如何防止直接访问由nginx入口控制器公开的已部署API服务
我已经使用kops和ingress nginx控制器在aws上部署了一个应用程序。
根据我的理解,看起来入口控制器允许公开部署集群中的每个服务。所以它让我对安全性和身份验证感到疑惑。
我项目的架构是什么?我在集群中部署了3个服务:
-client-ui(前端)
-authentication-api(创建/生成/验证JWT令牌并调用其他服务,如data-api)
-data-api(在数据库中创建/读取/更新/删除敏感数据的API)
所以问题是:如果Ingress控制器公开所有服务,如果不允许用户,如何限制对特定服务的访问?
在这种情况下,data-api只能从authentication-api访问。因此,如果在我的浏览器中输入www.client-ui.com/data/getXXX,我显然无法访问该端点。如果他的jwt令牌已被验证,我应该只能从authentication-api中执行此操作。
所以我想一些apis应该只能从集群内部访问,有些是公开的!
写回答
-
专业科普建站知识 ,让建站变得更简单。专注于WordPress和Java建站知识讲解,云服务器主机知识讲解,建站程序搭建和网站优化。 欢迎访问我的网站 :http://tencent.yundashi168.com回答:我总结了一个系列关于nignx的文章,待你学习一下之后,其实nginx很简单,那么你这个问题就不解自破!
Nginx系列教程(4)nginx处理web应用负载均衡问题以保证高并发
Nginx系列教程(5)如何保障nginx的高可用性(keepalived)
Nginx系列教程(6)nginx location 匹配规则详细解说
2020-04-13 16:28:31赞同 展开评论 打赏 -
整合最优质的专家资源和技术资料,问答解疑根据云提供商的不同,入口服务上有不同的注释。您想要的是特定入口资源的内部负载平衡器。在您的情况下(AWS),这应该是:
annotations:
service.beta.kubernetes.io/aws-load-balancer-internal: "true"2019-07-17 23:21:00赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
