• TLS
    • 基础实施
    • 认证过滤器
  • 返回

    TLS

    在与上游集群连接时,Envoy支持在监听器中的终止以及发起TLS。对于Envoy来说,足以支持为现代Web服务执行标准的前端代理职责,并启动与具有高级TLS要求(TLS1.2,SNI等)的外部服务的连接。Envoy支持以下TLS特性:

    • 密码可配置:每个TLS监听者和客户端可以指定它支持的密码。
    • 客户端证书:除服务器证书验证之外,上游/客户端连接还可以提供客户端证书。
    • 证书验证和固定:证书验证选项包括基本链验证,验证标题名称和哈希固定。
    • ALPN:TLS监听器支持ALPN。HTTP连接管理器使用这个信息来确定客户端是HTTP/1.1还是HTTP/2。
    • SNI:SNI当前支持客户端连接。监听器可能会在未来添加支持。
    • 会话恢复:服务器连接支持通过TLS会话票据恢复以前的会话(请参阅RFC 5077)。可以在热启动之间和并行Envoy实例之间执行恢复(通常在前端代理配置中使用)。

    基础实施

    目前Envoy被写入使用BoringSSL作为TLS提供者。

    认证过滤器

    Envoy提供了一个网络过滤器,通过从REST VPN服务获取的主体执行TLS客户端身份验证。此过滤器将提供的客户端证书哈希与主机列表进行匹配,以确定是否允许连接。可选IP白名单也可以配置。该功能可用于为Web基础架构VPN前端代理。

    客户端TLS认证过滤器配置参考。

    返回

    • 架构介绍
    • 简介
    • 首页目录