器来实现 Ingress,尽管它也可以配置边缘路由器或其他前端来帮助处理流量。 Ingress 不会公开任意端口或协议。 将 HTTP 和 H
Kubernetes 安装配置ingress controller
qianghong000的博客
11-21 1495
Kubernetes 安装配置ingress controller
Kubernetes Ingress 全方位解析
qq_36880175的博客
03-06 1177
定义:Kubernetes 中管理外部访问集群服务的 API 对象,提供 HTTP/HTTPS 路由、负载均衡和 TLS 终止等功能与 Service 的区别:Service 提供 L4 层代理(TCP/UDP)Ingress 实现 L7 层代理(HTTP/HTTPS)并提供更智能的路由规则数据流路径: 1.4.2 Ingress Controller 组件功能 实现机制 扩展能力 动态配置更新 监听 Ingress 资源变更 支持热
Cannot establish TLS with client: TlsException("SSL handshake error")
学海无涯
12-13 1万+
mitmproxy & python - ignore all hosts with https/ssl PC端安装mitmproxy,生成证书,并在手机端安装android证书,然后设置手机ip代理,仍然报错,错误如下图 找了两天终于在stackoverflow找到了解决办法。转载自> https://stackoverflow.com/questions/53309111/mi...
开源项目-evnix-mealy-fsm.zip
09-05
开源项目-evnix-mealy-fsm.zip,A mealy Style Finite State Machine in GO - suggestion appreciated :)
Finite State Machine (FSM)-开源
04-26
该库是可扩展动态可配置有限状态机(FSM)的实现。 状态机的配置不是编译的,而是在运行时从文件加载或由应用程序创建的。
C++下的FSM(有限状态机),添加消息机制
03-04
一个FSM的基本骨架,可以根据自己的需要来方便的通过设置状态来调整AI,初学者可能会被需要配置那么多的状态给吓到,但这对于后期维护有着很方便的效果,至少相比于一大批的if ~ else,还是FSM更加方便,此版本添加了消息机制,可以在几个角色间互相通讯,另外,虽然是在cocos2dx上编程的,但是基本没有关联,因此如果需要在cocos2dx上使用,还需要做些关联,如此,希望我的这份代码能够帮助到大家
推荐开源项目:轻量级状态机库fsm
gitblog_00835的博客
08-23 507
推荐开源项目:轻量级状态机库fsm 在软件开发的广阔天地里,状态机作为一种强大的抽象工具,被广泛应用于游戏开发、网络编程、协议解析等多个领域。今天,我们要介绍的是一个名为fsm的开源项目,它为开发者提供了一个简洁高效的轻量级状态机实现方案。 项目介绍 fsm是一个基于C++编写的轻量级有限状态机(Finite State Machine)类库。该项目特别之处在于它不仅提供了基础的状态机实现,还支持...
https简单总结下
li198847的博客
12-18 654
1.公钥与私钥原理 1)鲍勃有两把钥匙,一把是公钥,另一把是私钥 2)鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。 3)苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。 4)鲍勃收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要鲍勃的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。 5)鲍勃给苏珊回信,决定采用"数字签名"。他...
利用stream做ssl passthrough
任我行的博客
12-22 2247
利用了nginx的stream配置,stream就是tcp的转发,如果只想绑定一个443端口,通过用户访问的域名来区分不同的服务,类似ingress的功能。用户可以采用ssl passthrough模式。 原来nginx可以打开一个预读开关,可以(在握手阶段)把域名读出来,如下面的preread on。 stream { map $ssl_preread_server_name $name { app1 app1_backend; app2 app2_backe
Argo CD 项目中的 Ingress 配置详解
最新发布
gitblog_00798的博客
06-01 587
Argo CD 项目中的 Ingress 配置详解 【免费下载链接】argo-cd Argo CD 是一个声明式 Kubernetes 应用部署工具,可实现应用程序的自动化部署和版本控制。 * 提供 Kubernetes 应用的自动化部署和版本控制功能,支持多种部署策略,简化 Kubernetes 应用管理。 * 有...
使用 Flomesh 服务网格进行流量拆分
shaderx004的博客
05-02 236
在微服务的架构中,随着业务迭代的加速和服务数量的增加,每一次服务的更新发布都存在潜在的故障风险,对系统的可靠性带来挑战。如何降低新版本发布对业务的影响,让更新更加可控成为微服务治理的重要工作之一。
nginx-ingress-controller功能
小森饭的博客
04-27 2636
参考:https://kubernetes.github.io/ 典型使用方式http和https apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: annotations: nginx.ingress.kubernetes.io/proxy-body-size: "0" nginx.ingress.kubernetes.io/proxy-read-timeout: "600" nginx.in.
ingress可以代理ws吗
03-24
<think>嗯,用户之前问过关于Ingress和服务网格的问题,现在他们想知道Ingress是否可以代理WebSocket(WS)。首先,我需要确认用户对Ingress的理解程度,可能他们已经知道Ingress的基本功能,但想深入具体协议支持。 用户可能是在部署需要WebSocket的应用,比如实时聊天、在线游戏或者实时数据更新服务,这些场景下WebSocket是必须的。他们可能遇到了配置问题,或者在选择Ingress控制器时犹豫不决,想知道主流的Ingress是否支持。 我需要先回答是否支持,然后解释为什么支持,以及如何配置。需要提到常见的Ingress控制器,比如Nginx、Traefik、HAProxy,因为它们各自处理WebSocket的方式可能不同。同时,用户可能会关心是否需要额外配置,比如注解或者超时设置,以避免连接断开。 另外,用户可能想知道在Kubernetes中配置Ingress代理WebSocket的具体步骤,或者常见问题。比如,是否需要启用SSL,或者如何处理长连接。还需要提到一些注意事项,比如超时时间的调整,确保WebSocket连接不会因为默认设置而中断。 可能用户的问题背后是想确保他们的实时应用能够稳定运行,所以需要强调不同控制器的配置差异和最佳实践。同时,确认虽然Ingress支持,但需要正确配置,否则可能出现问题。最后,可能需要对比服务网格如Istio的情况,但用户这次的问题集中在Ingress,所以可以简要提一下Istio的Gateway是否更好,但主要回答Ingress的支持情况。</think>关于Ingress对WebSocket(WS)协议的支持,以下是逐步分析: --- ### **1. 基础结论** ✅ **主流Ingress控制器(Nginx/Traefik/HAProxy)均支持WebSocket代理**,但需要显式配置才能正常工作。 --- ### **2. 技术原理** #### **为什么需要特殊配置?** - **协议升级机制**:WebSocket通过HTTP `Upgrade`头实现协议切换: ```http GET /chat HTTP/1.1 Host: example.com Upgrade: websocket Connection: Upgrade ``` - **长连接特性**:WebSocket需要保持持久连接(默认Ingress配置可能主动断开空闲连接) #### **Ingress处理关键点** $$ \text{客户端} \xrightarrow[\text{握手}]{\text{HTTP Upgrade}} \text{Ingress} \xrightarrow{\text{维持TCP长连接}} \text{后端Pod} $$ --- ### **3. 具体配置方法** #### **以Nginx Ingress为例** ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: ws-ingress annotations: # 核心配置:启用WebSocket支持 nginx.org/websocket-services: "ws-service" # 指定后端Service名称 # 调整超时设置(默认60秒可能过短) nginx.ingress.kubernetes.io/proxy-read-timeout: "3600" nginx.ingress.kubernetes.io/proxy-send-timeout: "3600" spec: rules: - host: ws.example.com http: paths: - path: / pathType: Prefix backend: service: name: ws-service port: number: 8080 ``` #### **其他控制器对比** | 控制器 | 配置方式 | 关键参数 | |----------|-----------------------------------|------------------------| | Traefik | 自动检测`Upgrade`头 | 无需特殊注解 | | HAProxy | 需要添加`ingress.kubernetes.io/connection-proxy-header`注解 | 配置`Connection`头处理 | --- ### **4. 验证方法** ```bash # 查看Ingress日志确认握手成功 kubectl logs -n ingress-nginx <ingress-pod> | grep "Upgrade" # 使用wscat测试连接 wscat -c ws://ws.example.com/chat ``` --- ### **5. 常见问题排查** | 现象 | 解决方案 | |---------------------|-----------------------------------| | 101 Switching Protocols 错误 | 检查`Upgrade`头是否 | | 连接频繁断开 | 调整`proxy-read-timeout`参数 | | HTTPS下无法连接 | 确认证书有效性 & 启用`wss://`协议 | --- ### **6. 服务网格的差异** Istio Gateway同样支持WebSocket,且提供额外优势: ```yaml # Istio VirtualService配置示例 apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: ws-route spec: hosts: - ws.example.com gateways: - public-gateway http: - match: - uri: prefix: / route: - destination: host: ws-service # 显式声明协议升级 websocketUpgrade: true ``` --- ### **最终建议** - 对于纯WebSocket场景,使用Nginx/Traefik Ingress足够 - 如需混合HTTP/WS流量并需要高级策略,可考虑Istio Gateway - 生产环境务必配置**wss://**(WebSocket over TLS)确保安全
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PipyFlomesh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值