API网关工具Kong或nginx ingress实现对客户端IP的白名单限制,提高对外服务的访问安全

于 2024-04-15 14:25:47 发布
阅读量653 收藏 7
点赞数 4
文章标签: kong nginx k8s 运维 安全 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuganlai168/article/details/137778275
版权

一、背景

部署在生产环境的应用,供内部服务调用外,还需要暴露外网访问。
比如consul ui管理界面,我们需要给到开发和测试人员,观察服务的注册情况。
再比如前端页面和后端接口在一起的服务,后端接口供内部服务接口调用,调用安全通过颁发访问令牌来保证;而前端页面则是后台管理界面,需要暴露到外网,以便网站管理人员可以登录并操作设置。
再比如公司研发环境想要访问生产的接口,使得测试最接近真实数据及网络,当然我们不能任意暴露给所有外网访问。

既然提供了外网访问,如何适当地提高应用安全就摆在我们面前。

本文将介绍两种api网关工具来实现对客户端Ip的限制(设置白名单机制):

  • kong
  • nginx ingress

二、kong配置

Kong有自带的插件ip-restriction可以设置IP白名单
在这里插入图片描述

在这里插入图片描述

  • IP白名单
    在这里插入图片描述

  • IP黑名单

添加至黑名单的ip客户端,则禁止访问外部域名。

在这里插入图片描述
可以说,kong网关因为有上面的操作界面,直观又方便,还是非常简单的。

下面介绍如何在nginx ingress中实现同样功能。

三、nginx ingress

通过注解(annotations)实现IP访问控制,您可以使用nginx.ingress.kubernetes.io/whitelist-source-range和nginx.ingress.kubernetes.io/block-source-range这两个注解类型。这些注解可以添加到Ingress资源中,以限制或允许特定的IP地址或IP地址范围访问您的服务。

  • 使用白名单(whitelist):
    通过nginx.ingress.kubernetes.io/whitelist-source-range注解,您可以指定一个或多个CIDR格式的IP地址范围,以允许这些范围内的IP地址访问您的服务。(注意:多个ip地址间逗号隔开)

在这里插入图片描述

完整的yaml文本示例:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/whitelist-source-range: '122.xx.xx.66,39.xx.xx.220'
  name: xxx
  namespace: xx-service
spec:
  ingressClassName: ack-nginx
  rules:
    - host: {你的外网域名}
      http:
        paths:
          - backend:
              service:
                name: {你的service服务名称}
                port:
                  number: {你的service服务端口号}
            path: /
            pathType: ImplementationSpecific

如果你的外网IP不在上面的白名单列表,则会报错403被禁止:
在这里插入图片描述

四、总结

这样,我们就能在公司研发环境下,访问部署在生产的服务,既方便了联调测试,又一定程度地提高了网络安全。

天草二十六_简村人
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx设置目录白名单ip白名单实现方法
01-20
1.设置目录白名单:对指定请求路径不设置限制,如对请求路径为api目录下的请求不做限制,则可写为 server{ location /app { proxy_pass http://192.168.1.111:8095/app; limit_conn conn 20; limit_rate 500k; ...
K8S ingress nginx 如何设置访问白名单
砚墨
05-17 2675
K8S ingress nginx 设置访问白名单 前端无代理负载情况: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: ingress-myapp namespace: default annotations: kubernetes.io/ingress.class: "nginx" nginx.ingress.kubernetes.io/whitelist-source-range: '10.16.2.
NginxKongApisix、Gateway网关比较
VivianStark的博客
05-14 5216
Apache APISIX基于 nginx(openresty)和 Lua 实现的一款国产软件,是一个动态、实时、高性能的云原生API网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Filter可以对请求和响应进行处理。API网关为微服务架构的系统提供简单、有效 且统一的API路由管理,作为系统的统一入口,提供内部服务的路由中转,给客户端提供统一的服务,可以实现一些和业务没有耦合的公用逻辑,主要功能包含认证、鉴权、路由转发、安全策略、防刷、流量控制、监控日志等。
简单聊聊从 nginxkong 的进化
flynetcn的专栏
11-05 993
最近几年由于微服务的盛行,Nginx 上的这套生态链也在不断地进化。
kong笔记——kongnginx性能压测对比
罗伯特是疯子丶
01-24 5961
简述 kong笔记 目录导航 前面介绍了kong的基本使用以及相关原理,那么接下来,我们需要对kong的性能做一个简单的了解。 性能压测 测试环境 机器类别及IP地址 硬件配置 操作系统 软件配置 网络环境 kong服务 1核2G/2核2G/2核4G/4核2G/4核4G Alpine Linux 3.13 kong:2.5.0 阿里云ack环境 测试机 CPU:4CPU8G带宽:1M资源组:1台4CPU8G,1台2CPU4GVUM:100w Euler OS系统 v1.19.10-r0
Nginx、OpenResty和Kong的基本概念与使用方法
lgxzzz的博客
12-02 3040
说明Nginx Nginx配置文件,指令与变量Nginx作为TCP/UDP负载均衡器Nginx模块OpenResty OpenResty安装Kong Kong编译安装启动Kong部署Kong DashboardKong的使用 注册API:添加服务、配置路由插件启用方法Kong的插件KongKubernetes的集成遇到的问题 ERROR: module ‘socket’ not found:No LuaRocks m...
在SpringBoot定义一个方法注解,使用aop技术实现接口ip白名单拦截和接口验签功能
最新发布
qq_35438298的博客
11-24 801
自定义注解,实现对接口访问的黑白名单
nginx动态添加访问白名单的方法
09-30
本篇文章主要介绍了nginx动态添加访问白名单的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Nginx服务实现通过ip和user_gent限制访问的方法分析
09-29
主要介绍了Nginx服务实现通过ip和user_gent限制访问的方法,结合实例形式分析了Nginx通过限制ip和user_gent限制访问来过滤DDOS攻击的相关操作技巧,需要的朋友可以参考下
Nginx服务器配置黑名单或白名单功能的防火墙
01-10
处在白名单中的ip访问web服务时,将不受nginx所有安全模块的限制。 支持动态黑名单(需要与ngx_http_limit_req 配合) 具体详见下面的说明 文件配置方法说明 一、定义黑名单或白名单方法: 1. 配置格式 配置关键字...
kongIP RESTRICTION的配置
u012821124的博客
12-08 2665
KongIP RESTRICTION就是IP控制插件,可以控制全局、服务、路由、消费方的IP地址,通过设置黑白名单,来限制访问IPIP段。IP或CIDR范围到白名单的逗号分隔列表。必须在白名单或黑名单之间至少指定一个。 1、 如果配置了白名单,则白名单之外的IP都不允许访问。 2、 如果配置了黑名单,则黑名单之外的IP都允许访问。 3、 如果同时配置了黑白名单,则只允许白名单访问。 我们将该插件配置到test-service服务上,并设置限制黑名单的IP地址为调用服务IP。 上图我们看一下,业
通过ip限制访问,允许在kubernetes上使用Nginx Ingress控制器列出列表
weixin_26749889的博客
09-04 1991
The demo aims at running an application in Kubernetes behind a Cloud-managed public load balancer also known as an HTTP(s) load balancer which is also known as an Ingress resource in Kubernetes dictio...
如何给Nginx配置访问IP白名单
lxw1844912514的博客
09-26 9368
如果想增加允许访问IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr。给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问nginxIP
测评:ingress和传统nginx
SRE运维部落
04-28 2737
本篇博客将通过对比ingress与传统nginx在性能、使用方式、技术前景等方面的异同,为读者展示它们在实际应用中的优劣势。同时,本文还将提供相关代码和配置文件供读者参考。一、 性能对比性能是衡量一个工具或软件好坏的关键指标之一。在这方面,ingress和传统nginx有何异同呢?1.1 ingress性能表现ingress作为k8s集群中的一项核心资源,其性能表现一般会受到许多因素的影响,例如P...
ingress白名单(traefik1.7)
须尽欢的博客
09-10 1289
1、修改nginx代理client地址 server { listen 80; # server_name _; location / { proxy_pass 192.168.254.7:23456; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forward
NginxIngress-Nginx、istio黑白名单设置
m0_37642477的博客
04-03 1300
nginx白名单
kong系列十】之IP白名单ip-restriction限制插件
|] 大世界,小人物
08-18 6116
IP限制插件 IP限制插件,是一个非常简单的插件,可以设置黑名单IP白名单IP这个很简单。 规则: IP白名单,支持单个,多个,范围分段IP(满足CIDR notation规则)。多个IP之间用逗号,分隔。 CIDR notation规范如下: 10.10.10.0/24 表示10.10.10.*的都不能访问
通过nginx 实现百度蜘蛛IP或指定的白名单IP访问给正常页面,否则展示广告页面ad.html
05-25
可以通过Nginx的`ngx_http_access_module`模块实现IP白名单过滤。首先需要在Nginx配置文件中定义一个变量,用于保存访问者的IP地址: ``` geo $deny_ip { default 0; include /path/to/white_list.txt; } ``` 其中,`/path/to/white_list.txt`是一个IP白名单文件,格式如下: ``` 10.0.0.1/24; 192.168.1.1; ``` 然后,在Nginx的`server`或`location`块中使用`allow`和`deny`指令来限制访问。当访问者的IP不在白名单中时,将会返回广告页面`ad.html`: ``` server { listen 80; server_name example.com; # 定义一个变量保存访问者的IP地址 geo $deny_ip { default 0; include /path/to/white_list.txt; } # 当访问者的IP不在白名单中时,返回广告页面 if ($deny_ip = 0) { rewrite ^ /ad.html last; } # 其他情况返回正常页面 location / { root /path/to/normal_page; index index.html; } } ``` 需要注意的是,使用`if`指令可能会对Nginx的性能产生一定的影响,建议在实际生产环境中进行测试和评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值