2. 程式人生 > >微服務之API閘道器:Kong:外掛介紹:認證外掛ip-restriction之黑白名單

微服務之API閘道器:Kong:外掛介紹:認證外掛ip-restriction之黑白名單

阿新 發佈:2019-01-21

這裡寫圖片描述
kong目前提供了37個外掛,其中商業收費7個,30個開源免費的外掛,可以設定到api/服務/路由粒度上。

環境設定

外掛功能

類別 免費/收費 name 外掛名 使用場景
認證 免費 basic-auth Basic Authentication 對於服務或者路由提供使用者名稱/密碼基本認證機制
認證 免費 key-auth Key Authentication 對於服務或者路由提供用關鍵字認證機制
認證 收費 - OpenID Connect 提供與三方OpenID的整合方式
認證 免費 oauth2 OAuth 2.0 Authentication 新增OAuth 2.0認證
認證 收費 - OAuth 2.0 Introspection 提供與三方OAuth 2.0認證伺服器的整合方式
認證 免費 hmac-auth HMAC Authentication 提供HMAC(Hashed Message Authentication Code)簽名認證方式
認證 免費 jwt JWT 提供JWT(JSON WEB Token)的認證方式
認證 免費 ldap-auth LDAP Authentication 提供了與LDAP認證伺服器的整合方式
安全 免費 acl ACL 通過ACL(Access Control List)的組名稱對服務或者路由進行黑白名單的訪問控制
安全 免費 cors CORS 對服務或者路由提供CORS支援
安全 免費 ip-restriction IP Restriction 通過IP地址對服務或者路由進行黑白名單的訪問控制
安全 免費 bot-detection Bot Detection 對服務或者路由提供機器人檢出並能進行黑白名單的設定
安全 免費 ssl Dynamic SSL 對路由或者API提供ssl支援
流量控制 收費 - EE Canary Release 提供金絲雀釋出支援
流量控制 收費 - EE Forward Proxy 提供企業內網中前向代理的支援
流量控制 收費 - EE Proxy Caching 提供代理快取的加速功能
流量控制 免費 request-size-limiting Request Size Limiting 可以對請求的body的size進行限制
流量控制 免費 rate-limiting Rate Limiting 提供對給定時間段HTTP請求數目的控制功能
流量控制 收費 - EE Rate Limiting CE版本Rate Limiting的強化
流量控制 免費 response-ratelimiting Response Rate Limiting 基於使用者響應Header的資訊,提供對HTTP請求數目的控制功能
流量控制 免費 request-termination Request Termination 根據響應的狀態碼和資訊,可停止對某個服務或者路由的流量
Serverless 免費 aws-lambda AWS Lambda 呼叫和管理AWS Lambda函式
Serverless 免費 openwhisk Apache OpenWhisk 呼叫和管理OpenWhisk
分析&監控 免費 zipkin Zipkin 提供相容zipkin的方式對使用者請求進行追蹤
分析&監控 免費 datadog Datadog 可將API的指標資訊在datadog上進行視覺化地展示
分析&監控 免費 runscope Runscope 結合runscope進行API效能測試和監控
轉換 免費 request-transformer Request Transformer 通過kong對請求進行轉換
轉換 收費 - EE request Transformer request Transformer的強化版
轉換 免費 response-transformer Response Transformer 通過kong對響應進行轉換
轉換 免費 correlation-id Correlation ID 通過kong實現請求和響應之間的關聯
日誌 免費 tcp-log TCP 傳送請求和響應日誌到TCP伺服器
日誌 免費 udp-log UDP 傳送請求和響應日誌到UDP伺服器
日誌 免費 http-log HTTP 傳送請求和響應日誌到HTTP伺服器
日誌 免費 file-log File 傳送請求和響應日誌到磁碟的檔案中
日誌 免費 statsd StatsD 傳送請求和響應日誌到StatsD伺服器
日誌 免費 syslog Syslog 傳送請求和響應日誌到syslog中
日誌 免費 syslog Loggly 傳送請求和響應日誌到Loggly伺服器

api資訊

[root@kong ~]# curl http://localhost:8001/apis
{"total":2,"data":[{"created_at":1527303008505,"strip_uri":true,"id":"28513d56-43d7-49f2-9e64-9a7a0698e24f","hosts":["userhost"],"name":"userapi","http_if_terminated":false,"https_only":false,"retries":5,"preserve_host":false,"upstream_connect_timeout":60000,"upstream_read_timeout":60000,"upstream_send_timeout":60000,"upstream_url":"http:\/\/192.168.163.117:9001\/"},{"created_at":1527303019963,"strip_uri":true,"id":"992b9c3b-889a-4c15-94b5-561ac9fb1cc9","hosts":["orghost"],"name":"orgapi","http_if_terminated":false,"https_only":false,"retries":5,"preserve_host":false,"upstream_connect_timeout":60000,"upstream_read_timeout":60000,"upstream_send_timeout":60000,"upstream_url":"http:\/\/192.168.163.117:9002\/"}]}
[root@kong ~]#

設定ip-restriction外掛

事前外掛資訊確認

[root@kong ~]# curl http://localhost:8001/plugins
{"total":0,"data":[]}
[root@kong ~]#

設定ip-restriction外掛

[root@kong ~]# curl -X POST http://localhost:8001/apis/userapi/plugins \
>      --data "name=ip-restriction"  \
>      --data "config.blacklist=172.17.0.3/16"
{"created_at":1527303305000,"config":{"blacklist":["172.17.0.3\/16"]},"id":"3341a3f8-1d87-4960-9da1-232718d2b89d","name":"ip-restriction","api_id":"28513d56-43d7-49f2-9e64-9a7a0698e24f","enabled":true}
[root@kong ~]#

設定後外掛資訊確認

[root@kong ~]# curl http://localhost:8001/plugins
{"total":1,"data":[{"created_at":1527303305000,"config":{"blacklist":["172.17.0.3\/16"]},"id":"3341a3f8-1d87-4960-9da1-232718d2b89d","name":"ip-restriction","api_id":"28513d56-43d7-49f2-9e64-9a7a0698e24f","enabled":true}]}
[root@kong ~]#

blacklist確認

由於設定blacklist為172.17.0.3/16,所以IP為172.17.0.3和172.17.0.2的兩個容器內都被限制了訪問,從如下的容器中得到了確認

172.17.0.3被限制

[root@kong ~]# docker exec -it trusting_liskov sh
/ # ip ad |grep 172
    inet 172.17.0.3/16 scope global eth0
/ # 
/ # curl -H 'Host: userhost' http://192.168.163.117:8000
{"message":"Your IP address is not allowed"}
/ #

172.17.0.2被限制

[root@kong ~]# docker exec -it optimistic_stallman sh
/ # ip ad |grep 172
    inet 172.17.0.2/16 scope global eth0
/ # 
/ # curl -H 'Host: userhost' http://192.168.163.117:8000
{"message":"Your IP address is not allowed"}
/ #

192.168.163.117可正常訪問

[root@kong ~]# curl -H 'Host: userhost' http://192.168.163.117:8000
Hello, Service :User Service
[root@kong ~]# ip ad |grep 192
    inet 192.168.163.117/24 brd 192.168.163.255 scope global enp0s3
[root@kong ~]#

相關推薦

基於.NET CORE服務框架 -Api服務管理

最近也更新了surging新的版本 更新內容: 1. 擴充套件Zookeeper封裝 2. 增加服務元資料 3. 增加API閘道器 開源地址:https://github.com/dotnetcore/surging 2.軟體環境 IDE:Visual Studio 2017 1

服務API的概念和聯絡

文章目錄 微服務 何為微服務 微服務誕生的背景 API閘道器 何為API閘道器 市面上的API閘道器工具: 二者的聯絡 微服務 何為微服務 微服務架構是一種將單應用程式

服務API (下): Kong能為我們做什麼?

本系列內容是來自Mashape.com的Marco在nginx.conf上的一次演講。 本系列第一部分(上集)主要介紹了單體和微服務之間的差別,以及為什麼我們需要一個API閘道器等等。 本系列的第二部分(也就是本集)主要關注Mashape.com的AP

建立服務-用API實現

建立微服務-用API閘道器實現第一篇文章講述了微服務的建立、設計和部署。同時,也討論了關於應用微服務的優點和缺點。雖然微服務結構複雜,但它是處理複雜程式架構的理想選擇。本文講述通過API閘道器構造微服務。當你選擇採用微服務構建自己的程式,則你需要考慮客戶端怎樣與後端服務互動。

服務APIKong外掛介紹認證外掛ip-restriction黑白名單

kong目前提供了37個外掛,其中商業收費7個,30個開源免費的外掛,可以設定到api/服務/路由粒度上。 環境設定 外掛功能 類別 免費/收費 name 外掛名 使用場景 認證 免費 basic-au

.net core 服務ApiApi Gateway)

微服務閘道器目錄 1、 微服務引子 2、使用Nginx作為api閘道器 3、自創api閘道器(重複輪子) 3.1、構建初始化 3.2、構建中介軟體 4、結語

spring cloud-構建服務架構的(API GateWay)

在我們前面的部落格中講到,當服務A需要呼叫服務B的時候,只需要從Eureka中獲取B服務的註冊例項,然後使用Feign來呼叫B的服務,使用Ribbon來實現負載均衡,但是,當我們同時向客戶端暴漏多個服務的時候,客戶端怎麼呼叫我們暴漏的服務了,如果我們還想加入安全認證,許可

SpringCloud系列API(Gateway)服務Zuul

### 1、什麼是API閘道器 API閘道器是所有請求的入口,承載了所有的流量,API Gateway是一個門戶一樣,也可以說是進入系統的唯一節點。這跟面向物件設計模式中的Facet模式很像。API Gateway封裝內部系統的架構,並且提供API給各個客戶端。它還可能有其他功能,如授權、監控、負載均衡、快取

用友雲開放平臺API

本文介紹選擇API閘道器應考慮的幾方面內容,API閘道器在微服務框架中的作用,API閘道器如何選型,用友雲開放平臺的API閘道器可以做什麼。  隨著網際網路的快速發展,當前已步入移動互聯、物聯網時代。企業內部系統,企業與客戶,企業供應鏈上下游之間,甚至於社會化公共資料的共享都對系統架構提出了新的需求。  微服

Spring CloudAPI Zuul

一、為什麼需要閘道器? 安全性: 1.最主要的一點是閘道器可以將所有服務的API介面統一聚合,並統一對外暴露。外界系統呼叫API介

SIA-GateWayAPI安裝部署指南

SIA-GATEWAY是基於SpringCloud微服務生態體系下開發的一個分散式微服務網關係統。具備簡單易用、視覺化、高可擴充套件、高可用性等特徵,提供雲原生、完整及成熟的接入服務解決方案。本文介紹API閘道器的安裝部署。 一、環境 1.1 編譯環境 Maven3+ nodejs Jdk1.8+ 1.2

服務中的

什麼是閘道器   簡單點說閘道器是一個Api伺服器,是系統的唯一入口。為每個客戶端提供一個定製的Restful API。同時它還需要具有一些業務之外的責任:鑑權。靜態響應等處理。 為什麼需要gateway   我們知道我們要進入一個服務本身,並不是一件容易的事情。服務本身有自己的通訊協議,這種協議往往不能很好

.NETCore服務探尋(一) -

## 前言 一直以來對於.NETCore微服務相關的技術棧都處於一個淺嘗輒止的瞭解階段,在現實工作中也對於微服務也一直沒有使用的業務環境,所以一直也沒有整合過一個完整的基於.NETCore技術棧的微服務專案。正好由於最近剛好辭職,有了時間可以寫寫自己感興趣的東西,所以在此想把自己瞭解的微服務相關的概念和

服務下的如何選擇

前言 自從換了工作以後,將近5個月沒有寫部落格了,這段時間經歷一個身份的轉變,從一個核心開發轉變為了一個專案的Leader,這種感覺說不上來的,雖說是有些感悟,但是更多的是一些困惑,但是有一點是明確的,站的高度或者角度不同,有些思考是不一樣的,有這種身份轉換的,大家可以做一些交流,嘿嘿!開啟我們的正題,最近

服務輕鬆搞定SpringCloud服務-APIzuul

通過前面幾篇文章的介紹,我們可以輕鬆搭建起來微服務體系中比較重要的幾個基礎構建服務。那麼,在本篇博文中,我們重點講解一下,如何將所有微服務的API同意對外暴露,這個就設計API閘道器的概念。 本系列教程 閘道器名稱解釋 閘道器(Gateway)又稱網間聯結器、協議轉換器。閘道器在網路層以上實現網路互連,

.NET Core服務基於Steeltoe整合Zuul實現統一API

一、關於Spring Cloud Zuul   API Gateway(API GW / API 閘道器),顧名思義,是出現在系統邊界上的一個面向API的、序列集中式的強管控服務,這裡的邊界是企業IT系統的邊界。   Zuul 是Netflix 提供的一個開源元件,致力於在雲平臺上提供動態路由,監

.NET Core服務基於Ocelot實現API服務

一、啥是API閘道器?   API 閘道器一般放到微服務的最前端,並且要讓API 閘道器變成由應用所發起的每個請求的入口。這樣就可以明顯的簡化客戶端實現和微服務應用程式之間的溝通方式。以前的話,客戶端不得不去請求微服務A(假設為Customers),然後再到微服務B(假設為Orders),然後是微服

spring cloud+.net core搭建服務架構Api(三)

前言 國慶假期,一直沒有時間更新。 根據群裡面的同學的提問,強烈推薦大家先熟悉下spring cloud。文章下面有純潔大神的spring cloud系列。 上一章最後說了,因為服務是不對外暴露的,所以在外網要訪問服務必須通過API閘道器來完成,而spring cloud 提供了現成的Api閘道器元件zuul

.NET Core服務基於Ocelot實現API服務(續)

一、負載均衡與請求快取 1.1 負載均衡   為了驗證負載均衡,這裡我們配置了兩個Consul Client節點,其中ClientService分別部署於這兩個節點內(192.168.80.70與192.168.80.71)。   為了更好的展示API Repsonse來自哪個節點,我們更改一下

spring cloud+dotnet core搭建服務架構Api(三)

前言 國慶假期,一直沒有時間更新。 根據群裡面的同學的提問,強烈推薦大家先熟悉下spring cloud。文章下面有純潔大神的spring cloud系列。 上一章最後說了,因為服務是不對外暴露的,所以在外網要訪問服務必須通過API閘道器來完成,而spring cloud 提供了現成的Api閘道器元件z