最近想把網站的一個服務獨立出來專門提供資料用,互動用grpc,服務發現用consul,運行環境用docker ,
現在問題來了,首先,grpc傳輸使用http2協議,http2協議需要https,在內網情況下我們可能不想用https,那么grpc也是可以使用http的,參考:Http2UnencryptedSupport ,通過配置服務端監聽協議為http2,同時配置客戶端,則可以使用http協議呼叫grpc,
服務端的appsettings可以添加如下配置監聽協議:
"Kestrel": {
"EndpointDefaults": {
"Protocols": "Http2"
}
}
客戶端在Programs添加如下代碼:
AppContext.SetSwitch(
"System.Net.Http.SocketsHttpHandler.Http2UnencryptedSupport", true);
接下來的問題是,我的grpc服務希望通過consul來發現,但是consul的心跳檢測是不支持http2的,也就是說,我的grpc服務必須同時接受http/http2的協議訪問,.net core能不能支持呢?
其實是可以的,參考:ListenOptions.Protocols ,也就是把上面的 "Protocols": "Http2" 改成 "Protocols": "Http1AndHttp2" ,但是文章里面又說了Http1AndHttp2使用條件:"HTTP/2 要求客戶端在 TLS 應用層協議協商 (ALPN) 握手程序中選擇 HTTP/2;否則,連接默認為 HTTP/1.1,"
也就是說使用grpc訪問服務時使用的是http地址的話,是用不了http2協議的,,,
那怎么辦呢?我的考慮是
1.不使用consul了,直接訪問grpc服務,這不符合我的需求
2,只能上https了,使用https又有兩種方式,首先是用dev的證書,也就是地址是localhost的證書,這個.net core自己就能簽名,由于我的服務是運行在docker中,那就意味著localhost的話我所有的服務都需要在dockerker里同一個network下面,這個很好解決,證書也容易獲取,
最后我選擇的是另一種方式,那就是自簽名證書,在windows下安裝openssl,并自簽名一個鏈式三級證書: CA證書>中間證書>服務證書, 最后的服務證書指向的是grpc服務的ip地址,windows 下openssl的安裝參考:這里 ,鏈式證書的生成參考:這里,
不需要三級證書這么麻煩的話其實可以直接生成服務證書作為根證書,
接下來說一下部署到docker上要注意的:
服務端的話,.netcore的證書需要 pfx格式,所以openssl生成的證書還要轉換成pfx,然后配置到docker中:參考
我是使用docker-compose部署的,所以需要在yml中添加環境變數:
environment:
- "ASPNETCORE_Kestrel__Certificates__Default__Path=/https/your.pfx"
- "ASPNETCORE_Kestrel__Certificates__Default__Password=yourpassword"
- "ASPNETCORE_URLS=https://+;http://+"
grpc客戶端需要信任剛剛生成的證書,客戶端是跑在windows,那么雙擊證書安裝就可以了,想要查看windows下的證書,可以打開命令列,輸入mmc命令,如果是在docker,那么還需要把證書拷進去更新,我的客戶端dockerfile添加了這兩段命令:
COPY "your.crt" "/usr/local/share/ca-certificates" RUN update-ca-certificates
意思是把證書拷到ca-certificates目錄下,并執行 更新命令,
最后,再說下我的一個經驗:自簽名的證書在chrome下是不信任的,網上有教程可以添加信任,這一點 ie做得比較好,添加信任證書后IE是可以直接打開簽名的https網站且沒有警告的,
還有一個是客戶端環境沒有添加信任自簽名證書的話.net core程式是會報錯的,大意就是證書不信任,但是我在測驗吊中間銷證書時發現.netcore 還是能正常訪問已經被吊銷證書的網站,而用IE打開的話IE會提示證書已經被吊銷,這個問題暫時不知道如何處理,
如何吊銷證書可以看:openssl生成證書鏈多級證書、證書吊銷串列(CRL)
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/50950.html
標籤:C#
下一篇:C#判斷某日為一個星期的第幾天