Domain-Name-System

拒絕對部署在 Kubernetes 中的應用程序的直接 IP 訪問

  • November 28, 2021

我有一個NodeJS應用程序express.js作為後端框架使用 Kubernetes 部署在雲上。K8s 在 Ubuntu 模板之上執行。部署在 Kubernetes 中的應用程序serviceNodePort. 這意味著應用程序使用 K8s 節點的外部 IP 地址。就我而言,它目前正在使用其中一個主節點的外部 IP 地址。

然後,我使用 Cloudflare Tunnel(又名 Argo Tunnel)為應用程序分配了一個 DNS 主機名。它工作得非常好,因為我可以使用已解析的 DNS 主機名從 K8s 集群外部訪問應用程序。但是,我也可以直接從a.b.c.d: 31130. 以下是config.yml用於創建 Cloudflare 隧道的文件片段:

tunnel: ***********8ab68bscjbi9cddhujhdhbh
credentials-file: /home/sebastian/.cloudflared/***********8ab68bscjbi9cddhujhdhbh.json

ingress:
 - hostname: myapp.test.io
   service: http://a.b.c.d:31130
 - service: http_status:404

我在這里關心的是,如何拒絕或阻止對應用程序的直接 IP 訪問,因為我不想透露 IP 地址並從安全的角度讓自己生活困難?

這是否必須從 Cloudflare 或 K8s 集群中配置也是我的疑問。任何回饋和建議將不勝感激。

從 kubernetes 的角度來看,Ingress-controller 是通過 TLS 連接從集群到客戶端公開 HTTP 後端的標準方式。

您可以使用 TLS 證書發布應用程序。創建 TLS 證書時,您可以指定您的應用程序允許的替代名稱。不允許其他名稱或 IP 地址訪問該網站。

這是替代名稱的範例。如果我們不希望允許使用 IP 進行訪問,我們可以刪除 IP 地址。

X509v3 Subject Alternative Name:
               DNS:kmaster, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.96.0.1, IP Address:172.16.16.100

入口 TLS 範例 https://github.com/kubernetes/ingress-nginx/tree/main/docs/examples/tls-termination

替代名稱 https://kubernetes.io/docs/tasks/administer-cluster/certificates/#openssl

引用自:https://serverfault.com/questions/1083812