欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Kubernetes?Ingress實(shí)現(xiàn)細(xì)粒度IP訪問控制

 更新時(shí)間:2023年04月13日 14:14:59   作者:爛筆頭  
這篇文章主要為大家介紹了Kubernetes?Ingress實(shí)現(xiàn)細(xì)粒度IP訪問控制,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

業(yè)務(wù)場景

有這么一個(gè)業(yè)務(wù)場景:業(yè)務(wù)平臺(tái)還是通過Kubernetes進(jìn)行編排對(duì)外提供服務(wù)。然后其后臺(tái)管理部分,出于安全的考慮,只允許特定的IP才能訪問。如何實(shí)現(xiàn)?

目前,我們的網(wǎng)絡(luò)架構(gòu)是 SLB + Nginx Ingress + Ingress + Service + Pod的模式。其中,SLB使用的是阿里云的負(fù)載均衡SaaS服務(wù),使用的是7層負(fù)載,支持一個(gè)SLB實(shí)例+多個(gè)域名的轉(zhuǎn)發(fā)模式,如下圖所示。

阿里云SLB可以通過設(shè)定黑/白名單的方式進(jìn)行訪問控制,但是該訪問控制會(huì)進(jìn)行”一刀切“:所有通過該SLB提供服務(wù)的域名要么都可以訪問,要么都不可以訪問。如果domain1和domain2這倆域名可以開放訪問,domain3限定某些特定IP才能訪問,阿里云SLB的訪問控制就無法滿足我們的需求。

如果要實(shí)現(xiàn)這種業(yè)務(wù)場景,可以通過在Ingress里配置白名單來實(shí)現(xiàn)。

配置如下:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/server-snippet: |
      set_real_ip_from 100.64.0.0/10; # 100.64.0.0/10是阿里云負(fù)載均衡網(wǎng)段 https://help.aliyun.com/document_detail/54007.html
      set_real_ip_from 192.168.0.0/24;
      real_ip_header X-Forwarded-For;
      real_ip_recursive on;
    nginx.ingress.kubernetes.io/whitelist-source-range: {allow_access_ip1},{allow_access_ip2}
  name: {your_application-ingress}
  namespace: {your_ns}
spec:
  rules:
  - host: {your_host}
    http:
      paths:
      - backend:
          service:
            name: {your_application-service}
            port:
              number: 80
        path: /
        pathType: Prefix

說明:

  • nginx.ingress.kubernetes.io/server-snippet: 等同于在nginx的server配置塊中添加自定義配置;
  • nginx.ingress.kubernetes.io/whitelist-source-range: 允許訪問的客戶端IP源,多個(gè)IP可用逗號(hào)隔開,支持CIDR格式,如:192.168.0.0/24, 172.31.0.1;
  • set_real_ip_from : 是指接受從哪個(gè)信任前代理處獲得真實(shí)用戶ip, 可以寫多行,如100.64.0.0/10, 192.168.0.0/24
  • real_ip_header : 是指從接收到報(bào)文的哪個(gè)http首部去獲取前代理傳送的用戶ip, 一般是從header的X-Forwarded-For字段獲取IP(remote_addr只是代理上一層的地址,不一定是原始的用戶ip)
  • real_ip_recursive :
    • 為on時(shí) , 遞歸排除IP地址:對(duì)從real_ip_header里獲得的IP串,從右往左, 依次過濾掉來自set_real_ip_from的IP,剩下的第一個(gè)就默認(rèn)是用戶的IP了。
    • 為off時(shí),對(duì)從real_ip_header里獲取的IP串,當(dāng)最右邊一個(gè)IP是信任的IP(即在set_real_ip_from里有設(shè)置),即認(rèn)為其右邊的第二個(gè)IP就是用戶的真實(shí)IP。

舉例, 假設(shè):

  • real_ip_header里獲得的IP串是1.1.1.1, 2.2.2.2, 192.168.0.100
  • set_real_ip_from = 192.168.0.0/24,2.2.2.2
  • real_ip_recursive = on時(shí),用戶IP=1.1.1.1
  • real_ip_recursive = off時(shí),用戶IP=2.2.2.2

通過以上設(shè)置,就可以在同一個(gè)SLB實(shí)例下,實(shí)現(xiàn)域名級(jí)別的訪問控制,比較適合后臺(tái)管理類網(wǎng)站部署的訪問控制。

以上就是Kubernetes Ingress實(shí)現(xiàn)細(xì)粒度IP訪問控制的詳細(xì)內(nèi)容,更多關(guān)于Kubernetes Ingress IP訪問控制的資料請關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

  • Kubernetes?權(quán)限管理認(rèn)證鑒權(quán)詳解

    Kubernetes?權(quán)限管理認(rèn)證鑒權(quán)詳解

    這篇文章主要為大家介紹了Kubernetes?權(quán)限管理認(rèn)證鑒權(quán)詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2022-11-11
  • 詳解kubernetes pod的編排和生命周期

    詳解kubernetes pod的編排和生命周期

    這篇文章主要介紹了kubernetes pod的編排和生命周期的相關(guān)資料,幫助大家更好的理解和學(xué)習(xí)使用K8S,感興趣的朋友可以了解下
    2021-04-04
  • k8s?Service?實(shí)現(xiàn)服務(wù)發(fā)現(xiàn)和負(fù)載均衡

    k8s?Service?實(shí)現(xiàn)服務(wù)發(fā)現(xiàn)和負(fù)載均衡

    這篇文章主要為大家介紹了k8s?Service?實(shí)現(xiàn)服務(wù)發(fā)現(xiàn)和負(fù)載均衡的工作原理及使用方式詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-04-04
  • Centos?8.2?升級(jí)內(nèi)核通過elrepo源的方法

    Centos?8.2?升級(jí)內(nèi)核通過elrepo源的方法

    這篇文章主要介紹了Centos?8.2?升級(jí)內(nèi)核通過elrepo源,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2022-10-10
  • 不同k8s集群間服務(wù)如何相互訪問實(shí)現(xiàn)詳解

    不同k8s集群間服務(wù)如何相互訪問實(shí)現(xiàn)詳解

    這篇文章主要為大家介紹了不同k8s集群間服務(wù)如何相互訪問實(shí)現(xiàn)詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-04-04
  • 2022最新青龍面板部署完整版圖文教程

    2022最新青龍面板部署完整版圖文教程

    這篇文章主要介紹了2022最新青龍面板部署完整版圖文教程,下面以騰訊云服務(wù)器為例,先選地區(qū)、然后選擇官方鏡像、系統(tǒng)鏡像、Centos7.6版本,需要的朋友可以參考下
    2022-05-05
  • Kubernetes安裝Jenkins的思路詳解

    Kubernetes安裝Jenkins的思路詳解

    這篇文章主要介紹了Kubernetes安裝Jenkins,Jenkins插件可以在Kubernetes集群中運(yùn)行動(dòng)態(tài)jenkins-slave代理,基于Kubernetes的docker,自動(dòng)化在Kubernetes中運(yùn)行的Jenkins-slave代理的縮放,需要的朋友可以參考下
    2022-06-06
  • 一篇文章搞懂K8S高級(jí)特性

    一篇文章搞懂K8S高級(jí)特性

    這篇文章主要給大家介紹了關(guān)于K8S高級(jí)特性的相關(guān)資料,文中通過時(shí)實(shí)例代碼以及圖文介紹的非常詳細(xì),對(duì)大家學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下
    2021-11-11
  • k8s證書有效期時(shí)間修改的方法詳解

    k8s證書有效期時(shí)間修改的方法詳解

    K8S集群有證書的概念,之前一直是使用默認(rèn)的,默認(rèn)都是1年和10年的,1年有效期這顯然對(duì)于生產(chǎn)環(huán)境是不合適的,下面這篇文章主要給大家介紹了關(guān)于k8s證書有效期時(shí)間修改的相關(guān)資料,需要的朋友可以參考下
    2022-08-08
  • k8s中pod使用詳解(云原生kubernetes)

    k8s中pod使用詳解(云原生kubernetes)

    這篇文章主要介紹了k8s中pod使用詳解(云原生kubernetes),本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2023-01-01

最新評(píng)論