Spring Cloud Gateway集成Actuator、prometheus监控方案以及相关安全漏洞的解决方案

原创 已于 2024-08-28 08:51:02 修改 · 1.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #gateway #springcloud #prometheus #spring boot

于 2024-08-26 19:25:52 首次发布

需求说明

需要在prometheus中对gateway服务进行监控,例如jvm相关指标,计划gateway服务引入spring-boot-starter-actuator和micrometer-registry-prometheus,给prometheus提供端点获取指标数据。

依赖及配置

在gateway服务添加依赖及配置:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
    <groupId>io.micrometer</groupId>
    <artifactId>micrometer-core</artifactId>
</dependency>
<dependency>
    <groupId>io.micrometer</groupId>
    <artifactId>micrometer-registry-prometheus</artifactId>
</dependency>
management:
  endpoints:
    web:
      exposure:
        include: "*"
  metrics:
    export:
      prometheus:
        enabled: true #开启prometheus端点

启动网关服务即可查看监控信息

通过actuator可以看到我们开放了很多端点,能获取到很多监控信息,但同时也存在安全风险,例如通过/actuator/env可以获取到服务的环境变量,通过actuator/gateway/routes可以查看路由信息,甚至可以修改路由,这些都是非常危险的操作;下边我们将对这些安全风险进行优化。

安全风险修复

风险修复可以有有以下三点:

1.把不需要的端点关掉

2.修改base-path

3.增加配置访问权限验证

针对1和2是在配置文件中修改相应配置,3我这里是用filter来拦截请求做验证。

把不需要的端点关掉,修改base-path,在配置文件中修改:

management:
  endpoints:
    web:
      base-path: /newPath  #修改base-path
      exposure:
        include: "*"
        exclude: env,beans   #关掉不需要的端点
  metrics:
    export:
      prometheus:
        enabled: true  #开启prometheus端点

修改完重启网关服务,访问新端点获取监控数据

验证被关掉的端点已不存在

增加配置访问权限验证:

在gateway中我们通过WebFlux中的WebFilter来实现过滤,对监控相关的请求做验证

import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import org.springframework.web.server.WebFilter;
import org.springframework.web.server.WebFilterChain;
import reactor.core.publisher.Mono;

@Component
public class CustomAuthenticationWebFilter implements WebFilter {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
       // 获取请求路径
       String path = exchange.getRequest().getURI().getPath();
       // 是否Actuator请求,判断请求路径是否包含newPath
       if(!path.contains("newPath")){
          return chain.filter(exchange);
       }
       String token = exchange.getRequest().getHeaders().getFirst("Actuator-Authorization");
       // 验证Token
       // 如果验证成功,则继续传递请求
       if (token != null && token.equals("xxxxxxxxxxxxx")) {
          return chain.filter(exchange);
       } else {
          // 如果验证失败,则返回401 Unauthorized
          return Mono.error(new RuntimeException("Unauthorized"));
       }
    }
}
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class WebFilterConfiguration {
    @Bean
    public CustomAuthenticationWebFilter customAuthenticationWebFilter() {
       return new CustomAuthenticationWebFilter();
    }
}

以上代码我们是在请求头中设置约定的token信息,在filter中做验证,没有token 信息或者与约定的token值不一致则认定非法调用。

验证带约定token调用,可以返回正常数据:

验证不带token调用,提示Unauthorized:

IT_huge
关注
【云原生&微服务>SCG网关篇十】Spring Cloud Gateway集成Actuator、Zipkin详细案例
健身变秃,coding变强
07-17 1141
1、Spring Cloud Gateway集成Actuator、Zipkin详细案例; 2、SpringBoot 集成actuator; 3、SpringBoot 集成zipkin、sleuth;
Spring Cloud Gateway 监控、多网关实例路由共享 | Spring Cloud 18
gmHappy
03-11 6219
ActuatorSpring Boot提供的用来对应用系统进行监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。 Actuator的核心是端点Endpoint。 Endpoint可以让我们监视应用程序并与其交互。Spring Boot包含许多内置端点,并允许您添加自己的端点。 我们可以启用或禁用每个端点,启用或禁用端点控制是否创建端点并且其bean存在于应用程序上下文中。 要进行远程访问,还必须通过JMX或HTTP公开端点。大多数端点HTTP访问默认是关闭的。
Spring Cloud GatewayActuator API(执行器API)
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
06-22 1693
/gateway执行器端点允许您监视和与Spring Cloud Gateway应用程序进行交互。为了远程访问,该端点必须在应用程序属性中启用并通过HTTP或JMX公开。
spring系列】Spring Cloud Gateway Actuator
叁滴水 的博客
11-10 4120
Spring Cloud Gateway动态路由 使用Spring Cloud Gateway 需要注意的地方: ​ Spring Cloud Gateway是基于Spring Boot 2.x, Spring WebFlux和Project Reactor 构建的。因此,在使用Spring Cloud Gateway时,许多不熟悉的同步库(例如,Spring Data和Spring Secur...
Spring Cloud Gateway集成Actuator安全漏洞解决方案
白云
04-18 4776
最近线上环境出现一起安全事件,就是由于Spring Cloud Gateway集成Actuator导致被攻击,攻击者通过动态添加路由规则,导致系统出现异常。下面将详细介绍这一事件。Spring Cloud Gateway集成Actuator后可以提供更多的监控和管理功能,但也增加了安全风险。在使用过程中,需要注意限制访问权限和动态路由规则的范围,以避免类似的攻击事件发生。
Spring Cloud Gateway整合actuator监控
m0_67403188的博客
04-08 1880
SpringCloud视频教程: https://ke.qq.com/course/2805647?tuin=a3e3fb1&from_uin=171851697&from=1000201007 个人博客纯净版 http://www.51ufo.cn/%E5%BE%AE%E6%9C%8D%E5%8A%A1/%E5%88%86%E5%B8%83%E5%BC%8F/2020/07/11/SpringCloud%E5%85%A5%E9%97%A824-Spring-Cloud-Gateway%E6
实现基于Spring CloudPrometheus监控与报警系统
微赚淘客系统开发者博客
07-24 671
通过Spring Boot ActuatorPrometheus集成,我们能够方便地收集、存储和可视化应用程序的各项指标,并实现基于指标的报警机制。我们将使用Prometheus作为监控系统,并利用Spring Boot Actuator来暴露应用程序的监控端点。可以查看到暴露的监控指标。同时,确保Prometheus配置中的目标地址正确,以便Prometheus能够定期抓取指标数据。通过Prometheus的告警规则和Alertmanager,可以设置各种报警规则并进行相应的通知。
源码分析之Spring Cloud Gatewayactuator是如何工作的?
evasnowind的专栏
01-22 1025
本文目标 预计介绍如下内容: 在SCG中如何使用actuator? SCG中的actuator能做什么? 在代码层面上,SCG如何实现actuator? 如何基于SCG的actuator进行监控? 1、在SCG中如何使用actuator? 参见 https://docs.spring.io/spring-cloud-gateway/docs/2.2.5.RELEASE/reference/html/#actuator-api 只需要在配置中开启如下配置(以properties配置方式为例,YAML方式属
Spring Cloud Nacos 与 Spring Cloud Gateway 集成教程
kalle2021的博客
04-01 1201
本文全面介绍Spring Cloud Nacos与Spring Cloud Gateway集成。先阐述环境准备与项目创建,接着详细配置Nacos服务发现与配置管理,实现动态路由。还涉及服务调用测试、高级应用、监控日志等内容,并针对常见问题给出解决方案及最佳实践,助力构建高效网关 。
Spring Cloud Gateway 性能优化与监控策略详解
最新发布
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
05-18 1401
Spring Cloud Gateway 的性能优化与监控是保障微服务架构稳定运行的重要环节。通过合理调整线程模型、遵循响应式编程实践、实施资源压缩与缓存策略,可以显著提升网关的性能。同时,借助 Prometheus、Grafana 等工具构建全面的监控体系,结合日志收集与分析,能够及时发现并解决性能问题,确保系统的可靠性和可用性。在实际项目中,应根据业务特点和系统规模,制定个性化的性能优化和监控策略。
SpringCloud使用Prometheus和Grafana进行应用监控
thciwei的博客
12-19 1785
作者Gitee地址 https://gitee.com/thciweicloud 作者项目 面包博客,一个微服务架构的前后端分离博客系统。 面包博客 一直想拥有一套自己的监控装置,并且能够自定义面板,足够直观展示运行情况统计数据 监控状态 在SpringCloud Greenwich版开始推荐使用 micrometer 进行应用监控,之后推出了actuator进行统一的整合,当然从它的子依赖中可以看出micrometer的端倪,那么我们如何在微服务中进行应用的监控呢? 在SpringCloud Gatewa
Spring Cloud Gateway使用说明(7)-- actuator
热门推荐
xgw的专栏
08-16 1万+
15. Actuator API /gatewayactuator端点允许监视Spring Cloud Gateway应用程序并与之交互。要进行远程访问,必须在应用程序属性中暴露HTTP或JMX 端口。 Example 72. application.properties management.endpoint.gateway.enabled=true # default value management.endpoints.web.exposure.include=gateway 15.1. 获取详细
网关 Spring Cloud Gateway 监控 actuator
laker的博客
01-05 9084
全部详细路由信息 查询路由过滤器 全局过滤器 网关路线过滤器 刷新路由缓存 查询网关中定义的路由 查询有关特定路线的信息 创建和删除特定路由 本文Spring Cloud Gateway 版本:2020.0.0 Spring Cloud Gateway添加Spring Boot Actuatorspring-boot-starter-actuator )的依赖,并将 gateway 端点暴露,即可获得若干监控端点,监控 & 操作Spring Cloud Gateway的方方面面。
gateway通过actuator实现动态路由
stone1224的博客
06-25 1282
服务会动态增加,使用actuator的创建路由接口在创建服务的同时动态创建路由。服务接口 http://localhost:8888(8889)/test 通过网关调用:http://localhost:9000/qq-test/test,测试成功,已负载均衡。需要创建两个路由,这里routeId分别为qq-test1、qq-test2,实现负载均衡配置权重为50,过滤器设置StripPrefix=1去掉第一个路径前缀。2. 服务基本信息(编码,地址等)存在数据库中,新增服务之后,需要服务能通过网关转发。
spring cloud gateway网关和链路监控
qq_55648724的博客
02-16 3083
spring cloud组件
Spring Cloud Gateway 和 nacos 实现动态路由和actuator 监控
jsyandxys的博客
03-11 2986
一、业务场景 网关作为所有请求流量的入口,在实际生产环境中为了保证高可靠和高可用,尽量避免重启,需要用到动态路由配置,在网关运行过程中更改路由配置。 例如:因业务需要,新上线一个服务,而网关已对外提供服务,不能重启网关,但需要网关能路由到新服务来支撑新业务; 二、实现方式 方式1:编写动态路由实现类 :自定义实现类,继承路由基类; 方式2:编写监听 nacos 下发路由配置类; 三、优点 1、对路由信息进行统一管理,存储到自己的网关内存中去; 2、有阿里稳定团队维护nacos; 3、避免路由信息存储在red
Spring Cloud Gateway 之动态路由
weixin_42118323的博客
08-23 3478
通过 GatewayControllerEndpoint 和 AbstractGatewayControllerEndpoint 类的源码,我们可以知道 Gateway 提供获取路由信息、过滤器、断言等接口,这里面我们重点关注了的关于路由部分的,也是源码中涉及较多的,这两个类的源码提供了路由的增删改查及刷新的接口。AbstractGatewayControllerEndpoint#refresh 路由刷新功能,逻辑很简单,使用了事件监听的机制,发布了一个路由刷新事件。如有不正确的地方请各位指出纠正。
SpringCloud组件之GateWay
weixin_48276298的博客
10-11 391
SpringCloud路由组件之GateWay入门 一、GateWay由来 SpringCloud全家桶中有一个很重要的组件就是网关,在1.x版本中都采用的时Zuul网关,但是在2.x版本中,Zuul的升级迟迟未到,后来SpringCloud自己研发了一个网管组件替代了Zuul,实际上GateWay就是原来Zuul1.x版本的替代。 二、GateWay介绍 GateWay是在Spring生态系统之上构建的API网关服务,基于Spring5,SpringBoot2和Project Reactor等技术,旨在提
spring cloud gateway prometheus
03-21
### Spring Cloud Gateway 集成 Prometheus监控配置示例 为了实现 Spring Cloud GatewayPrometheus集成,可以按照以下方法完成设置和配置: #### 1. 添加依赖项 在项目的 `pom.xml` 文件中引入必要的依赖项。这些依赖项包括 Spring Boot Actuator 和 Micrometer 支持 Prometheus 的库。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> </dependency> <dependency> <groupId>io.micrometer</groupId> <artifactId>micrometer-core</artifactId> </dependency> <dependency> <groupId>io.micrometer</groupId> <artifactId>micrometer-registry-prometheus</artifactId> </dependency> ``` 上述代码片段展示了如何通过 Maven 构建工具来添加所需的依赖项[^3]。 #### 2. 启用端点暴露 修改 `application.yml` 或 `application.properties` 文件以启用 `/actuator/prometheus` 端点并允许外部访问。 对于 YAML 格式的配置文件,如下所示: ```yaml management: endpoints: web: exposure: include: "prometheus,health" metrics: export: prometheus: enabled: true ``` 此部分配置启用了 Prometheus 数据导出功能以及健康检查接口的公开[^4]。 #### 3. 自定义指标(可选) 如果需要自定义网关特定的行为或路径统计信息,则可以通过创建 Bean 来扩展默认行为。例如,下面是一个简单的计数器例子: ```java import io.micrometer.core.instrument.Counter; import io.micrometer.core.instrument.MeterRegistry; import org.springframework.stereotype.Component; @Component public class CustomMetrics { private final Counter requestCounter; public CustomMetrics(MeterRegistry registry) { this.requestCounter = Counter.builder("custom.requests.total") .description("Total number of custom requests.") .register(registry); } public void increment() { requestCounter.increment(); } } ``` 在此 Java 类中实现了对请求次数进行跟踪的功能[^5]。 #### 4. 测试与验证 启动应用程序后,在浏览器或者命令行工具里打开地址 http://localhost:<port>/actuator/prometheus ,应该能看到类似这样的输出数据: ``` # HELP jvm_memory_used_bytes The amount of used memory # TYPE jvm_memory_used_bytes gauge jvm_memory_used_bytes{area="nonheap",id="CodeHeap 'profiled nmethods'",} 8.70912e+06 ... ``` 这表明已经成功设置了基本的度量标准收集机制[^6]。 --- ###
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值