介绍
在本节中,您将找到关于Kong推荐的网络和防火墙设置的摘要。
Ports
Kong使用多个连接用于不同的目的。
- 代理
- 管理api
Proxy
代理端口是Kong接收传入流量的地方。有两个端口具有以下默认值;
8000for proxying.这是Kong侦听HTTP流量的地方。一旦投入生产,请确保将其更改为80。看到proxy_listen。8443for proxying HTTPS traffic.一旦投入生产,请务必将其更改为443。参见proxy_listen和ssl后缀。
这些是应该提供给客户机的唯一入口。
Management api
这是Kong公开其管理api的端口。因此,在生产中,这个端口应该设置防火墙,以防止未经授权的访问。
- 8001提供了Kong的管理API,您可以使用它来操作Kong。看到admin_listen。
- 8444提供相同的Kong管理API,但使用HTTPS。参见admin_listen和ssl后缀。
Firewall
以下是推荐的防火墙设置:
- Kong背后的上游服务将通过proxy_listen接口/port值提供。根据您希望授予上游服务的访问级别配置这些值。
- 如果您将管理API绑定到一个面向公共的接口(通过admin_listen),那么请将其保护为只允许受信任的客户机访问管理API。请参见Securing the Admin API。
- 您的代理将需要为您配置的任何TCP流侦听器添加规则。例如,如果您希望Kong管理端口4242上的流量,您的防火墙将需要允许该端口上的流量。