Spring Gateway+白名单+docker

最新推荐文章于 2024-08-05 19:11:50 发布
最新推荐文章于 2024-08-05 19:11:50 发布
阅读量5.2k 收藏 2
点赞数 1
分类专栏: springcloud 文章标签: SpringCloud Gateway 白名单 X-Forwarded Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kamputer/article/details/103811174
版权

域名解析

从物理机上调用外部服务正常,但是docker里的java服务去调用却有问题。

答案

docker并不能使用宿主机的host配置信息

为每一个http请求定制header

如果在RouteLocatorBuilder里设置header的话就会对所有http request生效,如果为了对每个request请求使用不同header需要如下设置

@Configuration
public class GatewayConfiguration {

    @Bean
    public RouteLocator routeLocator(RouteLocatorBuilder builder, Client client){
        return builder.routes()
                .route("qbit",
                        request->request
                                .alwaysTrue()
                                .filters(
                                f->f.filter(client)
                        ).uri("http://"+client.getAddress()+"/")).build();
    }
}

@Slf4j
@Component
public class Client implements GatewayFilter {
   
    private final FastDateFormat fastDateFormat=FastDateFormat.getInstance("yyyy-MM-dd HH:mm:ss");
    public String getTimestamp() {
        return fastDateFormat.format(new Date());
    }
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        final var timestamp=this.getTimestamp();
        String contentType = "application/json";
        ServerHttpRequest request = exchange.getRequest().mutate()
                .header("Content-Type", contentType)
                .header("Timestamp",timestamp)
                .build();
        log.info("curl -X "+request.getMethod()+" "+
                Joiner.on(' ').join(
                        request.getHeaders().entrySet().stream().map(e->"--header '"+e.getKey()+":"+e.getValue().get(0)+"'").collect(Collectors.toList())
                )+" -d '?' '"+ StringUtils.replace(request.getURI().toString(),"spring-gateway:8080",getAddress())+"'");
        return chain.filter(exchange.mutate().request(request).build());
    }

关键就是implements GatewayFilter
上面log只是随便写写,根本没有tcpdump打印的全,但看可以做到每个请求的header里Timestamp的值是不一样的。

白名单

有一个外部服务,对调用方的ip地址做了白名单,于是我们这边的架构就是:把Gateway部署在白名单所在的服务器上,然后业务Service调用Gateway,完成token等安全信息,然后Gateway转发到外部,谁知道却报ip不合法。但是从docker内部使用curl来调用却正常。

答案

Gateway会像nginx那样加上一些Forward信息,这样对方就会读出业务服务的地址(当然不在白名单,并且是docker内部的网络地址)

诊断过程

使用下面命令监听IP报文

tcpdump -vvv -i eno16 -n dst host api.qbit.cn

其中eno16是为了选中网卡,vvv是为了打印出全部信息,可以看到HTTP信息如下

POST /services/qbit HTTP/1.1
	User-Agent: curl/7.64.0
	Accept: */*
	Content-Length: 45
	Content-Type: application/json
	Host: spring-gateway
	Forwarded: proto=http;host=api.qbit.cn;for="10.42.0.100:53868"
	X-Forwarded-For: 10.42.0.100
	X-Forwarded-Proto: http
	X-Forwarded-Port: 8080
	X-Forwarded-Host: spring-gateway:8080

可以看到Host需要在Gateway里替换成外部服务地址(否则可能404),然后X-Forwarded这些head需要去掉,否则对方会从这里面读取到10.42.0.100这个docker地址

解决方案

spring:
  cloud:
    gateway:
      x-forwarded:
        enabled: false

关于这个功能的更详细用法可以参考https://cloud.tencent.com/developer/article/1403887

首席IT民工
关注
专栏目录
【1.3 API服务网关(SpringCloudGateway)】复盘APISIX云原生网关-APISIX安装全过程
本本本添哥
07-04 2575
复盘APISIX云原生网关-APISIX安装全过程
Springboot接口添加IP白名单限制
second_place_zyj的博客
04-23 7501
添加白名单限制,为我们的项目保驾护航
Spring Cloud Gateway 网关实现白名单功能
热门推荐
Mrqiang9001
08-30 1万+
对于微服务后台而言,网关层作为所有网络请求的入口。一般基于安全考虑,会在网关层做权限认证,但是对于一些例如登录、注册等接口以及一些资源数据,这些是不需要有认证信息,因此需要在网关层设计一个白名单的功能。本文将基于 Spring Cloud Gateway 2.X 实现白名单功能。注意事项: Gateway 网关层的白名单实现原理是在过滤器内判断请求地址是否符合白名单,如果通过则跳过当前过滤器。如果有多个过滤器,则需要在每一个过滤器里边添加白名单判断。......
【第14章】Spring Cloud之Gateway路由断言(IP黑名单)
最新发布
zjg
08-05 698
Spring Cloud Gateway可以让我们根据请求内容精确匹配到对应路由服务,官方已经内置了很多路由断言,我们也可以根据需求自己定义,RemoteAddrRoutePredicateFactory就像是根据IP去匹配的白名单,接下来我们根据它来自定义一个IP黑名单。import io/**= null) {//能匹配到则在黑名单中,不再执行 } } } return true;} };if(!
SpringCloud Gateway网关 全局过滤器[header token] 实现用户鉴权,白名单
小哇
01-28 2823
前提:先保证Gateway网关项目 和 Nacos注册中心 等可以正常访问和调用,搭建方法可查看博文https://blog.csdn.net/qq_41712271/article/details/113358022 业务流程 核心代码 package cn.huawei.filter; import org.apache.commons.lang.StringUtils; import org.springframework.cloud.gateway.filter.GatewayFilterCh
SpringCloud Gateway网关配置(二)接口访问IP白名单配置(真实IP)
m0_67402970的博客
03-23 9486
SpringCloud Gateway网关配置中,需要对访问的IP设置白名单SpringCloud Gateway官方给出YML配置文件配置。 如下: 5.10. The RemoteAddr Route Predicate Factory The RemoteAddr route predicate factory takes a list (min size 1) of sources, which are CIDR-notation (IPv4 or IPv6) strings, such as 1
放弃 SpringCloud Gateway!Apache APISIX 在「还呗」业务中的技术实践
ApacheAPISIX的博客
10-10 558
在过去的十年里,互联网金融从「野蛮生长」开始逐渐向「精耕细作」模式转变,这个转变主要涉及到的就是系统的变革。在野蛮生长阶段,业务讲究的是效率。为了业务更快速地建设,在基础架构选择的时候,负责人更多是选择自己熟悉的语言架构进行搭建。不同的负责人便会选择使用不同的技术栈,因此留下了很多技术债务。从 2017 年开始,依旧活跃的金融企业或服务公司大多都会面临同样的技术现状,那就是存在多套技术组件。这时就需要进行基础设施的统一。
微服务网关选型和实践:Zuul、Spring Cloud GetWay、Kong和Traefik
飞楼踏梦
02-26 4968
常用API网关的对比和选型,并讲解我司自研的微服务网关,干货满满! 往期精选: 如何看待程序员35岁职业危机? 2年经验总结,告诉你如何做好项目管理 Java全套学习资料(14W字),耗时半年整理 我肝了三个月,为你写出了GO核心手册 消息队列原理和选型:RabbitMQ、Kafka、RocketMQ和ActiveMQ 微服务网关选型和实践:Zuul、Spring Cloud GetWay、Kong和Traefik RPC框架原理和...
持续交付+springboot+k8s
星月IWJ
12-07 1758
容器化部署持续交付 1,课程导学 snapshot 是开发版本 release 是发布版本 devOps(敏捷开发) 2,如何持续集成 计划--->代码--->构建(敏捷开发)--->测试(持续集成)--->发布(持续交付)--->部署(持续部署)--->运维(devOps) jenkins--->ansible--->Vault--->不同环境 发布 灰度(蓝绿发布) 先一小部分用户体验新版本 金丝雀发布...
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 1693
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
springcloud gateway_基于Spring Cloud, Docker, Docker Swarm等构建微服务演示项目
weixin_40008870的博客
11-22 675
本文基于Spring cloud, Docker, Docker swarm, mysql等构建微服务演示项目。Spring Cloud + Docker Swarm 演示环境Windows 10 – Docker Client(Spring Cloud 开发环境)CentOS-101 – ManagerUbuntu-102 – Worker1CentOS-103 – Worker2Docker ...
04.SpringCloudAlibaba-Gateway
qq_26477149的博客
03-10 1449
1.什么是微服务网关 微服务网关是整个微服务API接口的入口。 可以实现: API接口过滤 验证登录 解决跨域 日志拦截 权限控制 限流熔断 负载均衡 黑白名单机制 2.过滤器和网关的区别 过滤器局部拦截 网关全局拦截 3.zuul网关和gateway网关区别 gateway比zuul的性能要好很多。 zuul底层基于servlet实现,阻塞式api,不支持长连接 gateway基于spring5构建,响应式非阻塞api,支持长连接 4.网关与nginx区别
docker微服务添加iptables白名单
weixin_43723044的博客
08-10 2538
docker微服务添加iptables白名单前提简介对iptables功能及个人看法INPUTFORWARDOUTPUT后续说明 前提简介 因漏洞整改需要对docker微服务做处理,但经常修改配置处理漏洞并不是好办法,最好是能通过白名单添加处理。然后最常用的iptables,但实际上iptables和docker存在联系且有影响,细节上不讨论。 对iptables功能及个人看法 首先iptables三个大块INPUT、FORWARD和OUTPUT,这里是个人测试后使用三大块添加。 INPUT 对进入的过滤
springcloud-gateway
HelloWorld_Joe的博客
02-20 577
什么是微服务网关? 1.微服务api接口的入口,实现过滤api接口。 2.作用:实现用户的验证登录,解决跨域,日志拦截,权限控制,限流,熔断,负载均衡,黑名单和白名单机制等。 3.安全性:前后端分离架构中,前端调用接口地址都能被抓包分析到。 4.过滤器和网关的区别:过滤器适合单个服务,网关是所有服务(一个局部,一个整体) 5.gateway不依赖于springboot-start-web...
Spring Cloud Gateway全链路实现
Docker的专栏
04-29 1721
随着微服务架构的流行,服务按照不同的维度进行拆分,一次请求往往需要涉及到多个服务。而诸多的服务可能分布在了几千台服务器,横跨多个不同的数据中心。为了快速定位和解决故障,应用性能进行分析,...
sprngboot在网关层实现白名单+限流
qq_41674943的博客
06-25 2090
如果有在gateway中 实现Auth,则可以直接写到AuthFilter里。
SpringCloud快速学习(6)——gateway
qq_50665031的博客
07-18 2418
SpringCloudGateway作为SpringCloud生态的网关,目标是替代Zuul,在SpringCloud2.0以上的版本中,没有对新版本的zuul2.0以上的最新高性能版本进行集成,仍然还是使用的zuul1.x[可以看项目依赖找到]非Reactor模式的老版本。在gateway启动时会去加载一些路由断言工厂(判断一句话是否正确一个boolean表达式)基本信息gateway里面的过滤器和Servlet里面的过滤器,功能差不多,路由过滤器可以用于修改进入。...
SpringCloud】三、Gateway网关进行信息过滤以及Docker部署步骤概要
weixin_41365204的博客
07-02 810
创建一个AuthorizeFilter类用来实现功能@Order(- 1) //该注解决定过滤器的优先级,value越小,执行越靠前,或者实现一个Ordered接口并重写方法,在方法的return中标记数字也可以 @Component //注入IOC public class AuthorizeFilter implements GlobalFilter {// 1. 获取请求参数 ServerHttpRequest request = exchange . getRequest();
Jenkins+Spring Boot+Maven+GitLab+Docker 持续集成实践指南
"本次实战分享将介绍如何使用Jenkins、Spring Boot、Maven、GitLab和Docker构建一套完整的持续集成环境。首先,我们将探讨Git和GitLab的安装过程,接着是Jenkins的安装和插件配置,然后是DockerDocker Harbor的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值