HTTP 代理服务器两个常见的功能,TLS Termination 和 Origination。
TLS Termination
这可能是我们用得最多的场景了。它的主要作用是,作为一个前置代理服务器接收外部到达的加密 TLS 流量,然后将其解密为 HTTP 明文,最后再将流量转发到内部的某个服务。
在实际应用中,内部的服务通常是以 HTTP 明文的方式通信,然后通过一个边界入口网关(ingress gateway)统一处理所有的 TLS 流量。这样 TLS 对所有的内部服务都是透明的,无需对每个服务去配置证书和私钥。通过一个统一的入口配置,我们还可以做很多事情,如日志,路由,路由策略等。
当然,对于一些安全级别较高的内部服务来说,未加密的流量可能是不可接受的,我们可以在 ingress 中配置 sni 来将加密的流量透传到该服务中。
这些相信大家都已经比较熟悉了,那么反过来呢,将上面做一个“逆操作”,也就是 TLS Origination。
TLS Origination
作为一个代理服务器,接收内部服务的 HTTP 明文流量,然后将其加密,最后转发到一个HTTPS服务上,该服务既可以是内部,也可以是外部的,但看起来就像是一个内部的服务。流程如下,
作为与边界入口网关对立的存在,出口网关也通常放置在网络的边界。所有的出口流量都被它接管,在这个节点上我们可以统一实施一些访问控制策略,或监控,或日志等,这和 Ingres 的功能其实是一样的,最大的不同在于将明文流量加密再转发。
我们对向外主动请求的流量常常是不设防的,这样的严进宽出在安全要求较高的场合是不合适的。了解了 Egress 这个概念后,不仅仅是在安全上对我们的业务有帮助,对于业务架构的设计其实也是有所裨益的。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
