ingress白名单（traefik1.7）

1、修改nginx代理client地址

server {
     
     listen       80;
     # server_name  _;
     location / {
     
         proxy_pass 192.168.254.7:23456;
         proxy_set_header Host $host;
         proxy_set_header X-Real-IP $remote_addr;
         proxy_set_header X-Forwarded-For $remote_addr;
     }
}

2、固定traefik到指定服务器

2.1 打标签

kubectl label node 192.168.254.7 traefik= true
traefik deployment 添加nodeselecter traefik:  "true"

2.2 traefik设置externaltrafficpolicy为 local

kubectl patch svc traefik-ingress-service -p  '{"spec":{"externalTrafficPolicy":"Local"}}'

3、给ingress添加注解

3.1 将X-Forwarded-For标头用作白名单的有效IP来源。

ingress.kubernetes.io /whitelist-x-forwarded-for :  "true"

3.2 允许访问的IP范围的逗号分隔列表（7）。

traefik.ingress.kubernetes.io /whitelist-source-range :  "100.125.68.0/24, 192.168.68.68"    

ps:鲲鹏集群，集群内访问添加100.125.68.0/24，本地访问直接添加clientIP(你的地址)，内外都访问两者都加