TLS

在与上游集群连接时，Envoy支持在监听器中的终止以及发起TLS。对于Envoy来说，足以支持为现代Web服务执行标准的前端代理职责，并启动与具有高级TLS要求（TLS1.2，SNI等）的外部服务的连接。Envoy支持以下TLS特性：

• 密码可配置：每个TLS监听者和客户端可以指定它支持的密码。
• 客户端证书：除服务器证书验证之外，上游/客户端连接还可以提供客户端证书。
• 证书验证和固定：证书验证选项包括基本链验证，验证标题名称和哈希固定。
• ALPN：TLS监听器支持ALPN。HTTP连接管理器使用这个信息来确定客户端是HTTP/1.1还是HTTP/2。
• SNI：SNI当前支持客户端连接。监听器可能会在未来添加支持。
• 会话恢复：服务器连接支持通过TLS会话票据恢复以前的会话（请参阅RFC 5077）。可以在热启动之间和并行Envoy实例之间执行恢复（通常在前端代理配置中使用）。

基础实施

目前Envoy被写入使用BoringSSL作为TLS提供者。

认证过滤器

Envoy提供了一个网络过滤器，通过从REST VPN服务获取的主体执行TLS客户端身份验证。此过滤器将提供的客户端证书哈希与主机列表进行匹配，以确定是否允许连接。可选IP白名单也可以配置。该功能可用于为Web基础架构VPN前端代理。

客户端TLS认证过滤器配置参考。

返回

• 架构介绍
• 简介
• 首页目录