我有一个 gRPC 客户端和服务器，两者都使用 ssl 证书进行保护。如果没有代理，这些工作就很好。作为测试，当我故意创建有缺陷的证书时，它会失败。稍后在本文中证明这不是证书问题。

gRPC 服务器代码：

// Creates a new gRPC server

// Create the TLS credentials

creds, err := credentials.NewServerTLSFromFile("configs/cert/servercert.pem", "configs/cert/serverkey.pem")

if err != nil {

    log.Fatalf("could not load TLS keys: %s", err)

}

// Create an array of gRPC options with the credentials

opts := []grpc.ServerOption{grpc.Creds(creds)}

// create a gRPC server object

s := grpc.NewServer(opts...)

gRPC 客户端代码：

// Create the client TLS credentials

creds, err := credentials.NewClientTLSFromFile("configs/cert/servercert.pem", "")

if err != nil {

    log.Fatalf("could not load tls cert: %s", err)

}

conn, err := grpc.Dial(grpcUri, grpc.WithTransportCredentials(creds))

if err != nil {

    log.Fatalf("Unable to connect: %v", err)

}

现在我尝试使用转发代理（我已经测试过并且在正常的 HTTP api 请求上工作正常）。然而，它经常在通过代理的 gRPC 请求上失败。

我正在使用cuttle，它内部使用goproxy并进行以下设置。请注意，InsecureSkipVerify布尔值已被尝试过true和false。根据我对 SSL 的（有限）了解，这需要如此，false因为它将在线检查证书，并且这些证书是自签名的，所以自然会失败。然而，我再次尝试了true两者false

// Config proxy.

proxy := goproxy.NewProxyHttpServer()

proxy.Tr = &http.Transport{

    // Config TLS cert verification.

    TLSClientConfig: &tls.Config{InsecureSkipVerify: !cfg.TLSVerify},

    Proxy:           http.ProxyFromEnvironment,

}

在 gRPC 客户端和服务器之间运行代理会导致以下错误：

传输：身份验证握手失败：x509：由未知颁发机构签名的证书（可能是因为在尝试验证候选颁发机构证书“测试服务器”时“x509：无效签名：父证书无法签署此类证书”

这表明这是一个证书问题，但是，正如前面所述和测试的那样，gRPC 在没有代理的情况下可以完美工作。

另请注意：我不想在代理后面运行 gRPC，但由于开发环境而被迫这样做。gRPC 服务器和代理运行在同一台 docker 机器上。具有相同的 IP 地址将导致以下配置，这只会相互抵消（相信我，我无论如何都尝试过）。

ENV http_proxy 192.168.99.100:3128

ENV https_proxy 192.168.99.100:3128

ENV no_proxy 192.168.99.100 # <- this would be the gRPC server IP, which is the same as the proxy. resulting in nothing being run through a proxy.

分割 docker 中的 IP 地址可以解决这个问题，但是，我什么也学不到，并且想解决这个问题。我尝试了像这里回答的配置来设置不同的docker内部IP，但是，该IP将保持为空（仅设置网络）并且在新IP上访问只会超时。