Kubernetes 入口白名單 IP 用於路徑
[英]Kubernetes Ingress Whitelist IP for path
問題描述
我知道我可以將整個入口 object 的 IP 列入白名單,但是有沒有辦法將各個路徑的 IP 列入白名單? 例如,如果我只想允許從10.0.0.0/16訪問/admin ?
ingress.yml :
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
#nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /
backend:
serviceName: frontend
servicePort: 80
- path: /api
backend:
serviceName: api
servicePort: 8000
- path: /admin
backend:
serviceName: api
servicePort: 8000
- path: /staticfiles
backend:
serviceName: api
servicePort: 80
3 個解決方案
解決方案1
4 2019-11-26 13:28:29
如果您想將其拆分為兩個 Ingre,則如下面的示例所示。 第一個Ingress帶有/admin路徑和注釋,第二個Ingress帶有任何IP允許的其他paths 。
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend-admin
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /admin
backend:
serviceName: api
servicePort: 8000
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend-all
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /
backend:
serviceName: frontend
servicePort: 80
- path: /api
backend:
serviceName: api
servicePort: 8000
- path: /staticfiles
backend:
serviceName: api
servicePort: 80
請記住,注釋nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"將覆蓋您的一些配置。 如Nginx 文檔中所述:
向 Ingress 規則添加注釋會覆蓋任何全局限制。
另一種選擇是使用ConfigMap whitelist-source-range 。 就像在這個例子中提到的,你可以使用ngx_http_access_module 。
在 Nginx 配置中,每個path都保存為
location / {
...
}
location /api {
...
}
你可以在那里添加這些限制。 下面的例子:
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}
解決方案2
1 2019-11-19 03:40:41
您可以嘗試將入口分成幾部分。 我創建了兩個都有差異的入口。 路徑,您可以更改白名單 IP
1 :
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
#nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /
backend:
serviceName: frontend
servicePort: 80
2 :
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: frontend
namespace: default
labels:
app: frontend
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-prod"
#nginx.ingress.kubernetes.io/whitelist-source-range: "10.0.0.0/16"
spec:
tls:
- hosts:
- frontend.example.com
secretName: frontend-tls
rules:
- host: frontend.example.com
http:
paths:
- path: /
backend:
serviceName: frontend-two
servicePort: 80
解決方案3
0 2020-03-10 17:54:31
你解決問題了嗎? 從上一個答案中,我無法弄清楚如何使用此選項
另一種選擇是使用 ConfigMap whitelist-source-range。 就像在這個例子中提到的,你可以使用 ngx_http_access_module
你能舉個例子嗎?
分成幾個入口 - 它非常不適合某些情況=(
我剛剛找到了另一個解決方案(但我認為先前答案的解決方案更漂亮):您可以使用注釋nginx.ingress.kubernetes.io/server-snippet並編寫,就像直接在 ZEE434023CF89D7DFB21F63D64F0
Kubernetes whitelist-source-range 塊而不是白名單 IP
[英]Kubernetes whitelist-source-range blocks instead of whitelist IP
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
主機的 Kubernetes 入口白名單 IP
Kubernetes 入口路徑
具有私有 IP 的 Kubernetes 入口控制器
Kubernetes whitelist-source-range 塊而不是白名單 IP
Kubernetes 入口路徑優先級(ingress-nginx)
路徑通配符在 kubernetes 入口中不起作用
Kubernetes 從 Ingress 獲取 IP(Oracle 雲)
遠程 IP 基於 SSL 在 Kubernetes 入口
Kubernetes ingress-nginx保留源IP
是否為Kubernetes入口保留客戶端源IP?
相關標簽