0

我的 GCE Http(s) 负载平衡器有问题。它没有检测到正确的 X-Client-Geo-Region 等。

因为我们需要为目前 3000 个(每天都在增加)使用 ssls 的自定义域提供服务,所以在没有自定义 ssl 终止的情况下,我找不到另一种构建此基础架构的方法。而且我想使用云盔甲来删除另一个需要维护的东西,否则我会在 nginx 代理上安装 ModSecurity。

入口点A 不工作只显示美国地区。
EntrypointB 按预期工作,检测到正确的区域 (GB)。Ofc 这绕过了 SSL。

                                            EntrypointB
                                                 |
                                                 V
EntrypointA -> SSL Termination Service -> GCE Loadbalancer -> GCE Instance (Http server)
                   (Nginx proxy)                     ^
                                                     |
                                                Cloud Armor

到目前为止,我已经尝试设置我可以在代理中找到的每个标头,但是负载均衡器不查看标头,或者它是我不知道的。

我试过的标题

proxy_set_header X-Forwarded-For    $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP          $remote_addr;
proxy_set_header X-User-IP          $remote_addr;
proxy_set_header X-ProxyUser-Ip     $remote_addr;
proxy_set_header True-Client-IP     $remote_addr;

当我检查服务器上的标头时,它们看起来都正确(不包括地理标头)。Forwarded-For 是正确的,X-Real-IP 是正确的。

4

1 回答 1

0

根据doc GCP HTTP(S) LB,TLS 在世界各地的不同位置结束,以最大限度地减少延迟。因此,拥有地理控制的最佳产品是网络负载均衡器,以终止后端实例上的 TLS。

也许这种方法不适合您的需求,因此您可能想改为探索Cloudflare

于 2020-10-12T20:35:40.563 回答