kong的IP RESTRICTION的配置

最新推荐文章于 2025-02-07 15:27:08 发布
最新推荐文章于 2025-02-07 15:27:08 发布
阅读量2.9k 收藏
点赞数
分类专栏: kong 文章标签: 网关 lua
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012821124/article/details/121784195
版权
本文详细解析了Kong插件IPRESTRICTION与基本认证(BasicAuth)在服务test-service上的执行顺序,通过实例和源码揭示了插件优先级决定的运行逻辑。重点在于配置顺序对IP访问控制的影响和插件PRIORITY值的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Kong的IP RESTRICTION就是IP控制插件,可以控制全局、服务、路由、消费方的IP地址,通过设置黑白名单,来限制访问的IP和IP段。IP或CIDR范围到白名单的逗号分隔列表。必须在白名单或黑名单之间至少指定一个。
1、 如果配置了白名单,则白名单之外的IP都不允许访问。
2、 如果配置了黑名单,则黑名单之外的IP都允许访问。
3、 如果同时配置了黑白名单,则只允许白名单的访问。
我们将该插件配置到test-service服务上,并设置限制黑名单的IP地址为调用服务的IP。
在这里插入图片描述

在这里插入图片描述

上图我们看一下,业务服务test-service配置插件的先后执行顺序我们如何知道呢?首先从调用上来验证一下:
1、 调用服务时,首先出现的是认证,那么证明basic-auth在IP RESTRICTION和acl之前执行 :
在这里插入图片描述

2、 输入用户名密码之后,出现:
在这里插入图片描述

证明IP RESTRICTION是第二个起作用的。
3、那么针对上面的调用,如果我们改以下IP RESTRICTION限制的IP地址,让IP认证通过,则会出现:
在这里插入图片描述

因为使用的BASIC-AUTH用户不在ACL的群组中,所以ACL插件在最后起了作用,控制了服务的消费。如果换成在ACL群组中的其他用户认证,则可获得结果:
在这里插入图片描述

那么如何知道所有插件的执行先后顺序呢,最根源的办法还是阅读源码,我们从每个插件得handle.lua中查看可以得到:
ACLHandler.PRIORITY = 950
IpRestrictionHandler.PRIORITY = 990
BasicAuthHandler.PRIORITY = 1001
PRIORITY值越大越先执行,从源码中可以看到插件的先后顺序是 BasicAuth(认证)-》ipRestriction (IP控制)-> ACL(访问控制)
因此我们得到结论,由PRIORITY来决定插件运行的先后顺序的规则是无问题的。

【云原生网关Kong 使用详解
congge
05-02 5926
云原生网关kong使用详解
Kong网关自定义插件开发
LaurentNg的博客
07-05 1311
本文章旨在提供了一个简单的kong网关自定义插件开发的思路与步骤,并未涉及到更深层次的开发,如有需要,请参考kong网关插件开发官方文档。在进行开发之前,本文章默认读者是已经成功启动了本地kong网关服务并知道kong网关控制面板的基本操作。本文章的kong网关是在docker容器中运行的,版本为3.2.2.1。
Kong 系列【六】添加插件---ip-restriction之黑白名单
weixin_40027906的博客
10-29 1050
写在前边 本地postMan请求http://192.168.130.131:8000/test-route,可以正常访问,本地IP:192.168.130.1 同样在虚拟机环境192.168.130.129也可以正常访问。 添加ip-restriction插件 将129添加到blacklist,在分别进行访问。本地可以访问,129提示IP address is not allowed. ...
10 Kong 内置插件
dabusidede的博客
02-21 564
本篇文件介绍Kong内置的一些插件 注:本篇文章纯属鸡肋,我也不好意思向你们要Star了 添加插件 1.针对某个服务的插件 进入服务详情页面,Plugins标签页下面添加插件 2.全局插件 在PLUGINS页面可以添加全局插件 IP限制插件 Security -> ip restrictionIP限制插件 其包含字段如下: consumer:要应用的消费者,为空为应用到所用消费者 whitelist:IP白名单列表,不在白名单内的不运允许访问 blacklist:IP黑名单列表,在黑名单内的
Kong系列(三)——Kong插件[IP Restriction]使用
战渣渣的博客
07-14 1万+
Kong 插件IP Restriction使用,使用Nginx负载均衡以及Nginx反向代理之后,对于获取真实IP地址配置时的原理以及解决方案
kong系列十】之IP黑白名单ip-restriction限制插件
Java高手真经
08-18 6473
IP限制插件 IP限制插件,是一个非常简单的插件,可以设置黑名单IP,白名单IP这个很简单。 规则: IP黑白名单,支持单个,多个,范围分段IP(满足CIDR notation规则)。多个IP之间用逗号,分隔。 CIDR notation规范如下: 10.10.10.0/24 表示10.10.10.*的都不能访问。
API网关工具Kong或nginx ingress实现对客户端IP的白名单限制,提高对外服务的访问安全
天草二十六
04-15 1950
这样,我们就能在公司研发环境下,访问部署在生产的服务,既方便了联调测试,又一定程度地提高了网络安全。
Kong插件之IP Restriction
流浪的鱼的博客
01-09 637
一、什么是黑白名单 白名单就是值得信任允许访问或者允许通过验证的名单。 黑名单就是不值得信任限制访问或者不允许通过验证的名单。 二、IP Restriction介绍 IP Restrictiong是kongIP黑白名单插件,可以针对服务、路由、消费者配置黑白名单。 配置参数解读: service_id:配置在服务上 route_id:配置在路由上 consumer_id:配...
云原生架构下的 API 网关实践: Kong (三)
aoho求索
09-04 1384
在前面的文章介绍了 Kong 的相关实践,链接,本文将会介绍 Kong 的利器:插件以及自定义插件。 Kong 几种常用插件的应用 请求到达 Kong,在转发给服务端应用之前,我们可以应用 Kong 自带的插件对请求进行处理,如合法认证、限流控制、黑白名单校验和日志采集等等。同时,我们也可以按照 Kong 的教程文档,定制开发属于自己的插件。本小节将会选择其中的两个插件示例应用,其余的插件应用,可...
Kong系列-14-自定义插件
twingao的专栏
01-22 2267
Kong开源了大量的开源插件,当这些开源插件不能满足我们的需求,就需要修改这些开源插件或者自定义插件。Kong提供了方便地自定义插件机制,用户可以开发自己的定制插件。自定义插件可以和Kong进行深层次的集成,如使用数据库表结构,或者扩展Admin API。如果插件实现了所有可选模块,则其目录结构如下所示: complete-plugin ├── api.lua ├── daos.lua ├── h...
kong插件ip-restriction的X-Forward-For配置
weixin_40027906的博客
11-02 2521
kong配置插件ip-restriction后可以实现对ip黑白名单的限制,对应的lua源码如下。 function IpRestrictionHandler:access(conf) IpRestrictionHandler.super.access(self) local block = false local binary_remote_addr = ngx.var.binary...
IP限制 - 玩转Kong插件
chiqiao5151的博客
04-19 515
启用IP限制插件 1、在服务上启用插件 $ curl -X POST http://kong:8001/services/{service}/plugins \ --data "name=ip-restriction" \ --data "config.whit...
Kong实现禁止国外IP访问_kong 403,软件测试面试题整理2024简书
2401_84253251的博客
04-13 734
T行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
Kong实现禁止国外IP访问
热门推荐
分享不一样的技术,与你一起共同成长!
08-06 4万+
通过编写Kong插件来实现禁止国外IP访问
Why the browser on macOS system can penetrate the Whitelist IP Restriction of Kong on CentOS7 system
zhengzizhi的专栏
05-15 861
My Testing Environment : VMware® Workstation 12 Pro on Windows 10 64 bit (192.168.43.131) 192.168.10.10 CentOS 7.2 PHP MySQL --- Restful api data interface 192.168.10.50 macOS 10.12.6 --- ...
apisix网关ip-restriction插件使用说明
哈利路亚的收藏夹
02-07 775
apisix网关ip-restriction组件使用说明。
微服务之API网关Kong:插件介绍:认证插件ip-restriction之黑白名单
知行合一 止于至善
05-28 8354
kong目前提供了37个插件,其中商业收费7个,30个开源免费的插件,可以设定到api/服务/路由粒度上。 环境设定 操作 详细 概要与安装 https://blog.csdn.net/liumiaocn/article/details/80442222 kong路由功能 https://blog.csdn.net/liumiaocn/article...
Kong 实现服务访问控制
baobaoxiannv的博客
10-11 2852
文章目录前提第一步:为服务和路由开启 key-auth 插件第二步:创建消费则添加自定义 key第三步:测试 key-auth 插件是否成功第四步:为服务和路由开启 ACL 插件第四步:消费者加入白名单第四步:测试 ACL + key-auth 前提 你已经正确创建了一个 Kong,并添加了两个服务(本文基于 DB 模式,无 DB 模式可参考本文)。 本文服务的访问控制基于 Kong 插件 key...
网关建设】03-APISIX实战之插件使用
Kearey的知识仓库
04-21 4110
我们在设计公共服务网关的功能时,共验证并对业务系统开放了如下插件:1、 prometheus 插件2、 log-rotate 插件3、 ip-restriction、real-ip、response-rewrite 插件4、 api-breaker 插件5、 limit-req、limit-conn插件6、 server-info 插件这些插件中,有些是直接开箱即用,没有做单独的讨论和设计,基本都符合业务的基本需求。这些插件我会分别在 【开箱即用】 和 【稍加改造】的章节中集中说明。
tc-restriction
最新发布
05-17
### STP TC-Restriction配置与故障排查 #### 什么是 STP TC-Restriction? 生成树协议(STP)中的拓扑变更通知(Topology Change Notification, TCN)用于在网络拓扑发生变化时更新交换机的 MAC 地址表。然而,频繁的拓扑变更可能引发大量的地址刷新操作,进而导致网络性能下降甚至中断。因此,许多厂商提供了 **TC-Restriction** 或者称为 **TC-Protection** 的功能来缓解这一问题[^1]。 --- #### 配置 STP TC-Restriction 以下是针对不同厂商设备的具体配置方法: ##### Cisco 设备上的配置 在 Cisco 交换机上启用 STP TC-Restriction 功能可以通过以下命令完成: ```shell spanning-tree tc-protection enable ``` 这条命令会在全局范围内激活保护机制,限制因恶意攻击或意外事件引起的过多拓扑变更消息的影响[^2]。 如果希望进一步细化管理,可以设置忽略列表以屏蔽特定来源的拓扑变更请求: ```shell spanning-tree tc-protection action alert interface-type {type} ignore-list address {mac-address} ``` 通过这种方式,管理员可以选择性地忽略来自某些 MAC 地址的拓扑变更通知,从而降低潜在威胁的风险[^3]。 ##### 华为设备上的配置 对于华为系列交换机而言,其对应的命令如下所示: ```shell stp topology-change protect-period seconds ``` 此命令允许用户自定义保护周期的时间长度,在这段时间内系统不会处理额外的拓扑变更消息[^4]。 另外也可以利用 ACL 来过滤掉不必要的流量输入: ```shell traffic-filter inbound acl-number number ``` 借助访问控制列表(ACL),可以更加精确地界定哪些数据流应该被阻止进入网络内部。 --- #### 常见问题及其解决办法 尽管 STP TC-Restriction 是一项非常有用的特性,但在实际部署过程中仍可能出现各种各样的挑战。下面列举了一些典型的案例及相关对策: 1. **无法正常启动保护机制** 如果发现即使执行了相应指令却依旧未能生效,则需核查两点内容:一是确认所使用的固件版本确实支持该选项;二是检查是否存在冲突性的策略覆盖掉了原有设定。 2. **误判合法变动为非法入侵** 当存在动态环境下的合理结构调整却被错误识别成安全隐患时,应当重新审视现有的筛选条件是否过于严格,并适当放宽标准范围。 3. **性能瓶颈显现加剧** 尽管初衷是为了优化效率,但如果参数调节不当反而会造成更大的负担。此时应密切监控各项资源利用率指标并及时作出调整直至达到理想平衡点为止。 --- #### 总结说明 正确理解和运用 STP TC-Restriction 能够显著提升企业级局域网的安全性和稳定性。不过鉴于每种品牌的实现细节不尽相同,所以在规划初期就应该充分了解目标平台的支持程度以及最佳实践指导原则。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值