Go容器间mTLS通信需自建私有CA签发证书,通过ConfigMap或挂载注入容器,服务端配置tls.Config启用RequireAndVerifyClientCert,客户端加载自身证书并信任同一CA根证书,路径统一为/etc/tls/,确保SAN匹配与权限合规。
使用 TLS 实现 Go 容器间安全通信,核心是为 HTTP(或 gRPC)服务启用双向 TLS(mTLS),确保容器身份可信且传输加密。关键不在“能不能”,而在“证书怎么管、服务怎么配、验证怎么写”。
生成和分发可信证书
容器环境不依赖公共 CA,需自建私有 CA 或使用 cert-manager(K8s)/ step-ca(轻量级)签发证书。手动方式示例如下:
- 用
step ca init初始化本地 CA,生成 root.crt、root.key - 为每个服务(如
auth-svc、order-svc)生成 CSR,用 CA 签发证书+私钥,并附带 root.crt 作为信任根 - 将证书文件(
service.crt、service.key、ca.crt)通过 ConfigMap(K8s)或挂载卷注入容器,避免硬编码或镜像打包
服务端启用 TLS 并强制客户端认证(mTLS)
Go 的 http.Server 或 grpc.Server 需配置 tls.Config,开启客户端证书校验:
- 加载服务端证书和私钥:
tls.LoadX509KeyPair("service.crt", "service.key") - 读取 CA 证书池:
caCert, _ := os.ReadFile("ca.c
rt"); caPool := x509.NewCertPool(); caPool.AppendCertsFromPEM(caCert)
- 设置
ClientAuth: tls.RequireAndVerifyClientCert和ClientCAs: caPool - 启动时传入 TLS 配置:
server.ListenAndServeTLS("service.crt", "service.key")
客户端发起 TLS 请求并携带证书
调用方(如另一个容器中的 Go client)必须提供自己的证书,并信任服务端 CA:
- 同样加载 client.crt + client.key 用于身份证明
- 用同一份 ca.crt 构建
http.Transport.TLSClientConfig.RootCAs,确保能验证服务端证书有效性 - 若用
http.DefaultClient,需新建 transport 并替换:&http.Transport{TLSClientConfig: &tls.Config{...}} - gRPC client 同理:传入
credentials.NewTLS(&tls.Config{...})作为 Dial 选项
运行时注意容器网络与证书路径
容器内路径与宿主机不同,证书挂载位置需与代码中读取路径严格一致:
- 推荐统一挂载到
/etc/tls/下,如/etc/tls/tls.crt、/etc/tls/tls.key、/etc/tls/ca.crt - 启动命令中可通过环境变量传入路径,增强灵活性:
TLS_CERT=/etc/tls/tls.crt - K8s 中用
volumeMounts挂载 Secret,确保权限为0444,避免因权限过高被 Go 的 crypto/tls 拒绝加载
不复杂但容易忽略:证书有效期、域名 SAN 匹配(服务端证书需含 DNS 名如 auth-svc.default.svc.cluster.local)、以及所有容器共用同一 CA 根证书。只要 CA 可信、证书有效、配置一致,容器间通信就真正做到了身份可验、链路加密。
