1.2.2.18 TLS

优质
小牛编辑
129浏览
2023-12-01

在与上游集群连接时,Envoy支持在监听器中的终止以及发起TLS。对于Envoy来说,足以支持为现代Web服务执行标准的前端代理职责,并启动与具有高级TLS要求(TLS1.2,SNI等)的外部服务的连接。Envoy支持以下TLS特性:

  • 密码可配置:每个TLS监听者和客户端可以指定它支持的密码。
  • 客户端证书:除服务器证书验证之外,上游/客户端连接还可以提供客户端证书。
  • 证书验证和固定:证书验证选项包括基本链验证,验证标题名称和哈希固定。
  • ALPN:TLS监听器支持ALPN。HTTP连接管理器使用这个信息来确定客户端是HTTP/1.1还是HTTP/2。
  • SNI:SNI当前支持客户端连接。监听器可能会在未来添加支持。
  • 会话恢复:服务器连接支持通过TLS会话票据恢复以前的会话(请参阅RFC 5077)。可以在热启动之间和并行Envoy实例之间执行恢复(通常在前端代理配置中使用)。

基础实施

目前Envoy被写入使用BoringSSL作为TLS提供者。

认证过滤器

Envoy提供了一个网络过滤器,通过从REST VPN服务获取的主体执行TLS客户端身份验证。此过滤器将提供的客户端证书哈希与主机列表进行匹配,以确定是否允许连接。可选IP白名单也可以配置。该功能可用于为Web基础架构VPN前端代理。

客户端TLS认证过滤器配置参考。