配置 APISIX 和 etcd 之间的 mTLS
双向 TLS (mTLS) 是一种双向 TLS,其中客户端和服务器相互验证身份。它通常用于防止未经授权的访问并加强安全性。
本文档将向你展示如何使用 Docker 化的 APISIX 和 etcd 配置 APISIX 和 etcd 之间的 mTLS。对于不同的部署方法,请相应调整步骤。
前置条件
生成证书和密钥
创建一个新目录并进入其中:
mkdir mtls-apisix-etcd && cd mtls-apisix-etcd
生成证书颁发机构 (CA) 密钥和证书:
openssl genrsa -out ca.key 2048 && \
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/CN=ROOTCA" && \
openssl x509 -req -days 36500 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.crt
生成具有通用名称 ETCD 的 etcd 密钥和证书,并使用 CA 证书进行签名:
openssl genrsa -out etcd.key 2048 && \
openssl req -new -sha256 -key etcd.key -out etcd.csr -subj "/CN=ETCD" && \
openssl x509 -req -days 36500 -sha256 -extensions v3_req \
-CA ca.crt -CAkey ca.key -CAserial ca.srl -CAcreateserial \
-in etcd.csr -out etcd.crt
生成具有通用名称 CLIENT 的 APISIX 密钥和证书,并使用 CA 证书进行签名:
openssl genrsa -out client.key 2048 && \
openssl req -new -sha256 -key client.key -out client.csr -subj "/CN=CLIENT" && \
openssl x509 -req -days 36500 -sha256 -extensions v3_req \
-CA ca.crt -CAkey ca.key -CAserial ca.srl -CAcreateserial \
-in client.csr -out client.crt
允许对目录中的文件进行读取访问,以避免下游权限问题:
chmod -R a+r ./
将证书和密钥复制到 /opt/mtls-apisix-etcd(或你选择的目录):
mkdir /opt/mtls-apisix-etcd
cp ca.crt etcd.key etcd.crt client.key client.crt /opt/mtls-apisix-etcd
配置 mTLS
你将在 Docker 容器中启动 etcd 和 APISIX,并带有 TLS 证书和密钥,以启用两者之间的 mTLS 通信。
启动 etcd
在 Docker 中启动 etcd 服务器:
docker run -d \
--name etcd-prod \
--network host \
-v /opt/mtls-apisix-etcd:/opt/bitnami/etcd/certs \
-e ALLOW_NONE_AUTHENTICATION=yes \
-e ETCD_ADVERTISE_CLIENT_URLS=https://etcd-prod:2379 \
-e ETCD_LISTEN_CLIENT_URLS=https://0.0.0.0:2379 \
// Annotate 1
-e ETCD_CLIENT_CERT_AUTH=true \
// Annotate 2
-e ETCD_CERT_FILE=/opt/bitnami/etcd/certs/etcd.crt \
// Annotate 3
-e ETCD_KEY_FILE=/opt/bitnami/etcd/certs/etcd.key \
// Annotate 4
-e ETCD_TRUSTED_CA_FILE=/opt/bitnami/etcd/certs/ca.crt \
bitnami/etcd:3.5.7
❶ 启用客户端证书身份验证。
❷ 设置 etcd TLS 证书的路径。
❸ 设置 etcd TLS 密钥的路径。
❹ 设置受信任 CA 证书的路径。
要验证 etcd 是否已启动且 mTLS 已正确配置,请使用客户端证书和密钥向 etcd 发送请求以获取 etcd 版本:
curl -ikv --resolve "ETCD:2379:127.0.0.1" "https://ETCD:2379/version" \
--cert /opt/mtls-apisix-etcd/client.crt --key /opt/mtls-apisix-etcd/client.key
如果一切正常,你应该看到带有 etcd 版本的 HTTP/2 200 响应:
{"etcdserver":"3.5.7","etcdcluster":"3.9.0"}
启动 APISIX
在 /opt(或你选择的目录)中创建一个 APISIX 配置文件:
echo 'apisix:
ssl:
// Annotate 1
ssl_trusted_certificate: /usr/local/apisix/certs/ca.crt
deployment:
role: traditional
role_traditional:
config_provider: etcd
admin:
admin_key_required: true
admin_key:
-
name: admin
key: Sup3rs3cretWr1teK3y # 替换为你的写密钥
role: admin
etcd:
host:
- "https://ETCD:2379"
tls:
// Annotate 2
cert: /usr/local/apisix/certs/client.crt
// Annotate 3
key: /usr/local/apisix/certs/client.key
' > /opt/config.yaml
❶ 在 Docker 容器中设置受信任 CA 证书的路径。
❷ 在 Docker 容器中设置客户端 TLS 证书的路径。
❸ 在 Docker 容器中设置客户端 TLS 密钥的路径。
在 Docker 中启动一个 APISIX 实例:
docker run -d \
--name apisix \
--network host \
--add-host ETCD:127.0.0.1 \
-e APISIX_DEPLOYMENT_ETCD_HOST=https://127.0.0.1:2379 \
// Annotate 1
-v /opt/mtls-apisix-etcd:/usr/local/apisix/certs \
// Annotate 2
-v /opt/config.yaml:/usr/local/apisix/conf/config.yaml \
apache/apisix
❶ 将主机上的 TLS 证书和密钥目录挂载到 Docker 容器。
❷ 将主机上的 APISIX 配置文件挂载到 Docker 容器。
验证 mTLS
要验证 APISIX 是否已启动且 APISIX 和 etcd 之间的 mTLS 已正确配置,请向 APISIX 发送请求以获取所有路由:
curl -i "http://127.0.0.1:9180/apisix/admin/routes" -H "X-API-KEY: Sup3rs3cretWr1teK3y"
如果一切正常,你应该看到包含所有 APISIX 路由的 HTTP/1.1 200 OK 响应,例如:
{"list":[],"total":0}