如何使用入口控制器动态地允许IP

来自ingress nginx控制器的官方文档：

这个Ingress控制器的目标是组装一个配置文件(nginx.conf(。这个要求的主要含义是在配置文件发生任何更改后需要重新加载nginx。尽管需要注意的是，我们不会在只影响上游配置的更改上重新加载Nginx(即部署应用程序时端点更改(

在最初创建nginxingress resource之后，ingress controller组装nginx.conf文件并将其用于路由流量。如果Nginx.conf和其他配置文件发生更改，Nginx web服务器不会自动重新加载其配置。

所以，你可以用几种方法来解决这个问题：

• 用新的IP地址更新k8singress resource，然后对选项2和3的Kubernetes集群应用更改(kubectl apply/kubecctl patch/smth-else(/
• 在ingress Pod中运行nginx -s reload，为选项1重新加载nginx configuration/，include是允许的列表文件。

  $ kubectl exec ingress-nginx-controller-xxx-xxx -n ingress-nginx -- nginx -s reload
  

• 试着写一个Lua脚本(Nginx+Lua+Redis有一个很好的例子(。你应该对nginx和lua有很好的了解，以评估它是否值得尝试

分享我在工作场所实现的内容。我们有一个名为Site24x7的托管监控工具。该工具用动态IP从他们的虚拟机中ping我们的服务器，我们不得不在GKE自动执行IP的白名单。

nginx.ingress.kubernetes.io/configuration-snippet允许您设置任意的Nginx配置。

1. 在特定命名空间上设置K8s CronJob资源
2. CronJob运行一个shell脚本

• 获取要允许的IP列表(curl、getent等(
• 生成一组NGINX配置(=nginx.ingress.kubernetes.io/configuration-snippet的值(
• 运行CCD_ 14命令，该命令覆盖目标入口的注释

shell/bash脚本示例：

#!/bin/bash
site24x7_ip_lookup_url="site24x7.enduserexp.com"
site247_ips=$(getent ahosts $site24x7_ip_lookup_url | awk '{print "allow "$1";"}' | sort -u)
ip_whitelist=$(cat <<-EOT
# ---------- Default whitelist (Static IPs) ----------
# Office
allow vv.xx.yyy.zzz;
# VPN
allow aa.bbb.ccc.ddd;
# ---------- Custom whitelist (Dynamic IPs) ----------
$site247_ips                            # Here! 
deny all;
EOT
)
for target_ingress in $TARGET_INGRESS_NAMES; do
kubectl -n $NAMESPACE annotate ingress/$target_ingress 
--overwrite 
nginx.ingress.kubernetes.io/satisfy="any" 
nginx.ingress.kubernetes.io/configuration-snippet="$ip_whitelist" 
description="*** $(date '+%Y/%m/%d %H:%M:%S') NGINX annotation 'configuration-snippet' updated by cronjob $CRONJOB_NAME ***"
done

shell/bash脚本可以存储为ConfigMap，以便安装在CronJob资源上。