我在 k8s 集群中运行 kong,kong-admin API 没有身份验证,这导致任何拥有 nodeAddress:port 的人都可以更新或删除服务或路由。一种选择是将 kong 作为 localhost 运行,并且每次执行 CRUD 操作时,通过 ssh 连接到节点并从那里进行更新。我想知道是否有任何插件或其他方式可以为 kong-admin 提供身份验证?
1 回答
0
Kong 文档提供了如何保护 admin api的明确指南,以防您希望它以不同于 localhost 的方式公开。
- 您可以使用某些防火墙通过 IP 范围的一小部分来限制流量。一种选择是使用 iptables 来保护它,如第 3/4 层网络控制中所述。
- 另一种方法是Looping thru Kong。
- 最后,您可以编辑可用的 nginx 配置
kong.yml以添加指令,例如auth 基本模块。
于 2021-02-24T10:07:06.660 回答