Spring Boot Actuator通过Nginx配置限制外部访问

Spring Boot提供的Actuator,方便开发监控和管理应用程序,但也会暴露一些敏感信息,引发安全问题。

所以很多人在运行Spring Boot项目时,会关掉Actuator的端点,方法很简单,这样配置:

management:
  endpoints:
    web:
      exposure:
        include: health,beans
        exclude: info

其中include是指要包含进来的端点,可以写多个,用逗号隔开。exclude是指要排除掉的不能包含进来的端点。此时,通过http://ip:port/actuator/health返回的数据,能看到服务器是否在运行。

如果想包含所有,就给include配置*

management:
  endpoints:
    web:
      exposure:
        include: *

但要注意,端点返回的数据可能暴露服务器的敏感信息,这些只能从内部网络访问,建议对外屏蔽。如果想屏蔽所有,就为exluce配置*,但自己想使用时也不方便。

management:
  endpoints:
    web:
      exposure:
        exclude: *

k8s在做健康检查时,经常通过http get的方式调用pod中的服务接口,判断服务是否正常。

    livenessProbe:
      httpGet:
        path: /actuator/health
        port: 80
        scheme: HTTP

你可以修改路径,让别人猜不到,但这样始终还是不安全。

如果对外暴露的服务是通过Nginx做反向代理的,可以在Nginx配置文件中加上对路径/actuator/的访问限制,如:


    location / {
        proxy_set_header            Host $host;
        proxy_set_header            X-real-ip $remote_addr;
        proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_connect_timeout 500s;
        proxy_read_timeout 500s;
        proxy_send_timeout 500s;

        # 只要路径中有/actuator,就不允许外部请求
        location ~ .*\/actuator.* {
          #deny all; # 这样配置返回403
          return 404; # 这样配置返回404
        }
        proxy_pass http://172.15.33.12:30001/;
    }

你可能感兴趣的:(spring,boot,java,后端)