[英]Kubernetes Ingress Whitelist IP for path
我知道我可以将整个入口 object 的 IP 列入白名单,但是有没有办法将各个路径的 IP 列入白名单? 例如,如果我只想允许从10.0.0.0/16
访问/admin
?
ingress.yml
:
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
#nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /
backend:
serviceName: frontend
servicePort: 80
- path: /api
backend:
serviceName: api
servicePort: 8000
- path: /admin
backend:
serviceName: api
servicePort: 8000
- path: /staticfiles
backend:
serviceName: api
servicePort: 80
如果您想将其拆分为两个 Ingre,则如下面的示例所示。 第一个Ingress
带有/admin
路径和注释,第二个Ingress
带有任何IP
允许的其他paths
。
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend-admin
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /admin
backend:
serviceName: api
servicePort: 8000
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend-all
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /
backend:
serviceName: frontend
servicePort: 80
- path: /api
backend:
serviceName: api
servicePort: 8000
- path: /staticfiles
backend:
serviceName: api
servicePort: 80
请记住,注释nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
将覆盖您的一些配置。 如Nginx 文档中所述:
向 Ingress 规则添加注释会覆盖任何全局限制。
另一种选择是使用ConfigMap
whitelist-source-range 。 就像在这个例子中提到的,你可以使用ngx_http_access_module
。
在 Nginx 配置中,每个path
都保存为
location / {
...
}
location /api {
...
}
你可以在那里添加这些限制。 下面的例子:
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}
您可以尝试将入口分成几部分。 我创建了两个都有差异的入口。 路径,您可以更改白名单 IP
1 :
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
#nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /
backend:
serviceName: frontend
servicePort: 80
2 :
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
#nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /
backend:
serviceName: frontend-two
servicePort: 80
你解决问题了吗? 从上一个答案中,我无法弄清楚如何使用此选项
另一种选择是使用 ConfigMap whitelist-source-range。 就像在这个例子中提到的,你可以使用 ngx_http_access_module
你能举个例子吗?
分成几个入口 - 它非常不适合某些情况=(
我刚刚找到了另一个解决方案(但我认为先前答案的解决方案更漂亮):您可以使用注释nginx.ingress.kubernetes.io/server-snippet并编写,就像直接在 ZEE434023CF89D7DFB21F63D64F0
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.