成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

gRPC+gRPC Gateway 能不能不用證書?

yanest / 718人閱讀

摘要:原文地址能不能不用證書過去為什么不行因?yàn)閮H支持標(biāo)識,而標(biāo)識必須使用傳輸層安全性的協(xié)議,此標(biāo)識符用于應(yīng)用層協(xié)議協(xié)商字段以及識別。

如果你以前有涉獵過 gRPC+gRPC Gateway 這兩個組件,你肯定會遇到這個問題,就是 “為什么非得開 TLS,才能夠?qū)崿F(xiàn)同端口雙流量,能不能不開?” 又或是 “我不想用證書就實(shí)現(xiàn)這些功能,行不行?”。我被無數(shù)的人問過無數(shù)次這些問題,也說服過很多人,但說服歸說服,不代表放棄。前年不行,不代表今年不行,在今天我希望分享來龍去脈和具體的實(shí)現(xiàn)方式給你。

原文地址:gRPC+gRPC Gateway 能不能不用證書?

過去 為什么 h2 不行

因?yàn)?net/http2 僅支持 "h2" 標(biāo)識,而 "h2" 標(biāo)識 HTTP/2 必須使用傳輸層安全性(TLS)的協(xié)議,此標(biāo)識符用于 TLS 應(yīng)用層協(xié)議協(xié)商字段以及識別 HTTP/2 over TLS。

簡單來講,也就 net/http2 必須使用 TLS 來交互。通俗來講就要用證書,那么理所當(dāng)然,也就無法支持非 TLS 的情況了。

尋找 h2c

那這條路不行,我們再想想別的路?那就是 HTTP/2 規(guī)范中的 "h2c" 標(biāo)識了,"h2c" 標(biāo)識允許通過明文 TCP 運(yùn)行 HTTP/2 的協(xié)議,此標(biāo)識符用于 HTTP/1.1 升級標(biāo)頭字段以及標(biāo)識 HTTP/2 over TCP。

但是這條路,早在 2015 年就已經(jīng)有在 issue 中進(jìn)行討論,當(dāng)時 @bradfitz 明確表示 “不打算支持 h2c,對僅支持 TLS 的情況非常滿意,一年后再問我一次”,原文回復(fù)如下:

We do not plan to support h2c. I don"t want to receive bug reports from users who get bitten by transparent proxies messing with h2c. Also, until there"s widespread browser support, it"s not interesting. I am also not interested in being the chicken or the egg to get browser support going. I"m very happy with the TLS-only situation, and things like https://LetsEncrypt.org/ will make TLS much easier (and automatic) soon.

Ask me again in one year.

琢磨其他方式 使用 cmux

基于多路復(fù)用器 soheilhy/cmux 的另類實(shí)現(xiàn) Stoakes/grpc-gateway-example。若對 cmux 的實(shí)現(xiàn)方式感興趣,還可以看看 《Golang: Run multiple services on one port》。

使用第三方 h2

veqryn/h2c

這種屬于自己實(shí)現(xiàn)了 h2c 的邏輯,以此達(dá)到效果。

現(xiàn)在

經(jīng)過社區(qū)的不斷討論,最后在 2018 年 6 月,代表 "h2c" 標(biāo)志的 golang.org/x/net/http2/h2c 標(biāo)準(zhǔn)庫正式合并進(jìn)來,自此我們就可以使用官方標(biāo)準(zhǔn)庫(h2c),這個標(biāo)準(zhǔn)庫實(shí)現(xiàn)了 HTTP/2 的未加密模式,因此我們就可以利用該標(biāo)準(zhǔn)庫在同個端口上既提供 HTTP/1.1 又提供 HTTP/2 的功能了。

使用標(biāo)準(zhǔn)庫 h2c
import (
    ...

    "golang.org/x/net/http2"
    "golang.org/x/net/http2/h2c"
    "google.golang.org/grpc"

    "github.com/grpc-ecosystem/grpc-gateway/runtime"

    pb "github.com/EDDYCJY/go-grpc-example/proto"
)

...

func grpcHandlerFunc(grpcServer *grpc.Server, otherHandler http.Handler) http.Handler {
    return h2c.NewHandler(http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        if r.ProtoMajor == 2 && strings.Contains(r.Header.Get("Content-Type"), "application/grpc") {
            grpcServer.ServeHTTP(w, r)
        } else {
            otherHandler.ServeHTTP(w, r)
        }
    }), &http2.Server{})
}

func main() {
    server := grpc.NewServer()

    pb.RegisterSearchServiceServer(server, &SearchService{})

    mux := http.NewServeMux()
    gwmux := runtime.NewServeMux()
    dopts := []grpc.DialOption{grpc.WithInsecure()}

    err := pb.RegisterSearchServiceHandlerFromEndpoint(context.Background(), gwmux, "localhost:"+PORT, dopts)
    ...
    mux.Handle("/", gwmux)
    http.ListenAndServe(":"+PORT, grpcHandlerFunc(server, mux))
}

我們可以看到關(guān)鍵之處在于調(diào)用了 h2c.NewHandler 方法進(jìn)行了特殊處理,h2c.NewHandler 會返回一個 http.handler,主要的內(nèi)部邏輯是攔截了所有 h2c 流量,然后根據(jù)不同的請求流量類型將其劫持并重定向到相應(yīng)的 Hander 中去處理。

驗(yàn)證 HTTP/1.1
$ curl -X GET "http://127.0.0.1:9005/search?request=EDDYCJY"
{"response":"EDDYCJY"}
HTTP/2(gRPC)
...
func main() {
    conn, err := grpc.Dial(":"+PORT, grpc.WithInsecure())
    ...
    client := pb.NewSearchServiceClient(conn)
    resp, err := client.Search(context.Background(), &pb.SearchRequest{
        Request: "gRPC",
    })
}

輸出結(jié)果:

$ go run main.go
2019/06/21 20:04:09 resp: gRPC h2c Server
總結(jié)

在本文中我介紹了大致的前因后果,且介紹了幾種解決方法,我建議你選擇官方的 h2c 標(biāo)準(zhǔn)庫去實(shí)現(xiàn)這個功能,也簡單。在最后,不管你是否曾經(jīng)為這個問題煩惱過許久,又或者正在糾結(jié),都希望這篇文章能夠幫到你。

參考

https://github.com/golang/go/...

https://github.com/golang/go/...

https://github.com/golang/net...

https://go-review.googlesourc...

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/31779.html

相關(guān)文章

  • 華爾街見聞基于istio的服務(wù)網(wǎng)格實(shí)踐

    摘要:,托管于騰訊云容器平臺容器編排工具。適配我們目前的服務(wù)部署在騰訊云托管,節(jié)點(diǎn)使用核的網(wǎng)絡(luò)增強(qiáng)型機(jī)器,所有的后端服務(wù)都以部署,集群外部署高可用支持集群內(nèi)服務(wù)發(fā)現(xiàn),數(shù)據(jù)庫以為主,消息隊(duì)列采用。 距離2017年的見聞技術(shù)架構(gòu)調(diào)整接近2年,隨著業(yè)務(wù)線的發(fā)展,見聞技術(shù)部的項(xiàng)目數(shù)量、項(xiàng)目架構(gòu)類型、基礎(chǔ)設(shè)施規(guī)模、服務(wù)變更頻率都在不斷地增長,帶給SRE的挑戰(zhàn)是如何能更快地助力于開發(fā)人員更快更穩(wěn)定地部署...

    stonezhu 評論0 收藏0
  • 【Docker】第1篇:Docker + Envoy + gRpc restful

    摘要:文件學(xué)習(xí)配置文件這個文件中需要改動的地方執(zhí)行下面的命令時,必須切換到你的項(xiàng)目的根目錄可參考七其他備注截圖執(zhí)行。 Docker 安裝 通過 Homebrew 來安裝 Dockerbrew install docker 這個安裝可能比較慢,可以通過阿里云鏡像服務(wù)來下載 Docker.dmg http://mirrors.aliyun.com/doc... 安裝 Docker 的圖形管理界面...

    LiveVideoStack 評論0 收藏0
  • 帶入gRPC:基于 CA 的 TLS 證書認(rèn)證

    摘要:帶入基于的證書認(rèn)證原文地址帶入基于的證書認(rèn)證項(xiàng)目地址前言在上一章節(jié)中,我們提出了一個問題。其遵守標(biāo)準(zhǔn)根證書根證書是屬于根證書頒發(fā)機(jī)構(gòu)的公鑰證書。目標(biāo)是基于進(jìn)行認(rèn)證 帶入gRPC:基于 CA 的 TLS 證書認(rèn)證 原文地址:帶入gRPC:基于 CA 的 TLS 證書認(rèn)證項(xiàng)目地址:https://github.com/EDDYCJY/go... 前言 在上一章節(jié)中,我們提出了一個問題。就是...

    史占廣 評論0 收藏0
  • 帶入gRPC:TLS 證書認(rèn)證

    摘要:帶入證書認(rèn)證原文地址帶入證書認(rèn)證項(xiàng)目地址前言在前面的章節(jié)里,我們介紹了的四種使用方式。 帶入gRPC:TLS 證書認(rèn)證 原文地址:帶入gRPC:TLS 證書認(rèn)證項(xiàng)目地址:https://github.com/EDDYCJY/go... 前言 在前面的章節(jié)里,我們介紹了 gRPC 的四種 API 使用方式。是不是很簡單呢

    hikui 評論0 收藏0
  • 帶入gRPC:對 RPC 方法做自定義認(rèn)證

    摘要:帶入對方法做自定義認(rèn)證原文地址帶入對方法做自定義認(rèn)證項(xiàng)目地址前言在前面的章節(jié)中,我們介紹了兩種證書算一種可全局認(rèn)證的方法證書認(rèn)證基于的證書認(rèn)證而在實(shí)際需求中,常常會對某些模塊的方法做特殊認(rèn)證或校驗(yàn)。 帶入gRPC:對 RPC 方法做自定義認(rèn)證 原文地址:帶入gRPC:對 RPC 方法做自定義認(rèn)證項(xiàng)目地址:https://github.com/EDDYCJY/go... 前言 在前面的章...

    wh469012917 評論0 收藏0

發(fā)表評論

0條評論

yanest

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<