ingress nginx传递用户真实ip问题

最新推荐文章于 2025-06-02 09:01:37 发布
最新推荐文章于 2025-06-02 09:01:37 发布
阅读量8k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 容器化技术笔记 kubernetes 文章标签: nginx ingress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/felix_yujing/article/details/106616962

背景

业务应用经常有需要用到用户真实ip的场景,比如:异地登录的风险预警、访问用户分布统计等功能等。当有这种需求的时候,在业务上容器过程中,如果用到ingress就要注意配置了。通常,用户ip的传递依靠的是X-Forwarded-*参数。但是默认情况下,ingress是没有开启的。

ingress的文档还比较详细,这里介绍一下可能用到的这3个参数:
在这里插入图片描述

注:在文档顶栏的搜索框搜索forward字样就可以找到这3个参数

1. use-forwarded-headers

  • 如果Nginx在其他7层代理或负载均衡后面,当期望Nginx将X-Forwarded-*的头信息传递给后端服务时,则需要将此参数设为true
  • 如果设为false(默认为false),Nginx会忽略掉X-Forwarded-*的头信息。false设置适用于Nginx直接对外或前面只有3层负载均衡的场景

由于ingress的主配置是从configmap中获取的,更新参数则需要修改名为nginx-configuration的configmap的配置:在data配置块下添加use-forwarded-headers: "true"

修改后,ingress nginx会自动加载更新nginx.conf主配置文件。下图为更新前后配置文件变化对比:
在这里插入图片描述

注:左边为开启use-forwarded-headers后ingress nginx主配置文件,右边为开启前

2. forwarded-for-header

用来设置识别客户端来源真实ip的字段,默认是X-Forwarded-For。如果想修改为自定义的字段名,则可以在configmap的data配置块下添加:forwarded-for-header: "THE_NAME_YOU_WANT"。通常情况下,我们使用默认的字段名就满足需求,所以不用对这个字段进行额外配置。

3. compute-full-forwarded-for

如果只是开启了use-forwarded-headers: "true"的话,会发现还是没能获取到客户端来源的真实ip,原因是当前X-Forwarded-For变量是从remote_addr获取的值,每次取到的都是最近一层代理的ip。为了解决这个问题,就要配置compute-full-forwarded-for字段了,即在configmap的data配置块添加:compute-full-forwarded-for: "true"。其作用就是,将客户端用户访问所经过的代理ip按逗号连接的列表形式记录下来。

待ingress nginx加载configmap并更新主配置文件后,对比更新前后变化如下:
在这里插入图片描述
在这里插入图片描述

注:左边是未开启compute-full-forwarded-for配置的ingress nginx主配置文件,右边是开启了的

举例说明

如果从客户端ip0发起一个HTTP请求到达服务器之前,经过了三个代理proxy1、proxy2、proxy3,对应的ip分别为ip1、ip2、ip3,那么服务端最后得到的X-Forwarded-For值为:ip0,ip1,ip2。列表中并没有ip3,ip3可以在服务端通过remote_addr来获得。这样应用程序通过获取X-Forwarded-For字段的第一个ip,就可以得到客户端用户真实ip了。

注意项

值得注意的是,并不是所有的场景都能通过X-Forwarded-For来获取用户正式ip。
比如,当服务器前端使用了CDN的时候,X-Forwarded-For方式获取到的可能就是CDN的来源ip了,
这种情况,可以根CDN厂商约定一个字段名来记录用户真实ip,然后代理将这个字段逐层传递,最后到服务端。

Rancher - 获取nginx-ingress客户端真实IP的配置编程
CyberGenius的博客
09-09 545
在这种情况下,默认情况下我们只能获取到负载均衡器的IP地址,而无法获取到真实的客户端IP地址。通过上述步骤,我们成功配置了nginx-ingress以获取客户端的真实IP地址。完成上述步骤后,我们的nginx-ingress就已经配置好了以获取客户端的真实IP地址。在下面的示例中,我们将展示如何在Rancher平台上配置nginx-ingress以获取客户端的真实IP地址。接下来,我们需要更新nginx-ingress的Deployment,以使用我们刚刚创建的ConfigMap。
Rancher学习指南:使用Nginx Ingress获取真实IP的配置和编程
PixelEnigma的博客
08-16 621
Nginx Ingress是一个强大的反向代理和负载均衡器,它可以将流量转发到不同的后端服务。总结起来,通过本文的介绍,我们了解了如何在Rancher和Nginx Ingress中配置并获取客户端的真实IP地址。通过执行以上步骤,我们已经成功地配置了Rancher和Nginx Ingress以获取客户端真实IP地址。在许多情况下,我们希望能够获取到真实的客户端IP地址,而不是代理服务器的IP地址。在本文中,我们将深入探讨如何使用Rancher和Nginx Ingress来获取客户端的真实IP地址。
Kubernetes Ingress-Nginx 使用中的杂项配置详解
最新发布
gitblog_00675的博客
06-02 413
Kubernetes Ingress-Nginx 使用中的杂项配置详解 概述 本文将深入探讨 Kubernetes Ingress-Nginx 控制器在实际使用中的一些重要配置项和注意事项,帮助用户更好地理解和优化其 Ingress 配置。 客户端真实 IP 地址处理 在 Kubernetes 环境中,正确处理客户端真实 IP 地址对于日志记录、访问控制等场景至关重要。Ingress-Nginx ...
k8s ingress获取客户端客户端真实IP
高性价比服务器就选:蓝易云
01-15 1123
Ingress配置中启用代理协议(Proxy Protocol),这可以让负载均衡器在将请求传递给后端服务时,将客户端真实IP作为头部信息传递给后端服务。无论您选择哪种方式,确保在Ingress配置中启用了相应的选项,并根据您的环境进行适当的调整。这将允许您在后端服务中获取到客户端的真实IP地址。
nginx-ingress设置日志格式-配置转发真实ip-超时参数配置-会话保持参数
qq_43076479的博客
01-13 3895
nginx-ingress设置日志格式-配置转发真实ip 参考官方文档 https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/log-format/ 修改configmap配置文件 apiVersion: v1 data: compute-full-forwarded-for: "true" forwarded-for-header: X-Forwarded-For log-format-upstrea
Kubernetes中Ingress-nginx如何获取真实客户端地址?
WeiyiGeek 唯一极客IT知识分享
05-23 1435
描述: 最近将部分业务通过Ingress进行发布管理, 从而实现应用灰蓝发布、金丝雀发布,更贴近当下自动化运维技术的发展,并为了进行实现七层自定义负载转发, 将不同应用程序配置到指定业务域名下不同的目录,并减少业务管理复杂化,同时节约域名资源,即多个业务可以通过一个域名出去提供服务。但是在实际环境中却发现一个小问题,在通过ingress-nginx访问后端应用时,无法无法...
速盾:Nginx使用CDN之后获取真实用户IP
zhuguowang01的博客
08-31 858
在默认情况下,Nginx获取到的是CDN服务器的IP地址,而不是用户真实IP。总结起来,通过配置Nginx解析CDN服务器传递的请求头,我们可以获取到真实用户IP地址。需要注意的是,由于CDN提供商可能会有不同的配置方式,以上的配置可能会因CDN提供商而异。因此,在具体配置之前,我们建议查看CDN提供商的文档或进行咨询,以确保正确配置获取真实用户IP。其中,CDN服务器IP是CDN提供商告知的CDN服务器IP地址,CDN服务器请求头是CDN提供商告知的CDN服务器请求头。
nginx-ingress 日志持久化
03-29
总结来说,有效地管理Nginx Ingress Controller的日志对于监控Kubernetes集群的健康状况、调试问题以及合规性要求至关重要。通过持久化日志、自定义日志格式和定期清理,你可以确保日志数据既具有实用性又易于管理。...
k8s 集群 Ingress Nginx传递用户真实IP问题
LoveSummer
12-29 7889
业务应用经常有需要用到用户真实ip的场景,比如:异地登录的风险预警、访问用户分布统计等功能等。当有这种需求的时候,在业务上容器过程中,如果用到ingress就要注意配置了。通常,用户ip传递依靠的是X-Forwarded-*参数。但是默认情况下,ingress是没有开启的。 Ingress 文档 https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration 还比较详细 修改 Config Map(ingress-ngin
Nginx Ingress Controller 传递真实请求IP
taste_qh的博客
04-11 211
Nginx Ingress Controller 传递真实请求IP
Ingress获取真实IP
Qinng的博客
06-05 7081
一般情况下,经过ingress的请求会携带headerX-Real-IP用户可根据header解析出真实访问IP。 特殊情况,用户请求可能经过多个nginx才达到ingress, 通过上述方法得到的并不是用户真实IP。 request->nginx->…->ingress->backend 方案1 use-forwarded-headers nginx-ingress官方的建议是开启use-forwarded-headers, 配置如下: kind: ConfigMap ap
Nginx转发真实IP
chengmin123456789的博客
02-29 873
1、修改nginx nginx .cofig 文件。2、java 程序里获取。
第13关 解决K8s中Ingress Nginx控制器无法获取真实客户端IP问题
博哥爱运维
11-25 5116
这节课带大家探索并分享最全面的解决在使用Kubernetes(K8s)和Ingress-Nginx-Controller中无法获取客户端真实IP问题的视频教程,帮助你快速理解并解决这一问题
[kubernetes]-kubernetes通过ingress转发本机ip+80
爷来辣的博客
05-08 1540
导语:一直没使用过ingressip。即类似nginx里面localhost的功能,甚至一度怀疑ingress只能转发域名不能转发本机ip的请求。记录一下,避免后面忘了。 创建一个ingressClassName apiVersion: networking.k8s.io/v1 kind: IngressClass metadata: labels: app.kubernetes.io/component: controller name: nginx-example namespac
Ingress使用IP访问(高可用)
weixin_42562106的博客
05-20 5635
首先server已经是LoadBalancer 或者直接使用静态IP apiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/component: controller app.kubernetes.io/instance: ingress-nginx app.kubernetes.io/name: ingress-nginx app.kubernetes.io/part-of: ingress-
k8s ingress配置客户端IP
乘茶蛙泳的博客
09-05 927
k8s ingress 客户端IP
多端口服务的Ingress IP-hash问题
Qinng的博客
04-25 5389
背景 业务反馈使用Ingressip-hash, 同一个服务开启了http和websocket分别是两个端口, 但是配置ip-hash后, 同一个client的请求http和websocket不在同一个后端. 探究 根据业务Ingress配置,配置如下实例: apiVersion: extensions/v1beta1 kind: Ingress metadata: annotations:...
Ingress-Nginx配置
03-20
### 关于 Ingress-Nginx 的配置方法 #### 1. 部署 Ingress-Nginx 控制器 为了使 Ingress 功能正常工作,首先需要部署一个 Ingress 控制器。常见的控制器实现之一是 `ingress-nginx`[^3]。可以通过官方文档中的 YAML 文件完成其部署过程[^4]。 以下是典型的部署命令: ```bash kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.1.1/deploy/static/provider/cloud/deploy.yaml ``` 此操作会启动 `ingress-nginx-controller` 并将其注册到集群中作为服务的一部分。 --- #### 2. 修改 Service 类型为 NodePort 或 LoadBalancer 默认情况下,`ingress-nginx` 使用的是 ClusterIP 类型的服务。如果希望外部能够访问该服务,则需将 Service 类型更改为 `NodePort` 或 `LoadBalancer`: 编辑对应的 Service 对象并设置 `.spec.type=NodePort` 或者通过以下方式修改端口号: ```yaml apiVersion: v1 kind: Service metadata: name: ingress-nginx-controller namespace: ingress-nginx spec: type: NodePort ports: - port: 80 targetPort: 80 nodePort: 30080 ``` 上述配置将 HTTP 流量映射至节点上的端口 `30080`。 --- #### 3. 编写 Ingress 资源定义 一旦控制器成功运行,可以创建自定义的 Ingress 资源来管理流量路由规则。下面是一个简单的示例: ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress annotations: nginx.ingress.kubernetes.io/rewrite-target: / spec: rules: - host: example.com http: paths: - path: / pathType: Prefix backend: service: name: my-service port: number: 80 ``` 在此例子中,所有发往 `example.com` 主机名下的请求都会被转发给名为 `my-service` 的 Kubernetes 服务,并且路径会被重写为目标根目录 `/`。 --- #### 4. 处理常见问题 当遇到某些特定错误时(如 `413 Request Entity Too Large`),可通过调整 Nginx 参数解决。例如,在 Ingress 资源上添加如下注解即可增加上传文件大小限制: ```yaml annotations: nginx.ingress.kubernetes.io/proxy-body-size: "50m" ``` 对于 SSL/TLS 相关异常情况,可参考 Rancher 文档中的解决方案[^5]。具体来说,有时需要初始化容器以修复证书权限问题。这涉及向 `Deployment` 添加额外字段用于执行脚本逻辑。 --- #### 5. 实践案例分析 假设存在两个微服务分别监听不同 URL 子路径,那么完整的 Ingress 定义可能是这样的形式: ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: multi-path-example annotations: nginx.ingress.kubernetes.io/rewrite-target: /$2 spec: rules: - host: app.example.org http: paths: - path: /serviceA(/|$)(.*) pathType: ImplementationSpecific backend: service: name: service-a port: number: 80 - path: /serviceB(/|$)(.*) pathType: ImplementationSpecific backend: service: name: service-b port: number: 80 ``` 这里利用正则表达式匹配子路径并将剩余部分传递给目标服务处理。 --- ### 总结 以上展示了从基础安装到高级功能定制的一系列步骤,涵盖了如何正确配置 `ingress-nginx` 及其关联资源的方法[^4]。实际项目开发过程中可根据需求灵活扩展这些方案。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值