配置客户端和 APISIX 之间的 HTTP/3 QUIC
HTTP/3 是超文本传输协议 (HTTP) 的第三个主要版本。与依赖 TCP 的前身不同,HTTP/3 基于 QUIC (Quick UDP Internet Connections) 协议。它带来了多项好处,共同导致延迟降低和性能提高:
- 实现不同网络连接之间的无缝转换,例如从 Wi-Fi 切换到移动数据。
- 消除队头阻塞,使丢失的数据包不会阻塞所有流。
- 在 TLS 握手的同时协商 TLS 版本,从而实现更快的连接。
- 默认提供加密,确保通过 HTTP/3 连接传输的所有数据都受到保护和保密。
- 在与客户端已建立连接的服务器通信时提供零往返时间 (0-RTT)。
APISIX 目前支持下游客户端和 APISIX 之间的 HTTP/3 连接。尚不支持与上游服务的 HTTP/3 连接。
警告
此功能目前处于实验阶段,不建议用于生产环境。
本指南将向你展示如何配置 APISIX 以启用客户端和 APISIX 之间的 HTTP/3 连接。
前置条件
- 安装 Docker。
- 安装 static-curl 或其他支持 HTTP/3 的 curl。
- 按照 快速入门教程 在 Docker 或 Kubernetes 中启动一个新的 APISIX 实例。
在 APISIX 中启用 HTTP/3
通过将以下配置添加到 APISIX 的 config.yaml 配置文件中,在端口 9443 上启用 HTTP/3:
docker exec apisix-quickstart /bin/sh -c "echo '
apisix:
enable_control: true
control:
ip: 0.0.0.0
port: 9092
ssl:
listen:
- port: 9443
enable_http3: true
deployment:
role: traditional
role_traditional:
config_provider: etcd
admin:
admin_key_required: false
allow_admin:
- 0.0.0.0/0
plugin_attr:
prometheus:
export_addr:
ip: 0.0.0.0
port: 9091
' > /usr/local/apisix/conf/config.yaml"
重新加载 APISIX 以使配置更改生效:
docker exec apisix-quickstart apisix reload
生成证书和密钥
HTTP/3 需要 TLS。你可以购买证书或自行生成证书,视情况而定。
要自行生成,首先生成证书颁发机构 (CA) 密钥和证书:
openssl genrsa -out ca.key 2048 && \
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/CN=ROOTCA" && \
openssl x509 -req -days 36500 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.crt
接下来,为 APISIX 生成通用名称为 test.com 的密钥和证书,并使用 CA 证书进行签名:
openssl genrsa -out server.key 2048 && \
openssl req -new -sha256 -key server.key -out server.csr -subj "/CN=test.com" && \
openssl x509 -req -days 36500 -sha256 -extensions v3_req \
-CA ca.crt -CAkey ca.key -CAserial ca.srl -CAcreateserial \
-in server.csr -out server.crt
配置 HTTPS
你可以选择将 server.crt 和 server.key 的内容加载到 shell 变量中:
server_cert=$(cat server.crt)
server_key=$(cat server.key)
创建一个 SSL 证书对象以保存服务器证书及其密钥:
curl -i "http://127.0.0.1:9180/apisix/admin/ssls" -X PUT -d '
{
"id": "quickstart-tls-client-ssl",
"sni": "test.com",
"cert": "'"${server_cert}"'",
"key": "'"${server_key}"'"
}'
❶ 配置 SNI 以匹配服务器证书 CN。
❷ 配置服务器证书。
❸ 配置服务器证书的私钥。
将配置应用到你的集群:
将配置应用到你的集群:
在 APISIX 中创建路由
创建一个指向 httpbin.org 的示例路由:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT -d '
{
"id":"httpbin-route",
"uri":"/get",
"upstream": {
"type":"roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
验证客户端和 APISIX 之间的 HTTP/3 连接
向路由发送请求:
curl -kv --http3-only \
-H "Host: test.com" \
--resolve "test.com:9443:127.0.0.1" "https://test.com:9443/get"
你应该收到类似以下的 HTTP/3 200 响应:
* Added test.com:9443:127.0.0.1 to DNS cache
* Hostname test.com was found in DNS cache
* Trying 127.0.0.1:9443...
* QUIC cipher selection: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_CCM_SHA256
* Skipped certificate verification
* Connected to test.com (127.0.0.1) port 9443
* using HTTP/3
* [HTTP/3] [0] OPENED stream for https://test.com:9443/get
* [HTTP/3] [0] [:method: GET]
* [HTTP/3] [0] [:scheme: https]
* [HTTP/3] [0] [:authority: test.com]
* [HTTP/3] [0] [:path: /get]
* [HTTP/3] [0] [user-agent: curl/8.7.1]
* [HTTP/3] [0] [accept: */*]
> GET /get HTTP/3
> Host: test.com
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
< HTTP/3 200
...
{
"args": {},
"headers": {
"Accept": "*/*",
"Content-Length": "0",
"Host": "test.com",
"User-Agent": "curl/8.7.1",
"X-Amzn-Trace-Id": "Root=1-6656013a-27da6b6a34d98e3e79baaf5b",
"X-Forwarded-Host": "test.com"
},
"origin": "172.19.0.1, 123.40.79.456",
"url": "http://test.com/get"
}
* Connection #0 to host test.com left intact
下一步
你已了解如何配置客户端和 APISIX 之间的 HTTP/3。与上游服务的 HTTP/3 连接尚不支持,欢迎任何贡献。