传输层安全性协议 (TLS) - Amazon App Mesh
证书要求TLS 身份验证证书App Mesh 如何配置 Envoy 以协商 TLS验证加密证书续订将 Amazon ECS 工作负载配置为使用 TLS 身份验证 Amazon App Mesh将 Kubernetes 工作负载配置为使用 TLS 身份验证 Amazon App Mesh
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

传输层安全性协议 (TLS)

重要

终止支持通知:2026 年 9 月 30 日, Amazon 将停止对的支持。 Amazon App Mesh 2026 年 9 月 30 日之后,您将无法再访问 Amazon App Mesh 控制台或 Amazon App Mesh 资源。有关更多信息,请访问此博客文章从迁移 Amazon App Mesh 到 Amazon ECS Service Connect

在 App Mesh 中,传输层安全性协议 (TLS) 对部署在计算资源上的 Envoy 代理之间的通信进行加密,这些资源在 App Mesh 中由网格端点表示,例如 虚拟节点虚拟网关。代理协商并终止 TLS。当代理与应用程序一起部署时,您的应用程序代码不负责协商 TLS 会话。代理代表您的应用程序协商 TLS。

App Mesh 允许您通过以下方式向代理提供 TLS 证书:

  • 来自 Amazon Certificate Manager (ACM) 的私有证书,由 Amazon Private Certificate Authority (Amazon Private CA) 颁发。

    注意

    ACM, Amazon Private CA 不在中国区域提供。

  • 存储在虚拟节点本地文件系统中的证书,由您自己的证书颁发机构 (CA) 颁发

  • 由密钥发现服务 (SDS) 端点通过本地 Unix 域套接字提供的证书。

Envoy Proxy 授权 必须为由网格端点表示的已部署的 Envoy 代理启用。我们建议您在启用代理授权时,将访问限制为仅访问您启用加密的网状端点。

证书要求

证书上的主题备用名称 (SANs) 之一必须符合特定标准,具体取决于网格端点所代表的实际服务的发现方式。

  • DNS — 其中一个证书 SANs 必须与 DNS 服务发现设置中提供的值相匹配。对于具有服务发现名称的应用程序 mesh-endpoint.apps.local,您可以创建与该名称匹配的证书,也可以创建带有通配符的证书 *.apps.local

  • Amazon Cloud Map— 其中一个证书 SANs 必须与使用格式的 Amazon Cloud Map 服务发现设置中提供的值相匹配service-name.namespace-name。对于 Amazon Cloud Map 服务发现设置为 Service apps.local Name 和 Namespac mesh-endpoint eName 的应用程序,您可以创建与mesh-endpoint.apps.local名称匹配的证书,或者使用通配符创建证书 *.apps.local.

对于这两种发现机制,如果没有一个证书 SANs 与 DNS 服务发现设置匹配,则 Envoy 之间的连接将失败,并显示以下错误消息,如客户端 Envoy 所示。

TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED

TLS 身份验证证书

使用 TLS 身份验证时,App Mesh 支持多种证书来源。

Amazon Private CA
重要

此功能在中国区域中不可用。

证书必须存储在 ACM 中,其区域和 Amazon 账户必须与使用该证书的网格端点相同。CA 的证书不必位于同一个 Amazon 账户中,但它仍然需要与网格端点位于同一个区域。如果您没有 Amazon 私有 CA,则必须先创建一个,然后才能向其申请证书。有关 Amazon Private CA 使用 ACM 向现有证书申请证书的更多信息,请参阅申请私有证书。该证书不能是公共证书。

您用于 TLS 客户端策略的私 CAs 有用户必须是 root 用户 CAs。

要使用证书和 CAs 来自配置虚拟节点 Amazon Private CA,用于调用 App Mesh 的委托人(例如用户或角色)必须具有以下 IAM 权限:

  • 对于添加到侦听器的 TLS 配置中的任何证书,主体必须具有 acm:DescribeCertificate 权限。

  • 对于在 TLS 客户端策略上 CAs 配置的任何内容,委托人必须拥有acm-pca:DescribeCertificateAuthority权限。

重要

CAs 与其他账户共享可能会将这些账户授予 CA 意想不到的权限。我们建议使用基于资源的策略来限制访问无需从 CA 颁发证书的账户的 acm-pca:DescribeCertificateAuthorityacm-pca:GetCertificateAuthorityCertificate

您可以将这些权限添加到附加到主体的现有 IAM 策略中,也可以创建新的主体和策略并将该策略附加到主体。有关更多信息,请参阅编辑 IAM 策略创建 IAM 策略添加 IAM 身份权限

注意

在将其删除 Amazon Private CA 之前,您需要为每个操作支付月费。您还需要为每月颁发的私有证书和导出的私有证书付费。有关更多信息,请参阅Amazon Certificate Manager 定价

当您为网状端点所代表的 Envoy 代理启用代理授权时,必须为您使用的 IAM 角色分配以下 IAM 权限:

  • 对于在虚拟节点的侦听器上配置的任何证书,该角色必须具有 acm:ExportCertificate 权限。

  • 对于在 TLS 客户端策略上 CAs 配置的任何内容,该角色都必须具有acm-pca:GetCertificateAuthorityCertificate权限。

文件系统

您可以使用文件系统向 Envoy 分发证书。您可以通过在文件路径上提供证书链和相应的私钥来实现此目的。这样,就可以通过 Envoy sidecar 代理访问这些资源。

Envoy 密钥发现服务 (SDS)

Envoy 通过密钥发现协议从特定端点获取 TLS 证书等密钥。有关此协议的更多信息,请参阅 Envoy 的 SDS 文档

当 SDS 作为证书和证书链的来源时,App Mesh 将 Envoy 代理配置为使用代理本地的 Unix 域套接字作为密钥发现服务 (SDS) 端点。您可以使用 APPMESH_SDS_SOCKET_PATH 环境变量配置此端点的路径。

重要

App Mesh Envoy 代理版本 1.15.1.0 及更高版本支持使用 Unix 域套接字的本地密钥发现服务。

App Mesh 支持使用 gRPC 的 V2 SDS 协议。

与 SPIFFE 运行时系统环境 (SPIRE) 集成

您可以使用 SDS API 的任何 sidecar 实现,包括 SPIFFE 运行时环境 (SPIRE) 等现有工具链。SPIRE 旨在支持在分布式系统中的多个工作负载之间部署双向 TLS 身份验证。它在运行时证明了运行时系统的身份。SPIRE 还为工作负载提供适用于特定工作负载的、短期的、自动轮换的密钥和证书。

您应该将 SPIRE 代理配置为 Envoy 的 SDS 提供商。允许它直接向 Envoy 提供提供双向 TLS 身份验证所需的密钥材料。在 Envoy 代理旁的 sidecar 中运行 SPIRE 代理。代理负责根据需要重新生成短期密钥和证书。代理会证明 Envoy,并确定当 Envoy 连接到 SPIRE 代理暴露的 SDS 服务器时,它应该向 Envoy 提供哪些服务身份和 CA 证书。

在此过程中,将轮换服务身份和 CA 证书,并将更新流式传输回 Envoy。Envoy 会立即将它们应用于新连接,不会出现任何中断或停机,也不会让私钥接触文件系统。

App Mesh 如何配置 Envoy 以协商 TLS

在确定如何配置网格中 Envoy 之间的通信时,App Mesh 使用客户端和服务器的网格端点配置。

使用客户端策略

当客户端策略强制使用 TLS,并且客户端策略中的一个端口与服务器策略的端口匹配时,该客户端策略用于配置客户端的 TLS 验证上下文。例如,如果虚拟网关的客户端策略与虚拟节点的服务器策略相匹配,则将使用虚拟网关的客户端策略中定义的设置在代理之间尝试 TLS 协商。如果客户端策略与服务器策略的端口不匹配,则代理之间的 TLS 可能会协商,也可能不协商,具体取决于服务器策略的 TLS 设置。

没有客户端策略

如果客户端尚未配置客户端策略,或者客户端策略与服务器的端口不匹配,App Mesh 将使用服务器来确定是否与客户端协商 TLS 以及如何协商。例如,如果虚拟网关未指定客户端策略,并且虚拟节点未配置 TLS 终止,则代理之间将不会协商 TLS。如果客户端未指定匹配的客户端策略,并且服务器已配置为 TLS 模式 STRICTPERMISSIVE,则代理将被配置为协商 TLS。根据为 TLS 终止提供证书的方式,将适用以下其他行为。

  • ACM 管理的 TLS 证书 — 当服务器使用 ACM 管理的证书配置 TLS 终止时,App Mesh 会自动将客户端配置为协商 TLS,并根据证书链接到的根用户 CA 验证证书。

    注意

    ACM 管理的 TLS 证书在中国区域不可用。

  • 基于文件的 TLS 证书 — 当服务器使用来自代理本地文件系统的证书配置 TLS 终止时,App Mesh 会自动将客户端配置为协商 TLS,但服务器的证书未经过验证。

主题备用名称

您可以选择指定要信任的主题备用名称 (SANs) 列表。 SANs 必须采用 FQDN 或 URI 格式。如果提供 SANs ,Envoy 将验证所提供证书的主题备用名称是否与此列表中的一个名称匹配。

如果您未在终止网格端点 SANs 上指定,则该节点的 Envoy 代理不会在对等客户端证书上验证 SAN。如果您未在原始网状端点 SANs 上指定,则终止端点提供的证书上的 SAN 必须与网状端点服务发现配置相匹配。

有关更多信息,请参阅 App Mesh TLS:证书要求

重要

只有将 TLS 的客户端策略设置为,您才能使用通配符 SANs 。not enforced如果将客户端虚拟节点或虚拟网关的客户端策略配置为强制执行 TLS,则它不能接受通配符 SAN。

验证加密

启用 TLS 后,您可以查询 Envoy 代理以确认通信已加密。Envoy 代理会发出有关资源的统计信息,这些统计数据可以帮助您了解 TLS 通信是否正常运行。例如,Envoy 代理记录其为指定网格端点协商成功的 TLS 握手次数的统计信息。使用以下命令确定命名的网格端点成功的 TLS 握 my-mesh-endpoint 手次数。

curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep ssl.handshake

在以下示例返回的输出中,网格端点进行了三次握手,因此通信已加密。

listener.0.0.0.0_15000.ssl.handshake: 3

当 TLS 协商失败时,Envoy 代理还会发出统计信息。确定网格端点是否存在 TLS 错误。

curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep -e "ssl.*\(fail\|error\)"

在返回的输出示例中,多个统计数据没有错误,因此 TLS 协商成功。

listener.0.0.0.0_15000.ssl.connection_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_cert_hash: 0
listener.0.0.0.0_15000.ssl.fail_verify_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_no_cert: 0
listener.0.0.0.0_15000.ssl.ssl.fail_verify_san: 0

有关 Envoy TLS 统计信息的更多信息,请参阅 Envoy 侦听器统计信息

证书续订

Amazon Private CA

当您使用 ACM 续订证书时,续订的证书将在续订完成后的 35 分钟内自动分发给您连接的代理。我们建议使用托管续订来自动续订即将到期的证书。有关更多信息,请参阅《用户指南》中的 ACM 亚马逊颁发的证书的托管续订。 Amazon Certificate Manager

重要

ACM, Amazon Private CA 不在中国区域提供。

您自己的证书

使用来自本地文件系统的证书时,Envoy 不会在证书更改时自动重新加载证书。您可以重新启动或重新部署 Envoy 进程来加载新证书。您还可以将较新的证书放在不同的文件路径中,并使用该文件路径更新虚拟节点或网关配置。

将 Amazon ECS 工作负载配置为使用 TLS 身份验证 Amazon App Mesh

您可以将网格配置为使用 TLS 身份验证。确保证书可供您添加到工作负载中的 Envoy 代理 sidecar 使用。您可以将 EBS 或 EFS 卷附加到您的 Envoy sidecar,也可以从 Amazon Secrets Manager 存储和检索证书。

  • 如果您使用基于文件的证书分发,请将 EBS 或 EFS 卷附加到您的 Envoy sidecar。确保证书和私钥的路径与中配置的路径相匹配 Amazon App Mesh。

  • 如果您使用的是基于 SDS 的发行版,请添加一个实现 Envoy 的 SDS API 并访问证书的 sidecar。

注意

亚马逊 ECS 不支持 SPIRE。

将 Kubernetes 工作负载配置为使用 TLS 身份验证 Amazon App Mesh

您可以将 Kubernetes Amazon App Mesh 控制器配置为为虚拟节点和虚拟网关服务后端和侦听器启用 TLS 身份验证。确保证书可供您添加到工作负载中的 Envoy 代理 sidecar 使用。您可以在双向 TLS 身份验证的演练部分中查看每种分发类型的示例。

  • 如果您使用基于文件的证书分发,请将 EBS 或 EFS 卷附加到您的 Envoy sidecar。确保证书和私钥的路径与控制器中配置的路径相匹配。或者,您可以使用挂载在文件系统上的 Kubernetes 密钥。

  • 如果您使用的是基于 SDS 的发行版,您应该设置一个实现 Envoy 的 SDS API 的节点本地 SDS 提供商。Envoy 将通过 UDS 找到它。要在 EKS AppMesh 控制器中启用基于 SDS 的 mTLS 支持,请将该enable-sds标志设置为,true并通过该标志提供本地 SDS 提供商到控制器的 UDS 路径。sds-uds-path如果您使用 helm,则可以在控制器安装过程中设置以下内容:

    --set sds.enabled=true
注意

如果您在 Fargate 模式下使用 Amazon Elastic Kubernetes Service (Amazon EKS),则无法使用 SPIRE 分发证书。