我有一个NodeJS应用程序express.js作为后端框架使用 Kubernetes 部署在云上。K8s 在 Ubuntu 模板之上运行。部署在 Kubernetes 中的应用程序service是NodePort. 这意味着应用程序使用 K8s 节点的外部 IP 地址。就我而言,它当前正在使用其中一个主节点的外部 IP 地址。
然后,我使用 Cloudflare Tunnel(又名 Argo Tunnel)为应用程序分配了一个 DNS 主机名。它工作得非常好,因为我可以使用已解析的 DNS 主机名从 K8s 集群外部访问应用程序。但是,我也可以直接从a.b.c.d: 31130. 以下是config.yml用于创建 Cloudflare 隧道的文件片段:
tunnel: ***********8ab68bscjbi9cddhujhdhbh
credentials-file: /home/sebastian/.cloudflared/***********8ab68bscjbi9cddhujhdhbh.json
ingress:
- hostname: myapp.test.io
service: http://a.b.c.d:31130
- service: http_status:404
我在这里关心的是,如何拒绝或阻止对应用程序的直接 IP 访问,因为我不想透露 IP 地址并从安全的角度让自己生活困难?
这是否必须从 Cloudflare 或 K8s 集群中配置也是我的疑问。任何反馈和建议将不胜感激。
从 kubernetes 的角度来看,Ingress-controller 是通过 TLS 连接从集群到客户端公开 HTTP 后端的标准方式。
您可以使用 TLS 证书发布应用程序。创建 TLS 证书时,您可以指定您的应用程序允许的替代名称。不允许其他名称或 IP 地址访问该网站。
这是替代名称的示例。如果我们不希望允许使用 IP 进行访问,我们可以删除 IP 地址。
入口 TLS 示例 https://github.com/kubernetes/ingress-nginx/tree/main/docs/examples/tls-termination
替代名称 https://kubernetes.io/docs/tasks/administer-cluster/certificates/#openssl