拒絕對部署在 Kubernetes 中的應用程序的直接 IP 訪問
我有一個
NodeJS
應用程序express.js
作為後端框架使用 Kubernetes 部署在雲上。K8s 在 Ubuntu 模板之上執行。部署在 Kubernetes 中的應用程序service
是NodePort
. 這意味著應用程序使用 K8s 節點的外部 IP 地址。就我而言,它目前正在使用其中一個主節點的外部 IP 地址。然後,我使用 Cloudflare Tunnel(又名 Argo Tunnel)為應用程序分配了一個 DNS 主機名。它工作得非常好,因為我可以使用已解析的 DNS 主機名從 K8s 集群外部訪問應用程序。但是,我也可以直接從
a.b.c.d: 31130
. 以下是config.yml
用於創建 Cloudflare 隧道的文件片段:tunnel: ***********8ab68bscjbi9cddhujhdhbh credentials-file: /home/sebastian/.cloudflared/***********8ab68bscjbi9cddhujhdhbh.json ingress: - hostname: myapp.test.io service: http://a.b.c.d:31130 - service: http_status:404
我在這里關心的是,如何拒絕或阻止對應用程序的直接 IP 訪問,因為我不想透露 IP 地址並從安全的角度讓自己生活困難?
這是否必須從 Cloudflare 或 K8s 集群中配置也是我的疑問。任何回饋和建議將不勝感激。
從 kubernetes 的角度來看,Ingress-controller 是通過 TLS 連接從集群到客戶端公開 HTTP 後端的標準方式。
您可以使用 TLS 證書發布應用程序。創建 TLS 證書時,您可以指定您的應用程序允許的替代名稱。不允許其他名稱或 IP 地址訪問該網站。
這是替代名稱的範例。如果我們不希望允許使用 IP 進行訪問,我們可以刪除 IP 地址。
X509v3 Subject Alternative Name: DNS:kmaster, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.96.0.1, IP Address:172.16.16.100
入口 TLS 範例 https://github.com/kubernetes/ingress-nginx/tree/main/docs/examples/tls-termination
替代名稱 https://kubernetes.io/docs/tasks/administer-cluster/certificates/#openssl