目前，我們的網(wǎng)絡(luò)架構(gòu)是 SLB + Nginx Ingress + Ingress + Service + Pod的模式。其中，SLB使用的是阿里云的負(fù)載均衡SaaS服務(wù)，使用的是7層負(fù)載，支持一個(gè)SLB實(shí)例+多個(gè)域名的轉(zhuǎn)發(fā)模式，如下圖所示。

阿里云SLB可以通過設(shè)定黑/白名單的方式進(jìn)行訪問控制，但是該訪問控制會(huì)進(jìn)行”一刀切“：所有通過該SLB提供服務(wù)的域名要么都可以訪問，要么都不可以訪問。如果domain1和domain2這倆域名可以開放訪問，domain3限定某些特定IP才能訪問，阿里云SLB的訪問控制就無法滿足我們的需求。

如果要實(shí)現(xiàn)這種業(yè)務(wù)場景，可以通過在Ingress里配置白名單來實(shí)現(xiàn)。

配置如下：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/server-snippet: |
      set_real_ip_from 100.64.0.0/10; # 100.64.0.0/10是阿里云負(fù)載均衡網(wǎng)段 https://help.aliyun.com/document_detail/54007.html
      set_real_ip_from 192.168.0.0/24;
      real_ip_header X-Forwarded-For;
      real_ip_recursive on;
    nginx.ingress.kubernetes.io/whitelist-source-range: {allow_access_ip1},{allow_access_ip2}
  name: {your_application-ingress}
  namespace: {your_ns}
spec:
  rules:
  - host: {your_host}
    http:
      paths:
      - backend:
          service:
            name: {your_application-service}
            port:
              number: 80
        path: /
        pathType: Prefix

說明：

nginx.ingress.kubernetes.io/server-snippet: 等同于在nginx的server配置塊中添加自定義配置；
nginx.ingress.kubernetes.io/whitelist-source-range: 允許訪問的客戶端IP源，多個(gè)IP可用逗號(hào)隔開，支持CIDR格式，如：192.168.0.0/24, 172.31.0.1；
set_real_ip_from : 是指接受從哪個(gè)信任前代理處獲得真實(shí)用戶ip, 可以寫多行，如100.64.0.0/10, 192.168.0.0/24
real_ip_header : 是指從接收到報(bào)文的哪個(gè)http首部去獲取前代理傳送的用戶ip, 一般是從header的X-Forwarded-For字段獲取IP(remote_addr只是代理上一層的地址，不一定是原始的用戶ip)
real_ip_recursive :
- 為on時(shí) ， 遞歸排除IP地址：對(duì)從real_ip_header里獲得的IP串，從右往左, 依次過濾掉來自set_real_ip_from的IP，剩下的第一個(gè)就默認(rèn)是用戶的IP了。
- 為off時(shí)，對(duì)從real_ip_header里獲取的IP串，當(dāng)最右邊一個(gè)IP是信任的IP（即在set_real_ip_from里有設(shè)置），即認(rèn)為其右邊的第二個(gè)IP就是用戶的真實(shí)IP。