客户端 TLS 身份验证
客户端 TLS 身份验证过滤器 架构概述
此过滤器应使用类型 URL
type.googleapis.com/envoy.extensions.filters.network.client_ssl_auth.v3.ClientSSLAuth配置。
统计信息
每个配置的客户端 TLS 身份验证过滤器都有统计信息,其根位于 auth.clientssl.<stat_prefix>.,并具有以下统计信息
名称 |
类型 |
描述 |
|---|---|---|
update_success |
计数器 |
总主体更新成功次数 |
update_failure |
计数器 |
总主体更新失败次数 |
auth_no_ssl |
计数器 |
由于没有 TLS 而被忽略的连接总数 |
auth_ip_allowlist |
计数器 |
由于 IP 允许列表而被允许的连接总数 |
auth_digest_match |
计数器 |
由于证书匹配而被允许的连接总数 |
auth_digest_no_match |
计数器 |
由于没有证书匹配而被拒绝的连接总数 |
total_principals |
仪表 |
总加载主体数 |
REST API
- GET /v1/certs/list/approved
身份验证过滤器将在每个刷新间隔调用此 API 以获取当前批准的证书/主体的列表。预期的 JSON 响应如下所示
{ "certificates": [] }
- 证书
(必需,数组) 批准的证书/主体的列表。
每个证书对象定义为
{ "fingerprint_sha256": "...", }
- fingerprint_sha256
(必需,字符串) 批准的客户端证书的 SHA256 哈希值。Envoy 将将此哈希值与提供的客户端证书进行匹配,以确定是否存在摘要匹配。