Flomesh Ingress 使用实践(四)TLS 透传

最新推荐文章于 2023-09-02 19:39:48 发布
最新推荐文章于 2023-09-02 19:39:48 发布
阅读量253 收藏
点赞数
文章标签: 服务器 网络 service_mesh kubernetes 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shaderx004/article/details/128937660
版权

在这里插入图片描述

FSM 是 Flomesh 流量管理体系的一个开源组件,用于 Kubernetes 南北向的流量管理。FSM 以可编程代理 Pipy 为核心,提供了 Ingress 管理器、Gateway API* 实现、负载均衡器以及跨集群的服务注册发现等功能。

在文章 《使用 Flomesh Ingress 管理 osm-edge 服务网格入口流量》 中,我们使用 Flomesh Ingress 来服务网格的入口流量管理。实际上 Flomesh Ingress 的功能还有很多,我们后续会一一介绍。

今天就为大家介绍 Flomesh Ingress 的 SSL 透传功能。

什么是 SSL 透传

SSL(Secure Socket Layer)也被称作 TLS(Transport Layer Security),其通过加密的方式来保护客户端与服务端的安全通信。

在这里插入图片描述

SSL 透传(SSL Passthrough)是代理服务器处理 SSL 请求的两种方式之一(另一种是 SSL offload)。在 SSL 透传模式下,代理不会解密来自客户端的 SSL 请求,而是将其传递到上游服务器进行解密,这就意味着数据在通过代理的时候保持加密的状态,以此来保证重要和敏感数据的安全性。

SSL 透传的优点

  • 由于数据不在代理上解密,而是以加密的方式转发到上游服务器,数据可以免受网络攻击。
  • 加密数据未经解密到达上游服务,确保了数据的机密性。
  • 这也是代理配置 SSL 的最简单方法。

SSL 透传的缺点

  • 流量中可能会恶意代码,这些代码将直接到达后端服务器。
  • 在 SSL 透传过程中,无法切换服务器。
  • 无法做 7 层流量处理。

接下来我们看下,如何使用 FMS Ingress 的 SSL 透传。

Demo

环境准备

使用单节点的 K3s 集群,并禁用 traefik。

export INSTALL_K3S_VERSION=v1.23.8+k3s1
curl -sfL https://get.k3s.io | sh -s - --disable traefik --disable servicelb --write-kubeconfig-mode 644 --write-kubeconfig ~/.kube/config

安装 FSM

通过 Helm 安装 FSM。在安装时通过参数 fsm.ingress.tls=true 开启 TLS,并使用 fsm.ingress.sslPassthrough=true 开启 SSL 透传。

helm repo add fsm https://charts.flomesh.io

helm install --namespace fsm --create-namespace \
  --version=0.2.1-alpha.2 \
  --set fsm.ingress.tls.sslPassthrough.enabled=true \
  --set fsm.serviceLB.enabled=true \
  --set fsm.ingress.tls.enabled=true \
  fsm fsm/fsm

确认相应组件 pod 启动并正常运行。

kubectl get po -n fsm
NAME                                               READY   STATUS    RESTARTS   AGE
fsm-repo-5f6dc647c7-w45sl                          1/1     Running   0          26s
fsm-manager-864c74b978-fdks9                       1/1     Running   0          26s
svclb-fsm-ingress-pipy-controller-26382000-scgt2   2/2     Running   0          19s
fsm-ingress-pipy-5cfc98bb48-v9x5s                  1/1     Running   0          26s

获取 Ingress 的 IP 和 端口。

export ingress_host="$(kubectl -n fsm get service fsm-ingress-pipy-controller -o jsonpath='{.status.loadBalancer.ingress[0].ip}')"
export ingress_port="$(kubectl -n fsm get service fsm-ingress-pipy-controller -o jsonpath='{.spec.ports[?(@.name=="https")].port}')"

测试

为简单起见,这里我们不部署上游服务,而是直接将 https://httpbin.org 作为上游,通过 curlrevolve 参数,将其解析到上面拿到的 ingress 地址。如果 ingress 的端口不是 433,可以使用 connect-to 参数 --connect-to httpbin.org:443:$ingress_host:$ingress_port

curl https://httpbin.org/get -i --resolve httpbin.org:443:$ingress_host:$ingress_port
HTTP/2 200
date: Tue, 31 Jan 2023 11:21:41 GMT
content-type: application/json
content-length: 255
server: gunicorn/19.9.0
access-control-allow-origin: *
access-control-allow-credentials: true

{
  "args": {},
  "headers": {
    "Accept": "*/*",
    "Host": "httpbin.org",
    "User-Agent": "curl/7.68.0",
    "X-Amzn-Trace-Id": "Root=1-63d8f9c5-5af02436470161040dc68f1e"
  },
  "origin": "20.205.11.203",
  "url": "https://httpbin.org/get"
}

总结

SSL 透传有优点也有缺点,需要根据使用场景来灵活选择是使用 SSL 透传还是 SSL 卸载。

PipyFlomesh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
nginx ssl 透传
zhaoyangjian724的专栏
06-13 2141
nginx 4层ssl: ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-stream --with-stream_ssl_preread_module --with-stream_ssl_module node2:/root/nginx-1.17.9#/usr/local/nginx/sbin/nginx -c /etc/nginx/nginx_900.
使用passthrough模式,只通过PCI任意设备(该过程是在RHEL7系统进行,其他系统原理一样)
小宇宙的专栏
11-22 5656
1.在HOST 选择PCI设备 [root@localhost~]# dmesg |grep -e DMAR -e IOMMU [    0.000000] ACPI: DMAR 000000007b7be000 00120(v01 INSYDE  HSW-LPT 00000001 ACPI00040000) [    0.155894] dmar: IOMMU 0: reg_base_a
利用frps搭建本地自签名https服务的透传
lggirls的博客
09-02 2588
本文是为了解决前一篇文章中关于nextcloud强制使用https后一系列问题的解决方案。 确定了如何用frp对https进行转发,以及本地和服务端的基本配置示例。强制http转换到https
Cannot establish TLS with client: TlsException("SSL handshake error")
学海无涯
12-13 1万+
mitmproxy & python - ignore all hosts with https/ssl PC端安装mitmproxy,生成证书,并在手机端安装android证书,然后设置手机ip代理,仍然报错,错误如下图 找了两天终于在stackoverflow找到了解决办法。转载自> https://stackoverflow.com/questions/53309111/mi...
Go-CertificateExpiryMonitorController监视Ingress使用TLS证书是否到期
08-14
`Go-CertificateExpiryMonitorController`是一个专为监控IngressTLS证书有效期而设计的工具,它使用了Go编程语言来实现。这个控制器旨在确保您的Web服务始终保持安全,避免由于证书过期导致的服务中断。以下是关于...
证书到期监视器控制器监视Ingress使用TLS证书的到期。-Golang开发
05-26
证书到期监视器控制器证书到期监视器控制器监视Ingress使用TLS证书的到期。 安装您可以使用以下示例将其应用于群集。 ap证书到期监视器控制器证书到期监视器控制器监视Ingress使用TLS证书的到期。 安装您...
K8s Ingress使用
最新发布
01-16
K8s Ingress使用
Kubernetes Ingress日志分析最佳实践.pptx
10-11
"Kubernetes Ingress日志分析最佳实践" Kubernetes Ingress日志分析是云原生应用程序的重要组件之一。随着容器化和微服务架构的普及,Kubernetes成为企业级容器编排的主要选择。然而,在Kubernetes集群中,日志分析...
藏经阁-基于kubernetes的互联网ingress实践.pdf
08-30
本文档介绍了基于Kubernetes的互联网Ingress实践,涵盖了Ingress Controller、Kubernetes Ingress Spec、TLS termination、L7 path forwarding、redirecting、URL/Header rewrite等关键技术。 1. Ingress ...
开源项目-evnix-mealy-fsm.zip
09-05
开源项目-evnix-mealy-fsm.zip,A mealy Style Finite State Machine in GO - suggestion appreciated :)
C++下的FSM(有限状态机),添加消息机制
03-04
一个FSM的基本骨架,可以根据自己的需要来方便的通过设置状态来调整AI,初学者可能会被需要配置那么多的状态给吓到,但这对于后期维护有着很方便的效果,至少相比于一大批的if ~ else,还是FSM更加方便,此版本添加了消息机制,可以在几个角色间互相通讯,另外,虽然是在cocos2dx上编程的,但是基本没有关联,因此如果需要在cocos2dx上使用,还需要做些关联,如此,希望我的这份代码能够帮助到大家
Generic_FSM-开源
07-17
通用有限状态机类型定义和函数 支持有限状态机的实现,具有有限数量的状态和这些状态之间的事件触发转换。
Finite State Machine (FSM)-开源
04-26
该库是可扩展动态可配置有限状态机(FSM)的实现。 状态机的配置不是编译的,而是在运行时从文件加载或由应用程序创建的。
nginx-ingress-controller功能
longtds的博客
04-27 2372
参考:https://kubernetes.github.io/ 典型使用方式http和https apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: annotations: nginx.ingress.kubernetes.io/proxy-body-size: "0" nginx.ingress.kubernetes.io/proxy-read-timeout: "600" nginx.in.
K8s-Ingress高可用IP透传方案
Jerry_Pan1990的博客
11-06 4641
简介: k8s暴露服务的方式有以下几种: Proxy + clusterIP NodePort LoadBalancer Ingress Proxy + ClusterIP 自定义代理 + 集群内存IP 有一些场景下,你得使用 Kubernetes 的 proxy 模式来访问你的服务: • 由于某些原因,你需要调试你的服务,或者需要直接通过笔记本电脑去访问...
traefik https配置
风起于青萍之末
07-31 6114
前言 随着https的流行,现在绝大多数网站都转向了https。在kubernetes使用traefik暴露服务,我们也可以添加上https支持,这样外部就可以通过https访问,进一步提高安全性。 环境 kubernetes 1.10.4 traefik v1.6 k8s集群部署推荐项目:https://github.com/gjmzj/kubeasz https证书申请...
一个通用的有限状态机(FSM)框架
热门推荐
爱冒险的技术宅
04-19 2万+
吃饭,睡觉,打豆豆现在要实现一个游戏中的一个NPC的AI, 他只做三件事,吃饭,睡觉,打豆豆,最直接,最简答想到的代码应该是这样。void Update() { if(Hungry) { Eat(); return; } if(Sleepy) { Sleep(); return; } if(Bored) { KickDD(); return; }
Akka FSM 源码分析
萧猛的技术博客
06-18 2808
Akka FSM 源码分析 萧猛 <simonxiao@qq.com> 啰嗦几句 有限状态机本身不是啥新鲜东西,在GoF的设计模式一书中就有状态模式, 也给出了实现的建议。各种语言对状态机模式都有很多种实现的方式。我自己曾经用C++和java实现过,也曾经把 apache mina 源码中的一个状态机实现抠出来单独使用。但Akka的状态机是我见过的最简洁漂亮实现,充分利用了Sc...
eBay的Kubernetes Ingress实践经验与挑战
"藏经阁-基于kubernetes的互联网ingress实践.pdf" 本文将深入探讨 Kubernetes Ingress 在互联网环境中的实际应用,特别是以其在 eBay 的实施案例为例,展示其在大规模分布式系统中的效能和灵活性。Ingress 是 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PipyFlomesh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值