本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
传输层安全性 (TLS)
在 App Mesh 中,传输层安全 (TLS) 对部署在计算资源上的 Envoy 代理之间的通信进行加密,这些代理在 App Mesh 中由网状端点表示,例如虚拟节点和虚拟网关。代理进行协商并终止 TLS。当代理与应用程序一起部署时,您的应用程序代码不负责协商 TLS 会话。代理代表您的应用程序协商 TLS。
App Mesh 允许您通过以下方式向代理提供 TLS 证书:
-
来自的私人证书Amazon Certificate Manager(ACM) 由以下机构发行Amazon Private Certificate Authority(Amazon Private CA)。
注意
ACM 和Amazon Private CA在中国区域不可用。
-
存储在虚拟节点的本地文件系统上的由您自己的证书颁发机构 (CA) 颁发的证书
-
由密钥发现服务 (SDS) 端点通过本地 Unix 域套接字提供的证书。
特使代理授权必须为由网状端点表示的已部署的 Envoy 代理启用。我们建议在启用代理授权时,仅限制对启用加密的网状端点的访问权限。
证书要求
证书上的主题备用名称 (SAN) 之一必须符合特定标准,具体取决于如何发现网状端点所代表的实际服务。
-
DNS— 其中一个证书 SAN 必须与 DNS 服务发现设置中提供的值相匹配。对于具有服务发现名称的应用程序
,您可以创建与该名称匹配的证书,也可以创建带有通配符的证书mesh-endpoint.apps.local
*.
。apps.local
-
Amazon Cloud Map— 其中一个证书 SAN 必须与中提供的值相匹配Amazon Cloud Map使用以下格式的服务发现设置
。对于带有以下内容的应用程序Amazon Cloud MapServiceName 的服务发现设置service-name.namespace-name
和命名空间名称mesh-endpoint
,您可以创建与名称匹配的证书apps.local
,或者带有通配符的证书mesh-endpoint.apps.local
*.
apps.local
.
对于这两种发现机制,如果没有一个证书 SAN 与 DNS 服务发现设置相匹配,则 Envoys 之间的连接将失败并显示以下错误消息,如客户端 Envoy 所示。
TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
TLS 身份验证证书
使用 TLS 身份验证时,App Mesh 支持多个证书来源。
- Amazon Private CA
-
重要
此功能在中国区域中不可用。
证书必须存储在同一地区的 ACM 中,并且Amazon帐户作为将使用证书的网格端点。CA 的证书不必相同Amazon账户,但它仍然需要与网格端点位于同一个区域。如果你没有Amazon 私有 CA,那么你必须创建一个然后才能向其申请证书。有关向现有证书申请证书的更多信息Amazon Private CA使用 ACM,请参见申请私有证书。该证书不能是公共证书。
您用于 TLS 客户端策略的私有 CA 必须是根用户 CA。
使用来自的证书和 CA 配置虚拟节点Amazon Private CA,您用来调用 App Mesh 的主体(例如用户或角色)必须具有以下 IAM 权限:
-
对于添加到侦听器的 TLS 配置中的任何证书,主体必须具有
acm:DescribeCertificate
许可。 -
对于在 TLS 客户端策略上配置的任何 CA,委托人必须具有
acm-pca:DescribeCertificateAuthority
许可。
重要
与其他账户共享 CA 可能会使这些账户获得 CA 意想不到的权限。我们建议使用基于资源的策略将访问权限限制为
acm-pca:DescribeCertificateAuthority
和acm-pca:GetCertificateAuthorityCertificate
适用于不需要从 CA 颁发证书的账户。您可以将这些权限添加到附加到委托人的现有 IAM 策略中,也可以创建新的委托人和策略并将该策略附加到委托人。有关更多信息,请参见编辑 IAM 策略,创建 IAM 策略,以及添加 IAM 身份权限。
注意
您需要为每个项目的运营支付月费Amazon Private CA直到你将其删除。您还需要为每月颁发的私有证书和导出的私有证书付费。有关更多信息,请参阅 Amazon Certificate Manager 定价
。 当你启用时代理授权对于网状终端节点代表的 Envoy 代理,必须为您使用的 IAM 角色分配以下 IAM 权限:
-
对于在虚拟节点的侦听器上配置的任何证书,该角色必须具有
acm:ExportCertificate
许可。 -
对于在 TLS 客户端策略上配置的任何 CA,该角色必须具有
acm-pca:GetCertificateAuthorityCertificate
许可。
-
- 文件系统
-
您可以使用文件系统向 Envoy 分发证书。您可以通过在文件路径上提供证书链和相应的私钥来实现此目的。这样,可以从 Envoy sidecar 代理访问这些资源。
- 特使的秘密发现服务 (SDS)
-
Envoy 通过 Secrets Discovery 协议从特定端点获取 TLS 证书等机密。有关此协议的更多信息,请参阅 Envoy 的SDS 文档
。 当 SDS 作为您的证书和证书链的源时,App Mesh 将 Envoy 代理配置为使用代理本地的 Unix 域套接字作为秘密发现服务 (SDS) 端点。您可以使用配置此端点的路径
APPMESH_SDS_SOCKET_PATH
环境变量。重要
App Mesh Envoy 代理版本 1.15.1.0 及更高版本支持使用 Unix 域套接字的本地机密发现服务。
App Mesh 支持使用 gRPC 的 V2 SDS 协议。
- 与 SPIFFE 运行时环境 (SPIRE) 集成
-
你可以使用 SDS API 的任何 sidecar 实现,包括现有的工具链,例如SPIFFE 运行时环境 (SPIRE)
。SPIRE 旨在支持在分布式系统中的多个工作负载之间部署双向 TLS 身份验证。它证明了运行时工作负载的身份。SPIRE 还直接向工作负载提供特定工作负载的、短期且自动轮换的密钥和证书。 你应该将 SPIRE 代理配置为 Envoy 的 SDS 提供者。允许它直接向 Envoy 提供提供双向 TLS 身份验证所需的密钥材料。在 Envoy 代理旁边的侧车中运行 SPIRE 代理。代理负责根据需要重新生成短期密钥和证书。代理会证明 Envoy 并确定在 Envoy 连接到 SPIRE 代理公开的 SDS 服务器时应向 Envoy 提供哪些服务身份和 CA 证书。
在此过程中,服务身份和 CA 证书会轮换,并将更新流式传输回 Envoy。Envoy 可以立即将它们应用于新连接,不会出现任何中断或停机,也不会让私钥触及文件系统。
App Mesh 如何配置 Envoys 来协商 TLS
在决定如何配置网格中 Envoys 之间的通信时,App Mesh 使用客户端和服务器的网状端点配置。
- 使用客户政策
-
当客户端策略强制使用 TLS,并且客户端策略中的一个端口与服务器策略的端口匹配时,客户端策略用于配置客户端的 TLS 验证上下文。例如,如果虚拟网关的客户端策略与虚拟节点的服务器策略相匹配,则将使用虚拟网关的客户端策略中定义的设置尝试在代理之间进行 TLS 协商。如果客户端策略与服务器策略的端口不匹配,则可能协商代理之间的 TLS,也可能不协商,具体取决于服务器策略的 TLS 设置。
- 没有客户政策
-
如果客户端尚未配置客户端策略,或者客户端策略与服务器的端口不匹配,则 App Mesh 将使用服务器来确定是否与客户端协商 TLS 以及如何协商。例如,如果虚拟网关未指定客户端策略,并且虚拟节点未配置 TLS 终止,则代理之间将不会协商 TLS。如果客户端未指定匹配的客户端策略,并且服务器已配置为 TLS 模式
STRICT
要么PERMISSIVE
,代理将被配置为协商 TLS。根据为 TLS 终止提供的证书的方式,以下附加行为适用。-
ACM 管理的 TLS 证书— 当服务器使用 ACM 管理的证书配置 TLS 终止时,App Mesh 会自动将客户端配置为协商 TLS,并根据证书链上的根用户 CA 验证证书。
注意
ACM 管理的 TLS 证书在中国区域不可用。
-
基于文件的 TLS 证书— 当服务器使用来自代理的本地文件系统的证书配置 TLS 终止时,App Mesh 会自动将客户端配置为协商 TLS,但服务器的证书未经过验证。
-
- 主题备用名称
-
您可以选择指定要信任的主题备用名称 (SAN) 列表。SAN 必须采用 FQDN 或 URI 格式。如果提供了 SAN,Envoy 将验证所提供证书的使用者备用名称是否与此列表中的名称相匹配。
如果您没有在终止网格端点上指定 SAN,则该节点的 Envoy 代理不会验证对等客户端证书上的 SAN。如果您没有在起源网格端点上指定 SAN,则终止端点提供的证书上的 SAN 必须与网格端点服务发现配置匹配。
有关更多信息,请参阅 App MeshTLS:证书要求。
重要
如果将 TLS 的客户端策略设置为,则只能使用通配符 SAN
not enforced
。如果将客户端虚拟节点或虚拟网关的客户端策略配置为强制执行 TLS,则它不能接受通配符 SAN。
验证加密
启用 TLS 后,您可以查询 Envoy 代理以确认通信已加密。Envoy 代理会发出有关资源的统计信息,这些统计信息可以帮助您了解您的 TLS 通信是否正常运行。例如,Envoy 代理记录了其为指定网状端点协商成功的 TLS 握手次数的统计数据。确定名为的网状端点成功进行了 TLS 握手次数
使用以下命令。my-mesh-endpoint
curl -s 'http://
my-mesh-endpoint.apps.local
:9901/stats' | grep ssl.handshake
在以下示例返回的输出中,网状端点进行了三次握手,因此通信已加密。
listener.0.0.0.0_15000.ssl.handshake: 3
当 TLS 协商失败时,Envoy 代理还会发出统计信息。确定网状端点是否存在 TLS 错误。
curl -s 'http://
my-mesh-endpoint.apps.local
:9901/stats' | grep -e "ssl.*\(fail\|error\)"
在返回的输出示例中,多个统计数据的错误为零,因此 TLS 协商成功了。
listener.0.0.0.0_15000.ssl.connection_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_cert_hash: 0
listener.0.0.0.0_15000.ssl.fail_verify_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_no_cert: 0
listener.0.0.0.0_15000.ssl.ssl.fail_verify_san: 0
有关 Envoy TLS 统计信息的更多信息,请参阅特使监听器统计信息
证书续订
Amazon Private CA
当您使用 ACM 续订证书时,续订的证书将在续订完成后 35 分钟内自动分发给您的连接代理。我们建议使用管理续订来自动续订有效期即将结束的证书。有关更多信息,请参见ACM 亚马逊颁发的证书的管理续订在Amazon Certificate Manager用户指南。
重要
ACM 和Amazon Private CA在中国区域不可用。
你自己的证书
使用来自本地文件系统的证书时,Envoy 不会在证书更改时自动重新加载证书。您可以重新启动或重新部署 Envoy 进程来加载新证书。您也可以将较新的证书放在不同的文件路径中,并使用该文件路径更新虚拟节点或网关配置。
将亚马逊 ECS 工作负载配置为使用 TLS 身份验证Amazon App Mesh
您可以将网格配置为使用 TLS 身份验证。确保证书可用于您添加到工作负载中的 Envoy 代理侧车。你可以将 EBS 或 EFS 卷附加到你的 Envoy 随身车,也可以从中存储和检索证书Amazon机密经理。
-
如果您使用基于文件的证书分发,请将 EBS 或 EFS 卷附加到您的 Envoy sidecar。确保证书和私钥的路径与中配置的路径相匹配Amazon App Mesh。
-
如果您使用的是基于 SDS 的分发,请添加一个实现 Envoy 的 SDS API 并具有证书访问权限的辅助工具。
注意
亚马逊 ECS 不支持 SPIRE。
将 Kubernetes 工作负载配置为使用 TLS 身份验证Amazon App Mesh
你可以配置Amazon App MeshKubernetes 控制器,用于为虚拟节点和虚拟网关服务后端和侦听器启用 TLS 身份验证。确保证书可用于您添加到工作负载中的 Envoy 代理侧车。您可以在中查看每种分布类型的示例漫步双向 TLS 身份验证部分。
-
如果您使用基于文件的证书分发,请将 EBS 或 EFS 卷附加到您的 Envoy sidecar。确保证书和私钥的路径与控制器中配置的路径相匹配。或者,你可以使用挂载在文件系统上的 Kubernetes 密钥。
-
如果您使用基于 SDS 的分发,则应设置一个实现 Envoy 的 SDS API 的节点本地 SDS 提供商。特使将通过 UDS 到达那里。在 EKS 中启用基于 SDS 的 mTLS 支持AppMesh控制器,设置
enable-sds
举报到true
并通过以下方式提供本地 SDS 提供商到控制器的 UDS 路径sds-uds-path
标志。如果您使用 helm,则在控制器安装过程中将这些设置为一部分:--set sds.enabled=true
注意
如果你在 Fargate 模式下使用亚马逊 Elastic Kubernetes 服务(亚马逊 EKS),你将无法使用 SPIRE 分发证书。