如果你以前有涉獵過 gRPC+gRPC Gateway 這兩個組件审胸,你肯定會遇到這個問題亥宿,就是 “為什么非得開 TLS,才能夠?qū)崿F(xiàn)同端口雙流量砂沛,能不能不開烫扼?” 又或是 “我不想用證書就實現(xiàn)這些功能,行不行尺上?”材蛛。我被無數(shù)的人問過無數(shù)次這些問題,也說服過很多人怎抛,但說服歸說服卑吭,不代表放棄。前年不行马绝,不代表今年不行豆赏,在今天我希望分享來龍去脈和具體的實現(xiàn)方式給你套才。
原文地址:gRPC gRPC Gateway 能不能不用證書枪芒?
過去
為什么 h2 不行
因為 net/http2 僅支持 "h2" 標識,而 "h2" 標識 HTTP/2 必須使用傳輸層安全性(TLS)的協(xié)議废恋,此標識符用于 TLS 應(yīng)用層協(xié)議協(xié)商字段以及識別 HTTP/2 over TLS椭赋。
簡單來講抚岗,也就 net/http2 必須使用 TLS 來交互。通俗來講就要用證書哪怔,那么理所當然宣蔚,也就無法支持非 TLS 的情況了。
尋找 h2c
那這條路不行认境,我們再想想別的路胚委?那就是 HTTP/2 規(guī)范中的 "h2c" 標識了,"h2c" 標識允許通過明文 TCP 運行 HTTP/2 的協(xié)議叉信,此標識符用于 HTTP/1.1 升級標頭字段以及標識 HTTP/2 over TCP亩冬。
但是這條路,早在 2015 年就已經(jīng)有在 issue 中進行討論硼身,當時 @bradfitz 明確表示 “不打算支持 h2c硅急,對僅支持 TLS 的情況非常滿意,一年后再問我一次”佳遂,原文回復(fù)如下:
We do not plan to support h2c. I don't want to receive bug reports from users who get bitten by transparent proxies messing with h2c. Also, until there's widespread browser support, it's not interesting. I am also not interested in being the chicken or the egg to get browser support going. I'm very happy with the TLS-only situation, and things like https://LetsEncrypt.org/ will make TLS much easier (and automatic) soon.
Ask me again in one year.
琢磨其他方式
使用 cmux
基于多路復(fù)用器 soheilhy/cmux 的另類實現(xiàn) Stoakes/grpc-gateway-example营袜。若對 cmux 的實現(xiàn)方式感興趣,還可以看看 《Golang: Run multiple services on one port》讶迁。
使用第三方 h2
這種屬于自己實現(xiàn)了 h2c 的邏輯连茧,以此達到效果。
現(xiàn)在
經(jīng)過社區(qū)的不斷討論巍糯,最后在 2018 年 6 月啸驯,代表 "h2c" 標志的 golang.org/x/net/http2/h2c 標準庫正式合并進來,自此我們就可以使用官方標準庫(h2c)祟峦,這個標準庫實現(xiàn)了 HTTP/2 的未加密模式罚斗,因此我們就可以利用該標準庫在同個端口上既提供 HTTP/1.1 又提供 HTTP/2 的功能了。
使用標準庫 h2c
import (
...
"golang.org/x/net/http2"
"golang.org/x/net/http2/h2c"
"google.golang.org/grpc"
"github.com/grpc-ecosystem/grpc-gateway/runtime"
pb "github.com/EDDYCJY/go-grpc-example/proto"
)
...
func grpcHandlerFunc(grpcServer *grpc.Server, otherHandler http.Handler) http.Handler {
return h2c.NewHandler(http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
if r.ProtoMajor == 2 && strings.Contains(r.Header.Get("Content-Type"), "application/grpc") {
grpcServer.ServeHTTP(w, r)
} else {
otherHandler.ServeHTTP(w, r)
}
}), &http2.Server{})
}
func main() {
server := grpc.NewServer()
pb.RegisterSearchServiceServer(server, &SearchService{})
mux := http.NewServeMux()
gwmux := runtime.NewServeMux()
dopts := []grpc.DialOption{grpc.WithInsecure()}
err := pb.RegisterSearchServiceHandlerFromEndpoint(context.Background(), gwmux, "localhost:"+PORT, dopts)
...
mux.Handle("/", gwmux)
http.ListenAndServe(":"+PORT, grpcHandlerFunc(server, mux))
}
我們可以看到關(guān)鍵之處在于調(diào)用了 h2c.NewHandler 方法進行了特殊處理宅楞,h2c.NewHandler 會返回一個 http.handler针姿,主要的內(nèi)部邏輯是攔截了所有 h2c 流量,然后根據(jù)不同的請求流量類型將其劫持并重定向到相應(yīng)的 Hander 中去處理厌衙。
驗證
HTTP/1.1
$ curl -X GET 'http://127.0.0.1:9005/search?request=EDDYCJY'
{"response":"EDDYCJY"}
HTTP/2(gRPC)
...
func main() {
conn, err := grpc.Dial(":"+PORT, grpc.WithInsecure())
...
client := pb.NewSearchServiceClient(conn)
resp, err := client.Search(context.Background(), &pb.SearchRequest{
Request: "gRPC",
})
}
輸出結(jié)果:
$ go run main.go
2019/06/21 20:04:09 resp: gRPC h2c Server
總結(jié)
在本文中我介紹了大致的前因后果距淫,且介紹了幾種解決方法,我建議你選擇官方的 h2c 標準庫去實現(xiàn)這個功能婶希,也簡單榕暇。在最后,不管你是否曾經(jīng)為這個問題煩惱過許久喻杈,又或者正在糾結(jié)彤枢,都希望這篇文章能夠幫到你。
