假设有两个域,一个是公共的,另一个仅限于几个选定的源IP:
public.example.com 10.0.0.1
private.example.com 10.0.0.2
现在,白名单应用于外部防火墙,然后将请求传递给Openshift路由器。我发现,在公共请求的“主机”标题中发送“私人”域名就足以从“私人”服务中获取内容了:
curl https://public.example.com --header "host: private.example.com"
给了我一些我不希望看到的内容。
我在网络级别实际保护它有哪些选择?
答案 0 :(得分:4)
您可以在路线中添加注释以强制实施IP白名单。
metadata:
annotations:
haproxy.router.openshift.io/ip_whitelist: 192.168.1.10 192.168.1.11 192.168.1.12
https://docs.openshift.com/container-platform/3.9/architecture/networking/routes.html#whitelist