TLS终止(TLS Termination)介绍(某个网络组件负责解密HTTPS,然后把明文流量继续转发到后端服务)HTTPS终止、负载均衡器负责处理TLS终止、TLS透传、TLS二次加密
文章目录
- TLS 终止(TLS Termination)详解
- 一、什么是 TLS?
- 二、什么是 TLS 终止(TLS Termination)
- TLS Termination
- 三、为什么叫“终止”?
- 四、TLS 终止的完整流程
- 1. 用户发起 HTTPS 请求
- 2. TLS 终止设备完成握手
- 3. 请求被解密
- 4. 转发给后端应用
- 五、为什么需要 TLS 终止?
- 六、TLS 终止的优势
- 1. 减轻应用负担
- 2. 集中管理证书
- 3. 后端服务更简单
- 4. 更容易做流量治理
- 七、典型 TLS 终止架构
- 1. Nginx TLS 终止
- 2. Kubernetes Ingress TLS 终止
- 3. Cloudflare TLS 终止
- 八、TLS Passthrough
- TLS Passthrough
- 架构
- 优点
- 1. 端到端加密
- 2. 更高安全性
- 缺点
- 1. 无法做 L7 路由
- 2. 后端复杂
- 九、TLS Re-encryption(重新加密)
- 架构
- 十、三种模式对比
- 十一、TLS 终止与反向代理
- Reverse Proxy(反向代理)
- 十二、TLS 终止与 API Gateway
- 十三、TLS 终止的安全风险
- 1. 内网明文传输
- 2. 零信任架构问题
- 十四、mTLS(双向 TLS)
- 十五、生产环境最佳实践
- 推荐方案 1:入口 TLS 终止
- 推荐方案 2:TLS Re-encryption
- 推荐方案 3:Service Mesh + mTLS
- 十六、一个非常经典的误区
- TLS Termination
- 十七、总结
- 一句话理解
- 核心要点回顾
- TLS Termination
- TLS Passthrough
- TLS Re-encryption
TLS 终止(TLS Termination)详解
在现代 Web 架构、微服务、Kubernetes、API Gateway 与负载均衡系统中,TLS 终止(TLS Termination)是一个极其核心的概念。
很多人第一次接触时会疑惑:
- 为什么 HTTPS 请求到了负载均衡器之后会变成 HTTP?
- 为什么 Ingress Controller 能自动处理证书?
- 为什么 Nginx、Envoy、Kong、Traefik 都在做 TLS Termination?
- TLS 为什么不直接到应用?
这篇文章会系统讲清楚:
- 什么是 TLS 终止
- TLS 终止的工作原理
- 为什么需要 TLS 终止
- TLS 终止与反向代理的关系
- Kubernetes 中的 TLS 终止
- TLS Passthrough 与 TLS Re-encryption
- 优缺点与最佳实践
一、什么是 TLS?
TLS(Transport Layer Security)是一种:
用于保护网络通信安全的加密协议
它是 HTTPS 的核心。
当浏览器访问:
https://example.com实际上就是:
HTTP + TLSTLS 主要解决:
- 数据加密
- 防止窃听
- 防止中间人攻击
- 身份认证
- 数据完整性校验
二、什么是 TLS 终止(TLS Termination)
TLS Termination 的本质是:
某个网络组件负责“解密 HTTPS”,然后把明文流量继续转发到后端服务。
例如:
客户端 │ HTTPS(TLS) │ 负载均衡器 / Ingress / API Gateway │ HTTP(明文) │ 后端服务这里:
- TLS 在负载均衡器处结束
- HTTPS 被“终止”
- 后端服务收到的是普通 HTTP
这就叫:
TLS Termination
三、为什么叫“终止”?
因为:
TLS 会话到某个组件就结束了。
例如:
Browser <--TLS--> NginxTLS 只存在于:
Browser 与 Nginx 之间Nginx 解密之后:
Nginx <--HTTP--> App后面的链路已经不是 TLS。
所以叫:
TLS Terminated at Nginx四、TLS 终止的完整流程
下面看完整请求链路。
1. 用户发起 HTTPS 请求
浏览器:
GET https://api.example.com/users建立 TLS 握手:
- Client Hello
- Server Hello
- 证书交换
- 密钥协商
2. TLS 终止设备完成握手
可能是:
- Nginx
- Envoy
- HAProxy
- Kong
- AWS ALB
- Cloudflare
- Kubernetes Ingress
它负责:
- 保存证书
- 处理 TLS 握手
- 解密流量
3. 请求被解密
原始:
HTTPS Encrypted Traffic解密后:
HTTP Plain Traffic4. 转发给后端应用
例如:
proxy_pass http://user-service:8080;后端服务不需要 HTTPS。
五、为什么需要 TLS 终止?
这是最关键的问题。
六、TLS 终止的优势
1. 减轻应用负担
TLS 握手非常消耗 CPU。
尤其:
- RSA
- ECDHE
- 证书校验
- 密钥交换
如果每个应用都处理 TLS:
App1 App2 App3 App4会导致:
- CPU 消耗高
- 配置复杂
- 证书难管理
于是统一放到:
负载均衡器处理。
2. 集中管理证书
如果没有 TLS 终止:
每个服务都要:
- 配证书
- 更新证书
- 处理过期
- 配 HTTPS
很麻烦。
TLS Termination 后:
只有入口层需要证书例如:
Ingress Controller统一管理。
3. 后端服务更简单
后端应用只处理:
HTTP不需要:
- OpenSSL
- TLS 配置
- HTTPS 监听
- 证书热更新
开发复杂度大幅降低。
4. 更容易做流量治理
入口层解密后:
代理可以看到:
- URL
- Header
- Cookie
- JWT
- Body
于是可以做:
- 路由
- 鉴权
- 限流
- WAF(Web Application Firewall:Web应用防火墙)
- API Gateway
- Logging
- Metrics
如果不解密:
代理根本看不到内容。
七、典型 TLS 终止架构
1. Nginx TLS 终止
Client │ HTTPS ▼ Nginx │ HTTP ▼ AppNginx 配置:
server { listen 443 ssl; ssl_certificate server.crt; ssl_certificate_key server.key; location / { proxy_pass http://backend; } }Nginx:
- 负责 TLS
- 解密请求
- 转发 HTTP
2. Kubernetes Ingress TLS 终止
Internet │ HTTPS │ Ingress Controller │ HTTP │ Service │ Pod例如:
tls:-hosts:-api.example.comsecretName:api-certIngress Controller:
- 读取 Secret
- 加载证书
- 完成 TLS 终止
Pod 不需要 HTTPS。
3. Cloudflare TLS 终止
Browser │ HTTPS ▼ Cloudflare │ HTTP / HTTPS ▼ Origin ServerCloudflare 是典型:
边缘 TLS 终止八、TLS Passthrough
TLS Termination 的对立概念是:
TLS Passthrough
即:
代理不解密 TLS流量直接透传。
架构
Client │ HTTPS ▼ Load Balancer │ HTTPS ▼ Backend这里:
- LB 看不到 HTTP 内容
- 后端自己处理 TLS
优点
1. 端到端加密
真正:
Client -> App全程 TLS。
2. 更高安全性
中间节点看不到明文。
缺点
1. 无法做 L7 路由
因为代理看不到:
- Host
- Path
- Header
2. 后端复杂
所有服务都要:
- 配证书
- 处理 HTTPS
九、TLS Re-encryption(重新加密)
这是云原生里非常常见的一种模式。
架构
Client │ HTTPS ▼ Ingress / Gateway │ HTTPS ▼ Backend区别在于:
- 入口层先解密
- 然后再次加密
- 再发给后端
即:
TLS -> 解密 -> 再 TLS十、三种模式对比
| 模式 | 入口解密 | 后端 HTTPS | 能看 HTTP 内容 | 安全性 |
|---|---|---|---|---|
| TLS Termination | YES | NO | YES | 中 |
| TLS Passthrough | NO | YES | NO | 高 |
| TLS Re-encryption | YES | YES | YES | 高 |
十一、TLS 终止与反向代理
TLS 终止通常由:
Reverse Proxy(反向代理)
完成。
例如:
- Nginx
- Envoy
- Traefik
- Kong
- HAProxy
它们既是:
- TLS Endpoint
- Reverse Proxy
又是:
- Load Balancer
- API Gateway
十二、TLS 终止与 API Gateway
API Gateway 基本都会做 TLS 终止。
因为它需要:
- 查看 Header
- 验证 JWT
- 路由 API
- 限流
- 认证
所以必须先解密。
例如:
- Kong
- Envoy
- Traefik
都默认支持 TLS Termination。
十三、TLS 终止的安全风险
虽然方便,但也有风险。
1. 内网明文传输
例如:
Ingress -> Service是 HTTP。
如果内网被攻击:
可能泄漏数据。
2. 零信任架构问题
现代 Zero Trust 要求:
全链路加密所以很多企业:
- 使用 mTLS
- 使用 Re-encryption
十四、mTLS(双向 TLS)
普通 TLS:
客户端验证服务端mTLS:
双方互相验证常用于:
- 微服务通信
- Service Mesh
- 内网安全
例如:
- Istio
- Linkerd
都会自动实现:
Pod-to-Pod mTLS十五、生产环境最佳实践
推荐方案 1:入口 TLS 终止
适合:
- 普通 Web 系统
- 中小型业务
架构:
Client HTTPS ↓ Ingress TLS Termination ↓ HTTP Backend简单高效。
推荐方案 2:TLS Re-encryption
适合:
- 金融
- 企业内网
- 高安全要求
架构:
Client HTTPS ↓ Gateway HTTPS ↓ Backend HTTPS推荐方案 3:Service Mesh + mTLS
适合:
- 大规模微服务
- Zero Trust
例如:
Ingress TLS + Mesh mTLS十六、一个非常经典的误区
很多人认为:
用了 HTTPS = 全链路都加密其实不一定。
很多情况下只是:
Client -> LB加密。
后面:
LB -> Backend可能是明文 HTTP。
这正是:
TLS Termination
的本质。
十七、总结
TLS 终止本质上是:
在入口层完成 HTTPS 解密,再将流量转发给后端服务。
它是现代:
- 云原生
- Kubernetes
- API Gateway
- 微服务
- 负载均衡
中的核心基础设施能力。
一句话理解
可以把 TLS 终止理解为:
“由入口网关统一处理 HTTPS,后端服务专注业务逻辑。”
核心要点回顾
TLS Termination
HTTPS -> Proxy -> HTTP特点:
- 入口层解密
- 后端无需 HTTPS
- 最常见
TLS Passthrough
HTTPS -> Proxy -> HTTPS特点:
- 不解密
- 真正端到端 TLS
TLS Re-encryption
HTTPS -> 解密 -> HTTPS特点:
- 安全性更高
- 云原生常见
- 企业级常见