公司新上线的测试平台跑在 VMware 虚拟机集群上,前端用 Nginx 网关统一接入,结果某天发现后台管理接口被扫描器反复试探——幸好网关层早就配好了访问控制规则,直接拦截了 92% 的异常请求。这背后靠的不是玄学,而是实实在在的网关安全策略。
网关不是摆设,是第一道门禁
很多人把虚拟机网络想成“内网就安全”,其实只要网关暴露在公网或办公网,它就是整个虚拟环境的入口。比如用 KVM 搭建的 OpenStack 私有云,外层常挂 Traefik 或 Kong 做 API 网关;再比如本地开发用 Vagrant 启的多台 Ubuntu 虚拟机,用 Caddy 当反向代理——这些网关一旦没设访问控制,等于把虚拟机的 SSH、Web 控制台、数据库端口全敞开了。
常用访问控制手段怎么落地
以 Nginx 网关为例,在虚拟机宿主机或独立网关 VM 中修改配置:
location /admin/ {
# 只允许运维组 IP 段访问
allow 192.168.10.0/24;
deny all;
# 配合基本认证(不依赖虚拟机内部用户)
auth_basic "Admin Area";
auth_basic_user_file /etc/nginx/.htpasswd;
}如果用的是 Spring Cloud Gateway,可以在 application.yml 里加路由级过滤:
spring:
cloud:
gateway:
routes:
- id: vm-api
uri: http://192.168.56.11:8080
predicates:
- Path=/api/v1/**
filters:
- name: RequestRateLimiter
args:
redis-rate-limiter.replenishRate: 10
redis-rate-limiter.burstCapacity: 20
- name: AddRequestHeader
args:
name: X-From-Gateway
value: "true"别忘了虚拟机自身的配合
光靠网关不够。某次我们遇到一个情况:网关限制了 /backup 接口只允许内网调用,但虚拟机里运行的备份脚本用了公网域名回源,绕过了网关直连——结果备份文件被拖走。后来在每台虚拟机上加了 iptables 规则:
iptables -A OUTPUT -d 192.168.56.0/24 -p tcp --dport 3306 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3306 -j DROP这样即使应用写死了地址,出向流量也会被卡住。配合网关的入向控制,形成双向围栏。
动态策略更贴合虚拟机场景
虚拟机常弹性伸缩,IP 可能变。硬写 IP 段容易失效。我们在阿里云 ECS 虚拟机组里用 Metadata 服务动态获取实例标签,再结合 Envoy 的 RBAC 插件做角色识别:
rbac:
policies:
"dev-team":
permissions:
- and_rules:
rules:
- header:
name: x-env
exact_match: "dev"
- header:
name: x-role
exact_match: "admin"
principals:
- metadata:
filter: envoy.filters.http.rbac
path:
- key: com.acme.role
value:
string_match:
exact: "admin"这样,哪怕虚拟机重建、IP 重分配,只要标签没改,权限自动生效。