gRPC 在跨云架构中的 mTLS 配置

最新推荐文章于 2024-07-19 03:17:45 发布
最新推荐文章于 2024-07-19 03:17:45 发布
阅读量1.4k 收藏
点赞数
文章标签: java 后端 面试 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65403567/article/details/122114919
版权
本文介绍了在跨云部署场景下,如何为gRPC服务配置mTLS以增强安全性。内容涵盖端到端直连mTLS配置、TLS透传与负载均衡设置,以及自动化证书签署与配置的详细步骤,旨在确保gRPC服务调用的安全性。
摘要由CSDN通过智能技术生成

传统的网络安全是基于边界的安全。通过将网络划分成外网和内网,在边界上部署防火墙,从而建立了一个基本假设——内网比外网安全。位于网络边界的前置代理服务器 (Nginx) 接收外部到达的加密 TLS 流量,将其解密为 HTTP 明文,然后再将流量转发到内网某个服务。在实践中,绝大多数内部服务都是以 HTTP 明文的方式通信。

随着云计算的兴起,跨云部署等场景正在逐步模糊网络安全边界。服务与服务通信不得不跨越互联网鸿沟,明文流量显而易见不再安全。

为了支持跨云部署场景下的 gRPC 服务调用,配置 mTLS 是必然的选择。笔者将在下文中详细描述整个配置方案。

下列工程使用gRPC及 grpc-spring-boot-starter

gRPC 端到端直连 mTLS 配置

gRPC 在跨云架构中的 mTLS 配置

首先为客户端与服务端准备必要的证书。证书链如下

这里不再详述如何签署证书,下文会提供自动化签署的方案

gRPC 在跨云架构中的 mTLS 配置

CA.crt

server.crt

server.key

cl
最低0.47元/天 解锁文章
程序员常伟
关注
springboot 整合grpc
09-04
SpringBoot 整合gRPC是一项将...通过以上步骤,你可以在SpringBoot应用成功整合gRPC,构建出高效、可扩展的微服务架构。这个过程,你将深入理解gRPC的工作原理,以及SpringBoot如何优雅地支持这种现代RPC框架。
理解mTLS
vimin_1314的博客
12-14 9632
为 Ingress-nginx 配置双向认证(mtls) 转载:为 Ingress-nginx 配置双向认证(mtls) - 知乎 (zhihu.com) 首先什么是 mtls (双向认证)?它是一个过程,在这个过程,客户机和服务器都通过证书颁发机构彼此验证身份。 相信 tls 大家都比较熟悉,就是 server 端提供一个授信证书,当我们使用 https 协议访问server端时,client 会向 server 端索取证书并认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。 mtls 则.
mTLS: TLS/CA/证书 简介
Mr_rain的专栏
03-02 1459
简称英文全称文全称CA证书颁发机构PCA私有证书颁发机构,又名私有 CASSL安全套接字层协议TLS传输层安全性协议HTTP超文本传输协议HTTPS超文本传输安全协议EV SSLEV 证书,又名扩展验证证书OV SSLOV 证书,又名组织验证证书DV SSL证书,又名域验证证书通配符证书MDC多域 SSL 证书UCC统一通信证书TLD顶级域PKI公钥基础设施OCSP在线证书状态协议CSP加密服务提供商Public key公钥私钥。
什么是相互 TLS (mTLS)?
最新发布
weixin_35991292的博客
07-19 71
相互传输层安全 (mTLS) 是一种双向身份验证方法,确保网络连接的双方(客户端和服务器)通过 TLS 协议进行相互验证,从而确认对方的身份。相比传统的单向 TLS,只验证服务器身份,mTLS 要求客户端和服务器都必须出示并验证各自的 TLS 证书。mTLS 的核心原理和步骤基本概念:公钥和私钥:mTLS 使用公钥加密技...
使用grpc-server-spring-boot-starter及nacos搭建grpc服务
程序猿CKeen的专栏
05-07 3362
在上一篇文章《java使用protobuf-maven-plugin的插件编译proto文件》,我们使用protobuf-maven-plugin已经生成了grpc的调用的库,这篇文章我们将讲解使用SpringCloud及nacos搭建grpc服务。 1. 先到nacos的github地址下载一个release版本,下载地址。 我们解压缩之后,进到nacos目录,执行如下指令启动nacos: sh ./bin/startup.sh -m standalone 运行成功后在网页访问:http:/
网络数字身份认证术
过客2019
02-22 1351
这篇文章是《HTTP API 认证授权术》的姊妹篇,在那篇文章,主要介绍了 HTTP API 认证和授权技术用到的 HTTP Basic, Digest Access, HMAC, OAuth, JWT 等各种方式,主要是 API 上用到的一些技术,这篇文章主要想说的是另一个话题——身份认证。也就是说,怎么确认这个数据就是这个人发出来的? 目录 用户密码 密钥对和证书 证书生成过程演示 双向认证 mTLS 用户密码 要解决这个问题,我们先来看一个最简单的解——使用密码,通常来说,在网络上要证
Golang gRPC: 基于CA证书的双向TLS认证
weixin_41335923的博客
04-18 1581
Golang gRPC: 基于CA证书的双向TLS认证
Python-Envoyproxy文文档
08-10
服务网格(Service Mesh)是现代云原生架构处理服务间交互的一种基础设施层,Envoyproxy常被用作服务网格的Sidecar代理,负责服务之间的通信。 总的来说,【Python-Envoyproxy文文档】为Python开发者提供了一条...
Golang_GoDapr是一个可移植的事件驱动运行时,用于跨云和边缘构建分布式应用程序.zip
05-26
2. **可移植性**:GoDapr是跨平台的,可以在多种操作系统和云环境(如AWS、Azure、Google Cloud等)以及边缘设备上运行,确保了应用的部署一致性。 3. **服务发现**:GoDapr提供了内置的服务发现机制,允许服务自动...
服务网格Istio基础与实践[视频课程].txt打包整理.zip
03-06
服务网格Istio是当前云原生环境广泛讨论和应用的一种关键组件,它专注于解决微服务之间的通信...通过学习这些材料,开发者和运维人员将能更好地在他们的微服务架构实施和利用Istio,提升服务网格的效率和安全性。
Mastering-ServiceMesh:深入浅出服务网格,从入门到精通Istio
04-09
服务网格作为现代云原生架构的关键组件,它提供了一种在分布式微服务之间进行智能通信的方式,有效地解决了服务发现、负载均衡、安全性和可观测性等复杂问题。 服务网格的核心概念包括数据平面和控制平面。数据...
Istio 安全 mTLS认证 PeerAuthentication
小楼一夜听春雨,深巷明朝卖杏花
08-01 1526
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
NGINX Service Mesh 的 mTLS 架构
NGINX开源社区的博客
06-28 259
原文作者:Faisal Memon of F5。
mtls加密双向认证
热门推荐
sun007700的专栏
01-27 1万+
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理_ustccw-CSDN博客_双向认证 SSL/TSL双向认证过程与Wireshark抓包分析_区块链之美-CSDN博客_ssl双向认证抓包
Istio的mTLS认证
Micky_Yang的博客
08-14 3302
一、理解mTLS   TLS在web端使用的非常广泛,针对传输的内容进行加密,能够有效的防止间人攻击。双向TLS(Two way TLS/Mutual TLS,简称mTLS)的主要使用场景是在B2B和Server-toServer的场景,以支持服务与服务之间的身份认证与授权。      mTLS主要负责服务与服务之间传输层面的认证,具体实现在sidecar,在具体进行请求时,讲经历如下过程:   1)客户端发出的请求将被发送到客户端sidecar   2)客户端sidecar与服务端sidecar开
写给go开发者的gRPC教程-通信安全
kevin_tech的博客,微信搜「网管叨bi叨」
05-17 349
使用 TLS 安全传输数据什么是 SSL/TLSSSL 包含记录层(Record Layer)和传输层[1],记录层协议确定传输层数据的封装格式。传输层安全协议使用X.509[2]认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密匙作为会话密匙(Session key[3])。这个会谈密匙是用来将通信两方交换的资料做加密,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通...
gRPC使用SSL实现加密通讯
万里归来少年心
03-19 6977
grpc默认实现了基于证书的SSL加密通讯,使用需要注意以下事项。 在Windows上开发,首先安装 OpenSSL,将OpenSSL.exe的路径添加到环境变量。 通过以下样例脚本生成通讯所需要的服务端和客户端证书,其需要特别注意的是,Generate server signing reques的CN=KEKYK字段,如果是本机测试,使用本机名称。如果是真实环境,使用...
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1840
证书可以通过openssl或者keytool创建,在本篇文章,只介绍openssl。
一文读懂SSL、TLS和mTLS的通信安全协议
stone1290的专栏
09-19 775
今天让我们深入探讨一下SSL、TLS和mTLS等一系列重要的通信安全协议。尽管从整体系统设计的角度来看,这个主题可能并不是至关重要,但仍然值得我们深入了解。
grpc框架_GRPC 架构
06-02
GRPC架构,主要包含以下组件: 1. 客户端:发送请求给服务端并接收响应结果。 2. 服务端:接收请求并处理请求,然后返回响应结果给客户端。 3. Protocol Buffers:用于定义传输数据的格式和接口。 4. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值