Spring Boot Actuator通过Nginx配置限制外部访问

Spring Boot提供的Actuator，方便开发监控和管理应用程序，但也会暴露一些敏感信息，引发安全问题。

所以很多人在运行Spring Boot项目时，会关掉Actuator的端点，方法很简单，这样配置：

management:
  endpoints:
    web:
      exposure:
        include: health,beans
        exclude: info
 

其中include是指要包含进来的端点，可以写多个，用逗号隔开。exclude是指要排除掉的不能包含进来的端点。此时，通过http://ip:port/actuator/health返回的数据，能看到服务器是否在运行。

如果想包含所有，就给include配置*

management:
  endpoints:
    web:
      exposure:
        include: *
 

但要注意，端点返回的数据可能暴露服务器的敏感信息，这些只能从内部网络访问，建议对外屏蔽。如果想屏蔽所有，就为exluce配置*，但自己想使用时也不方便。

management:
  endpoints:
    web:
      exposure:
        exclude: *
 

k8s在做健康检查时，经常通过http get的方式调用pod中的服务接口，判断服务是否正常。

    livenessProbe:
      httpGet:
        path: /actuator/health
        port: 80
        scheme: HTTP

你可以修改路径，让别人猜不到，但这样始终还是不安全。

如果对外暴露的服务是通过Nginx做反向代理的，可以在Nginx配置文件中加上对路径/actuator/的访问限制，如：

 
    location / {
        proxy_set_header            Host $host;
        proxy_set_header            X-real-ip $remote_addr;
        proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_connect_timeout 500s;
        proxy_read_timeout 500s;
        proxy_send_timeout 500s;
 
        # 只要路径中有/actuator，就不允许外部请求
        location ~ .*\/actuator.* {
          #deny all; # 这样配置返回403
          return 404; # 这样配置返回404
        }
        proxy_pass http://172.15.33.12:30001/;
    }