如何解决使用负载均衡器限制对 azure vm 中的 tomcat 应用程序的互联网访问
我的设置是:面向公众的 LB - Linux VM - Apache tomcat:2 个应用程序 - https://example.com
和 https://example.com/api/xxx
。现在所有安全组和规则都已就绪,可以完美访问所有内容。
需要:需要限制从 Internet 访问 url https://example.com
。它只能从客户端的内部网络访问。
Done so far : 由于 LB 不支持基于 url 的限制,因此考虑在 tomcat 中使用 RemoteCIDRValve
进行此限制。在相应的上下文中提供以下内容。
<Valve className="org.apache.catalina.valves.RemoteCIDRValve" allow="111.11.111.0/22,222.22.222.0/22,::1"/>
但它也允许所有其他 IP 地址。这是因为当请求进来时,它是通过负载均衡器进来的,所以 IP 在允许的 CIDR 范围内。我最初的想法是 LB 会从请求发起的地方发送客户端的 ip。
请为解决此问题提供一些线索。什么需要纠正这个?或任何其他方法来解决它...
我的完整配置如下。这是在主机内:
<Valve className="org.apache.catalina.valves.RemoteIpValve" />
<Host name="example.com" appBase="xxxapps"
unpackWARs="true" autoDeploy="true" deployOnStartup="true">
<Context name="API" path="/yyy" docBase="yyy.war"></Context>
<Context name="Portal" path="" docBase="zzz.war">
<Valve className="org.apache.catalina.valves.RemoteCIDRValve"
allow="xxx.yyy.zz.d/y,::1"/>
</Context>
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs/xxxlogs"
prefix="xxx_access_log" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b %{x-forwarded-for}i %{x-forwarded-by}i"
requestAttributesEnabled="true" />
</Host>
解决方法
如果负载均衡器添加了 X-Forwarded-For
标头(很有可能),您只需要向您的引擎添加一个 RemoteIpValve
:
<Engine name="Catalina">
<Valve className="org.apache.catalina.valves.RemoteIpValve" />
...
</Engine>
在最近的 Tomcat 版本中,所有阀门属性都有合理的默认值。
编辑:正如您在 your comment 中所述,您的域名还指向 Cloudflare 服务器。我不知道他们如何为客户分配 IP,但如果 IP 数量有限(例如 172.70.95.0/24
网络),您可以使用:
<Engine name="Catalina">
<Valve className="org.apache.catalina.valves.RemoteIpValve"
trustedProxies="172\.70\.95\.\d+" />
...
</Engine>
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。