脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器云和虚拟化云其它 → Kubernetes Ingress IP访问控制

Kubernetes Ingress实现细粒度IP访问控制

 更新时间:2023年04月13日 14:14:59   作者:烂笔头  
这篇文章主要为大家介绍了Kubernetes Ingress实现细粒度IP访问控制,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪

业务场景

有这么一个业务场景:业务平台还是通过Kubernetes进行编排对外提供服务。然后其后台管理部分,出于安全的考虑,只允许特定的IP才能访问。如何实现?

目前,我们的网络架构是 SLB + Nginx Ingress + Ingress + Service + Pod的模式。其中,SLB使用的是阿里云的负载均衡SaaS服务,使用的是7层负载,支持一个SLB实例+多个域名的转发模式,如下图所示。

阿里云SLB可以通过设定黑/白名单的方式进行访问控制,但是该访问控制会进行”一刀切“:所有通过该SLB提供服务的域名要么都可以访问,要么都不可以访问。如果domain1和domain2这俩域名可以开放访问,domain3限定某些特定IP才能访问,阿里云SLB的访问控制就无法满足我们的需求。

如果要实现这种业务场景,可以通过在Ingress里配置白名单来实现。

配置如下:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/server-snippet: |
      set_real_ip_from 100.64.0.0/10; # 100.64.0.0/10是阿里云负载均衡网段 https://help.aliyun.com/document_detail/54007.html
      set_real_ip_from 192.168.0.0/24;
      real_ip_header X-Forwarded-For;
      real_ip_recursive on;
    nginx.ingress.kubernetes.io/whitelist-source-range: {allow_access_ip1},{allow_access_ip2}
  name: {your_application-ingress}
  namespace: {your_ns}
spec:
  rules:
  - host: {your_host}
    http:
      paths:
      - backend:
          service:
            name: {your_application-service}
            port:
              number: 80
        path: /
        pathType: Prefix

说明:

  • nginx.ingress.kubernetes.io/server-snippet: 等同于在nginx的server配置块中添加自定义配置;
  • nginx.ingress.kubernetes.io/whitelist-source-range: 允许访问的客户端IP源,多个IP可用逗号隔开,支持CIDR格式,如:192.168.0.0/24, 172.31.0.1;
  • set_real_ip_from : 是指接受从哪个信任前代理处获得真实用户ip, 可以写多行,如100.64.0.0/10, 192.168.0.0/24
  • real_ip_header : 是指从接收到报文的哪个http首部去获取前代理传送的用户ip, 一般是从header的X-Forwarded-For字段获取IP(remote_addr只是代理上一层的地址,不一定是原始的用户ip)
  • real_ip_recursive :
    • 为on时 递归排除IP地址:对从real_ip_header里获得的IP串,从右往左, 依次过滤掉来自set_real_ip_from的IP,剩下的第一个就默认是用户的IP了。
    • 为off时,对从real_ip_header里获取的IP串,当最右边一个IP是信任的IP(即在set_real_ip_from里有设置),即认为其右边的第二个IP就是用户的真实IP。

举例, 假设:

  • real_ip_header里获得的IP串是1.1.1.1, 2.2.2.2, 192.168.0.100
  • set_real_ip_from = 192.168.0.0/24,2.2.2.2
  • real_ip_recursive = on时,用户IP=1.1.1.1
  • real_ip_recursive = off时,用户IP=2.2.2.2

通过以上设置,就可以在同一个SLB实例下,实现域名级别的访问控制,比较适合后台管理类网站部署的访问控制。

以上就是Kubernetes Ingress实现细粒度IP访问控制的详细内容,更多关于Kubernetes Ingress IP访问控制的资料请关注脚本之家其它相关文章!

您可能感兴趣的文章:

相关文章

  • 自定义资源CRD使用介绍

    自定义资源CRD使用介绍

    这篇文章主要为大家介绍了自定义资源CRD的使用示例介绍,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-05-05
  • k8s series初级calico使用介绍

    k8s series初级calico使用介绍

    这篇文章主要为大家介绍了k8s series初级calico使用介绍,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-06-06
  • Kubernetes部署可视化地图的十个步骤

    Kubernetes部署可视化地图的十个步骤

    这篇文章主要为大家介绍了十步骤Kubernetes部署的可视化地图,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-03-03
  • Kubernetes应用配置管理创建使用详解

    Kubernetes应用配置管理创建使用详解

    这篇文章主要为大家介绍了Kubernetes应用配置管理创建使用详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-11-11
  • k8s部署ingress-nginx的详细步骤大全

    k8s部署ingress-nginx的详细步骤大全

    nginx一般是作为服务的入口,其在kubernetes的部署方式也大致相似,这篇文章主要给大家介绍了关于k8s部署ingress-nginx的相关资料,文中通过图文介绍的非常详细,需要的朋友可以参考下
    2024-01-01
  • k8s跨服务调用入门到实战示例详解

    k8s跨服务调用入门到实战示例详解

    这篇文章主要为大家介绍了k8s跨服务调用入门到实战示例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-09-09
  • Rainbond云原生部署SpringCloud应用架构实践

    Rainbond云原生部署SpringCloud应用架构实践

    这篇文章主要为大家介绍了Rainbond云原生部署SpringCloud应用架构实践,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-04-04
  • kubernetes部署dashboard及应用小结

    kubernetes部署dashboard及应用小结

    Dashboard 是基于网页的 Kubernetes 用户界面,可以对 Deployment 实现弹性伸缩、发起滚动升级、重启 Pod 或者使用向导创建新的应用,这篇文章主要介绍了kubernetes部署dashboard,需要的朋友可以参考下
    2024-06-06
  • 2022最新青龙面板对接机器人的详细过程(傻妞对接onebot(oicq)协议实现机器人功能)

    2022最新青龙面板对接机器人的详细过程(傻妞对接onebot(oicq)协议实现机器人功能)

    这篇文章主要介绍了2022最新青龙面板对接机器人的详细过程(傻妞对接onebot(oicq)协议实现机器人功能),本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2022-05-05
  • k8s如何给node添加标签(最新推荐)

    k8s如何给node添加标签(最新推荐)

    k8s集群如果由大量节点组成,可将节点打上对应的标签,然后通过标签进行筛选及查看,更好的进行资源对象的相关选择与匹配,这篇文章主要介绍了k8s如何给node添加标签,需要的朋友可以参考下
    2023-02-02

最新评论