OpenShift 4 - 为应用配置访问白名单并预防DDoS(附视频)

已于 2023-01-10 17:32:12 修改
阅读量636 收藏
点赞数
分类专栏: 安全 OpenShift 4 网络 文章标签: kubernetes openshift 网络
于 2022-01-17 22:56:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/122549699
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 77 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
网络
6 篇文章 0 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.10环境中验证

演示视频

OpenShift 内置路由功能以实现 Kubernetes 的 Ingress。针对路由可以设置访问白名单,以拦截来自不明网络的非法请求。
在这里插入图片描述

  1. 在 OpenShift 上根据下图部署 https://github.com/liuxiaoyu-git/php-helloworld 应用。
    在这里插入图片描述
  2. 通过部署好的应用 Route 访问,确认应用显示下图。其中下图的 “ 209.132.188.14” 是访问 Route 的客户 IP 地址。
    在这里插入图片描述
  3. 在下图中的“路由”区域找到 helloworld,然后点击进入。
    在这里插入图片描述
  4. 路由详情 中点击右侧的 “操作”,然后再点击 “编辑注释”。
    在这里插入图片描述
  5. 在弹出窗口中增加一个新的注释,设置名称为 “haproxy.router.openshift.io/ip_whitelist”,值为 “209.132.188.0/24”。这样就允许“209.132.188.0” 网段所有地址访问 “helloworld” 应用。
  6. 刷新 helloworld 页面,确认应用还可正常访问。
  7. 修改 helloworld 路由的注释,将白名单的地址改为 “209.132.189.0/24”,。
  8. 刷新 helloworld 页面,确认应用无法正常访问。
  9. 还可根据以下对 helloworld 路由设置其他注释,以预防 DDos。
metadata: 
  annotations: 
    haproxy.router.openshift.io/ip_whitelist: 209.132.188.0/24
    haproxy.router.openshift.io/pod-concurrent-connections: 10
    haproxy.router.openshift.io/rate-limit-connections: true
    haproxy.router.openshift.io/rate-limit-connections.rate-http: 1
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
在VMware上自动配置OpenShift 4.6 该存储库包含一组手册,以帮助促进OpenShift 4.6在VMware上的部署。 OpenShift 4.6的更改 请注意,如果未对append bootstrap配置进行一些修改,则此安装程序将无法与OpenShift的...
haproxy 客户端真实IP地址添加白名单
u011238620的博客
10-23 1335
haproxy 客户端真实IP地址添加白名单 haproxy 添加白名单的方法网上有了就不重复了; 我们的架构如下,haproxy 不是直接对外的,所以在haproxy添加ip地址白名单会限制所有交易(haproxy的地址是域名服务器的,不是用户的,所以网上的加白名单方式都不行) 连接连接域名服务器haproxy应用服务器应用服务器 限制真实用户端客户端IP地址方式如下: acl http_fo...
OpenShift 4 Hands-on Lab (1) - 多种方法部署运行应用
多恩斯基的博客
01-31 2564
文章目录应用是如何部署到OpenShift上的部署应用Lab部署应用镜像部署应用代码部署应用应用是如何部署到OpenShift上的 OpenShift是企业级容器平台,在OpenShift应用必须是容器(Container)形态运行的。我们知道所有运行的容器都是来自镜像(Image),从OpenShift的角度看镜像分为两类:即基础镜像(Base Image,也叫Builder Image。...
OpenShift 4 - Service Mesh使用入门
多恩斯基的博客
11-29 2041
OpenShift 4之Service Mesh入门OpenShift Service Mesh操作环境通过Operator安装Red Hat Service Mesh及相关环境配置Red Hat Service Mesh环境创建Service Mesh Control Plane创建Service Mesh Member Roll部署Istio微服务,并验证访问Istio 动态路由 OpenSh...
OpenShift 4 - Ingress、Route与Shard
多恩斯基的博客
12-18 4636
OpenShift 4中通过Ingress Operator(名为ingress的clusteroperator)供应了Kubernetes的Ingress Controller对象(缺省名为default的ingresscontroller)。Ingress Operator可以供应一个或多个基于HAProxy的Ingress Controller来实现外部入栈请求的流量路由。如果该defa...
DDoS渗透与攻防实战(三):ip黑白名单防火墙frdev的原理与实现
m0_74131821的博客
04-16 330
在上一篇文章​ 《DDoS渗透与攻防实战(二):CC攻击工具实现与防御理论》中,笔者阐述了一个防御状态机,它可用来抵御来自应用层的DDoS攻击,但是该状态机依赖一个能应对大量条目快速增删的ip黑白名单防火墙
OpenShift的edge加密配置
nejore的博客
05-30 150
1.加密方式简述 通过命令可以获取支持的三种加密方式 oc help create route #edge:通过路由实现访问加密,客户端访问pod这段路由加密 #passthourgh:通过服务本身实现加密 #reencrypt:在edge的基础上再加一层加密,在pod与服务之间再用另一种加密 2.创建加密 oc create route edge name --service=myapp --cert=/the/path/to/cert --key=/the/path/to/key 3.验
【前端超时设置】nginx超时设置 前端fetch和axios超时设置 yaml配置容器平台路由超时时间(后端也要配置
hzxOnlineOk的博客
03-14 1587
【代码】【前端超时设置】nginx超时设置 前端fetch和axios超时设置 yaml配置容器平台路由超时时间(后端也要配置
【HAProxy】haproxy日志、算法、访问指定后端或本机、黑名单、重定向、访问控制、读写分离
sl963216757的博客
05-22 667
一、haproxy简介 HAProxy 是一款提供高可用性、负载均衡以及基于TCP(第四层)和HTTP(第七层)应用的代理软件,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在时下的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的web服务器不被暴露到网络上。 HAProxy 实现了一种事件驱动、单一进程模型,此模型支持非常大
openwrt 上网白名单制作
rocklee的专栏
03-31 5162
通过修改防火墙配置文件来实现上网过滤。 配置文件 /etc/config/firewall 1、Mac白名单配置文件尾部添加如下: config rule option src lan option dest wan option src_mac 9C:D2:1E:F9:34:39 option target ACCEPT config rule option src
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift4-upi-openstack
05-08
OpenStack上的OpenShift 4 UPI Ansible角色,用于将OpenShift 4的用户提供的基础架构安装方法的必要任务自动化到自定义OpenStack 基于原始的变数安装的默认变量位于defaults/main.yml执照BSD
OpenShift 4 - 基于URL的应用路由
多恩斯基的博客
08-26 633
本文部署4个应用,我们将使用相同的域名和不同的路径来访问它们。 创建项目并部署4个应用。 $ oc new-project myholiday $ oc new-app https://github.com/liuxiaoyu-git/workshop4.git --context-dir=attendee/myholiday \ --name=short-holiday -l app.kubernetes.io/part-of=holidays HOLIDAY_TYPE=short-break $
haproxy白名单设置
weixin_33787529的博客
07-26 254
http://www.ttlsa.com/cluster/haproxy-white-list-settings/ 在使用haproxy来作为tcp代理时,需要对某些IP做限制。用iptables也可以实现的。 顺道看了看haproxy手册,看看haproxy本身有是否提供方法来限制。要熟练使用某款应用需要熟读手册,手册是最权威,最详细的。好了,不罗嗦了,来看看haproxy...
OpenShif Route路由实现机制探究(1)
jj_tyro的专栏
05-13 1732
OpenShif Route路由实现机制探究(1) 在前面一篇译文《蓝绿、A/B和金丝雀部署 —— 《DevOps with OpenShif》第3章 节选》中,利用OpenShift Route路由配置实现了蓝绿、A/B部署,在整个过程完成后通过界面或命令行可以看到有3个Route路由配置。 一直想了解OpenShif是如何实现服务路由,以及如何在创建/更新路由规则后动态更新配置动...
Openshift API调用方法
炮哥技术分享
01-21 3030
概述 请思考以下场景: 你们已经有了一套发布平台,用于生产环境或者开发,测试,预发布和生产都已经在使用了,然后你也想推广容器平台,但是容器平台的界面和现有的发布平台是割裂的,而且现有的数据也没法用到容器平台,要怎么做才能实现两个平台的整合呢? 解决思路: 由于没有大规模使用过容器来跑业务应用,你希望把容器平台作为测试环境,那么你可以这样做,把生成Dockerfile和Template的界面移到发布...
openshift internal-registry 切换 sc
最新发布
05-25
oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值