1

我使用以下代码创建了一个 Nginx 入口和服务:

apiVersion: v1
kind: Service
metadata:
  name: myservice
spec:
  type: ClusterIP
  selector:
    name: my-app
  ports:
    - port: 8000
      targetPort: 8000
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: myingress
  annotations:
    kubernetes.io/ingress.class: nginx
  labels:
    name: myingress
spec:
  rules:
  - host: mydomain.com
    http:
      paths:
      - pathType: Prefix
        path: "/"
        backend:
          service:
            name: my-service
            port: 
              number: 8000

安装了 Nginx 入口: helm install ingress-nginx ingress-nginx/ingress-nginx.

我还为 ELB 启用了代理协议。但是在 nginx 日志中,我看不到 X-Forwarded-For 和 X-Real-IP 标头的真实客户端 IP。这是我在应用程序日志中看到的最终标题:

X-Forwarded-For:[192.168.21.145] X-Forwarded-Port:[80] X-Forwarded-Proto:[http] X-Forwarded-Scheme:[http] X-Real-Ip:[192.168.21.145] X-Request-Id:[1bc14871ebc2bfbd9b2b6f31] X-Scheme:[http]

如何获取真正的客户端 IP 而不是入口 pod IP?还有一种方法可以知道 ELB 将哪些标头发送到入口?

4

3 回答 3

5

一种解决方案是使用externalTrafficPolicy:(Local请参阅文档)。

事实上,根据kubernetes documentation

由于此功能的实现,目标容器中看到的源 IP 不是客户端的原始源 IP。... service.spec.externalTrafficPolicy - 表示此服务是否希望将外部流量路由到节点本地或集群范围的端点。有两个可用选项:集群(默认)和本地。集群掩盖了客户端源 IP,可能会导致第二次跳转到另一个节点,但应该具有良好的整体负载分布。Local 保留客户端源 IP 并避免 LoadBalancer 和 NodePort 类型服务的第二跳,但存在潜在的流量传播不平衡的风险。

如果您想遵循此路线,请更新您的nginx ingress controller Service并添加externalTrafficPolicy字段:

apiVersion: v1
kind: Service
metadata:
  name: nginx-ingress-controller
spec:
  ...
  externalTrafficPolicy: Local

一种可能的替代方法是使用代理协议(请参阅文档

于 2021-07-12T12:31:36.457 回答
2

应该在 ConfigMap 中为入口控制器和 ELB 启用代理协议。

L4 使用代理协议

对于 L7 使用use-forwarded-headers

# configmap.yaml
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: nginx-configuration
  namespace: ingress-nginx
  labels:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
data:
  use-forwarded-headers: "true"
  use-proxy-protocol: "true"

https://kubernetes.github.io/ingress-nginx/user-guide/miscellaneous/#proxy-protocol

于 2021-09-15T01:45:51.303 回答
0

只是扩展@strongjz 的答案。

默认情况下,将在 AWS 中为服务类型创建的负载均衡器将LoadBalancer是经典负载均衡器,在第 4 层上运行,即在 TCP 协议级别进行代理。

对于这种情况,保留真实 IP 的最佳方法是使用代理协议,因为它能够在 TCP 级别执行此操作。

为此,您应该在负载均衡器和 Nginx-ingress 上启用代理协议。

这些值应该适用于 nginx-ingress 的 Helm 安装:

  controller:
    service:
      annotations:
        service.beta.kubernetes.io/aws-load-balancer-proxy-protocol: "*"
    config:
      use-proxy-protocol: "true"
      real-ip-header: "proxy_protocol"

service.beta.kubernetes.io/aws-load-balancer-proxy-protocol: "*"注释将告诉您aws-load-balancer-controller创建启用代理协议的 LoadBalancer。我不确定如果将它添加到预先存在的 Ingress-nginx 会发生什么,但它也应该可以工作。

use-proxy-protocolreal-ip-header是传递给 Nginx 的选项,也可以在那里启用代理协议。

参考:

于 2021-10-08T20:14:43.727 回答