域名解析

从物理机上调用外部服务正常,但是docker里的java服务去调用却有问题。

答案

docker并不能使用宿主机的host配置信息

为每一个http请求定制header

如果在RouteLocatorBuilder里设置header的话就会对所有http request生效,如果为了对每个request请求使用不同header需要如下设置

@Configuration
public class GatewayConfiguration {

    @Bean
    public RouteLocator routeLocator(RouteLocatorBuilder builder, Client client){
        return builder.routes()
                .route("qbit",
                        request->request
                                .alwaysTrue()
                                .filters(
                                f->f.filter(client)
                        ).uri("http://"+client.getAddress()+"/")).build();
    }
}

@Slf4j
@Component
public class Client implements GatewayFilter {
   
    private final FastDateFormat fastDateFormat=FastDateFormat.getInstance("yyyy-MM-dd HH:mm:ss");
    public String getTimestamp() {
        return fastDateFormat.format(new Date());
    }
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        final var timestamp=this.getTimestamp();
        String contentType = "application/json";
        ServerHttpRequest request = exchange.getRequest().mutate()
                .header("Content-Type", contentType)
                .header("Timestamp",timestamp)
                .build();
        log.info("curl -X "+request.getMethod()+" "+
                Joiner.on(' ').join(
                        request.getHeaders().entrySet().stream().map(e->"--header '"+e.getKey()+":"+e.getValue().get(0)+"'").collect(Collectors.toList())
                )+" -d '?' '"+ StringUtils.replace(request.getURI().toString(),"spring-gateway:8080",getAddress())+"'");
        return chain.filter(exchange.mutate().request(request).build());
    }

关键就是implements GatewayFilter
上面log只是随便写写,根本没有tcpdump打印的全,但看可以做到每个请求的header里Timestamp的值是不一样的。

白名单

有一个外部服务,对调用方的ip地址做了白名单,于是我们这边的架构就是:把Gateway部署在白名单所在的服务器上,然后业务Service调用Gateway,完成token等安全信息,然后Gateway转发到外部,谁知道却报ip不合法。但是从docker内部使用curl来调用却正常。

答案

Gateway会像nginx那样加上一些Forward信息,这样对方就会读出业务服务的地址(当然不在白名单,并且是docker内部的网络地址)

诊断过程

使用下面命令监听IP报文

tcpdump -vvv -i eno16 -n dst host api.qbit.cn

其中eno16是为了选中网卡,vvv是为了打印出全部信息,可以看到HTTP信息如下

POST /services/qbit HTTP/1.1
	User-Agent: curl/7.64.0
	Accept: */*
	Content-Length: 45
	Content-Type: application/json
	Host: spring-gateway
	Forwarded: proto=http;host=api.qbit.cn;for="10.42.0.100:53868"
	X-Forwarded-For: 10.42.0.100
	X-Forwarded-Proto: http
	X-Forwarded-Port: 8080
	X-Forwarded-Host: spring-gateway:8080

可以看到Host需要在Gateway里替换成外部服务地址(否则可能404),然后X-Forwarded这些head需要去掉,否则对方会从这里面读取到10.42.0.100这个docker地址

解决方案

spring:
  cloud:
    gateway:
      x-forwarded:
        enabled: false

关于这个功能的更详细用法可以参考https://cloud.tencent.com/developer/article/1403887

Logo
向您推荐>>Eolink开发者社区

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐

沃云统一开发平台介绍

沃云集成平台研发平台介绍1.平台优势2.平台原理3.研发平台使用方法4.遇到的问题5.现阶段实现的功能6.后续需要补充的功能和优化内容研发平台介绍1.平台优势解决孤岛式应用,实现能力共享;现有系统框架过于复杂,跨系统业务处理成本居高不下,协同服务共享,降低运维成本;提高项目应用资源监控能力,改善资源利用率;业务微服务化,快速发布、快速部署,快速响应业务需求变化;沃云平台不仅提供了自动化的、可快速部

avatar 云原生

(20200916 Solved)docker-compose up创建容器自动退出

问题描述如题,创建容器后自动退出了。并且docker start container无效解决方案原因是缺失了控制终端的配置,需要在docker-compose.yml中增加tty:true ,有时候这样也不行,需要再增加一个command:/bin/bash,命令不一定是这个,需要是一个不会退出的命令,然后用-d后台启动容器。Referencesdocker-compose启动容器后自动退出...

avatar 云原生

基于docker的test-containers环境百宝箱

笔者语录: 我开了个公众号【Java你我他】,欢迎大家关注。  在很多时候,程序猿们更关注代码本身,而不愿意把时间花费在环境搭建上,这也是Docker变得越来越受欢迎的原因之一。test-containe是Docker生态圈中的一颗新星,其 主要针对测试领域、背靠Docker实现环境百宝箱功能。  test-containers: 你要的环境,我都有~  假设我们现在需要一个redis-clust

avatar 云原生