客户端 TLS 身份验证 (proto)

此扩展的限定名称为 envoy.filters.network.client_ssl_auth

注意

此扩展仅在 contrib 映像中可用。

注意

此扩展旨在对不受信任的下游流量具有鲁棒性。它假设上游是可信的。

提示

此扩展扩展并可与以下扩展类别一起使用

• envoy.filters.network

客户端 TLS 身份验证 配置概述.

extensions.filters.network.client_ssl_auth.v3.ClientSSLAuth

[extensions.filters.network.client_ssl_auth.v3.ClientSSLAuth proto]

{
  "auth_api_cluster": ...,
  "stat_prefix": ...,
  "refresh_delay": {...},
  "ip_white_list": []
}

auth_api_cluster

(string, REQUIRED) 运行身份验证服务的 集群管理器 集群。过滤器将每 60 秒连接到该服务以获取主体列表。该服务必须支持预期的 REST API.

stat_prefix

(string, REQUIRED) 发射 统计信息 时使用的前缀。

refresh_delay

(Duration) 从身份验证服务刷新主体的毫秒时间间隔。默认值为 60000（60 秒）。实际获取时间将是此值加上 0-refresh_delay_ms 毫秒之间的随机抖动值。

ip_white_list

(repeated config.core.v3.CidrRange) 过滤器应允许访问的 IP 地址和子网掩码的可选列表。如果未提供任何列表，则不存在 IP 允许列表。