我有一个使用 Kubernetes 在云上部署的后端框架NodeJS应用程序express.js。K8s 在 Ubuntu 模板上运行。部署在 Kubernetes 中的应用程序service类型为NodePort。这意味着该应用程序使用 K8s 节点的外部 IP 地址。在我的例子中,它当前正在使用其中一个主节点的外部 IP 地址。
然后,我使用 Cloudflare Tunnel(又名 Argo Tunnel)为应用程序分配了一个 DNS 主机名。它运行良好,因为我可以使用已解析的 DNS 主机名从 K8s 集群外部访问该应用程序。但是,我也可以直接从 访问该应用程序。以下是用于创建 Cloudflare 隧道的文件a.b.c.d: 31130片段:config.yml
tunnel: ***********8ab68bscjbi9cddhujhdhbh
credentials-file: /home/sebastian/.cloudflared/***********8ab68bscjbi9cddhujhdhbh.json
ingress:
- hostname: myapp.test.io
service: http://a.b.c.d:31130
- service: http_status:404
我担心的是,如何拒绝或阻止对应用程序的直接 IP 访问,因为我不想泄露 IP 地址并从安全角度让自己的生活变得困难?
我也有疑问,这是否必须在 Cloudflare 或 K8s 集群内进行配置。任何反馈和建议都将不胜感激。
答案1
从 kubernetes 的角度来看,Ingress-controller 是通过 TLS 连接从集群向客户端公开 HTTP 后端的标准方式。
您可以使用 TLS 证书发布应用程序。创建 TLS 证书时,您可以指定应用程序允许的备用名称。其他名称或 IP 地址将不允许访问该网站。
这是备用名称的示例。如果我们不想允许使用 IP 进行访问,我们可以删除 IP 地址。
X509v3 Subject Alternative Name:
DNS:kmaster, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.96.0.1, IP Address:172.16.16.100
Ingress TLS 示例 https://github.com/kubernetes/ingress-nginx/tree/main/docs/examples/tls-termination
替代名称 https://kubernetes.io/docs/tasks/administer-cluster/certificates/#openssl