解决envoy TLS握手失败问题
在我们使用envoy替换原有云上alb的过程中,遇到了加密套件不兼容的问题,导致有大量大握手失败,对比envoy文档上的支持,我们发现envoy相对于云上ALB,少了以下六个cipher,除了ECDHE椭圆加密算法外剩余四个都是比较常用的,虽然这四个目前都是弱,但是不能因为这个损失用户,还是要先兼容再考虑升级问题。
"AES256-GCM-SHA384", "AES256-SHA", "ECDHE-RSA-AES128-SHA256", "ECDHE-RSA-AES256-SHA384", "AES128-SHA256", "AES256-SHA256",boringssl
envoy使用的boringssl,BoringSSL 是 OpenSSL 的一个分支,旨在满足 Google 的需求,而谷歌对安全要求也是比较高的,不支持这些弱cipher也情有可原,通过搜索我们发现在这个pr[1] 里删除了支持,只要我们复原就可以了,这里我在找到envoy当前依赖的boring版本,fork后添加上述PR的cipher,提交到GitHub,参见这个branch[2]
build envoy
boringssl修改完了接下来我们需要修改envoy依赖的boringssl,修改内容可以在此查看[3],然后我们就可以编译了
如果使用ubuntu编译在clone envoy代码后可以执行:
ENVOY_DOCKER_BUILD_DIR=/root/envoy/build ./ci/run_envoy_docker.sh './ci/do_ci.sh bazel.release.server_only’如果是centos在clone代码后执行(实际在centos编译过程中需要修改git和bazel的路径为绝对路径,建议使用ubuntu进行编译,毕竟是官方的CI镜像,不过Ubuntu编译出来的对glibc版本要求较高):
ENVOY_DOCKER_BUILD_DIR=/root/envoy/build IMAGE_NAME=envoyproxy/envoy-build-centos ./ci/run_envoy_docker.sh './ci/do_ci.sh bazel.release.server_only’然后我们就可以在 linux 目录下找到envoy的可执行程序了
引用链接
[1] pr: https://github.com/google/boringssl/commit/6e678eeb6e76171712ae00d467321b6fe196152d
[2] branch: https://github.com/du2016/boringssl/tree/old
[3] 查看: https://github.com/du2016/envoy/commit/ec09b04df09ce5cf186429382a9642d36302befd