Spring Boot Actuator通过Nginx配置限制外部访问

但要注意，端点返回的数据可能暴露服务器的敏感信息，这些只能从内部网络访问，建议对外屏蔽。如果想屏蔽所有，就为exluce配置*，但自己想使用时也不方便。Spring Boot提供的Actuator，方便开发监控和管理应用程序，但也会暴露一些敏感信息，引发安全问题。其中include是指要包含进来的端点，可以写多个，用逗号隔开。k8s在做健康检查时，经常通过http get的方式调用pod中的服务接

Lukia Lee

3131人浏览 · 2023-09-01 13:18:36

Lukia Lee · 2023-09-01 13:18:36 发布

Spring Boot提供的Actuator，方便开发监控和管理应用程序，但也会暴露一些敏感信息，引发安全问题。

所以很多人在运行Spring Boot项目时，会关掉Actuator的端点，方法很简单，这样配置：

management:
  endpoints:
    web:
      exposure:
        include: health,beans
        exclude: info

其中include是指要包含进来的端点，可以写多个，用逗号隔开。exclude是指要排除掉的不能包含进来的端点。此时，通过http://ip:port/actuator/health返回的数据，能看到服务器是否在运行。

如果想包含所有，就给include配置*

management:
  endpoints:
    web:
      exposure:
        include: *

但要注意，端点返回的数据可能暴露服务器的敏感信息，这些只能从内部网络访问，建议对外屏蔽。如果想屏蔽所有，就为exluce配置*，但自己想使用时也不方便。

management:
  endpoints:
    web:
      exposure:
        exclude: *

k8s在做健康检查时，经常通过http get的方式调用pod中的服务接口，判断服务是否正常。

    livenessProbe:
      httpGet:
        path: /actuator/health
        port: 80
        scheme: HTTP

你可以修改路径，让别人猜不到，但这样始终还是不安全。

限制外部访问，先给两个简单的办法：

一，在Nginx中配置路径的禁止访问规则

如果对外暴露的服务是通过Nginx做反向代理的，可以在Nginx配置文件中加上对路径/actuator/的访问限制，如：


    location / {
        proxy_set_header            Host $host;
        proxy_set_header            X-real-ip $remote_addr;
        proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_connect_timeout 500s;
        proxy_read_timeout 500s;
        proxy_send_timeout 500s;

        # 只要路径中有/actuator，就不允许外部请求
        location ~ .*\/actuator.* {
          #deny all; # 这样配置返回403
          return 404; # 这样配置返回404
        }
        proxy_pass http://172.15.33.12:30001/;
    }

二，换一个端口实现Actuator端点的访问

在Spring Boot项目配置文件中这样配置，就可以通过8081来访问actator的端点了，但要注意，这样做，会使你的Spring Boot服务多占用一个端口，而且可能会有副作用，要非常小心。比如，如果你使用WebServerInitializedEvent监听应用启动，再执行一些初始化的代码，则会发现执行了两次。

management:
  server:
    port: 8081
  endpoint:
    web:
      exposure:
        include: refresh,health,info
    health:
      show-details: always
      probes:
        enabled: true

K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub