k8s ingress配置客户端IP

已于 2023-09-06 09:58:21 修改
阅读量925 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: k8s 文章标签: kubernetes tcp/ip 容器
于 2023-09-05 16:09:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leafcat7/article/details/132694198
本文介绍了如何在Rancher2.6中的k8singress配置中启用`X-Forwarded-For`追踪,并展示了如何在SpringBoot应用中通过`X-Forwarded-For`获取客户端的真实IP,即使在有多个代理服务器的情况下。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

k8s ingress配置客户端IP

概述

“X-Forwarded-For”(缩写为XFF)是一种HTTP请求头字段,通常由代理服务器或反向代理服务器添加到HTTP请求中,用于跟踪请求经过的代理链和传递客户端的真实IP地址。

例如:

X-Forwarded-For: clientIP, proxy1IP, proxy2IP

配置ingress的configMap

在rancher(2.6)的页面 /storages/configMaps菜单,找到ingress的configMap,设置以下三个属性 (k8s ingress官方说明

apiVersion: v1
data:
  compute-full-forwarded-for: "true"
  forwarded-for-header: X-Forwarded-For
  use-forwarded-headers: "true"

kind: ConfigMap
...

rancher图
在这里插入图片描述

测试链路
postman
k8s ingress
springCloud gateway
springboot app
  • gateway 不需要改造也能转发 “X-Forwarded-For”
  • 通过百度可以查自己的外网IP 百度查IP地址

java 测试

	@PostMapping("/test")
    public Map<String,String> test(HttpServletRequest request){
        Map<String,String> map = new HashMap<>();
        // 取 X-Forwarded-For 的第一个 IP 就是客户端IP
        map.put("ip列表",request.getHeader("X-Forwarded-For"));
        return map;
    }

获取客户端IP工具

public class WebUtils {
    static final String UN_KNOW = "unknown";

    /**
     * 获取客户端IP
     * @return
     */
    public static String getClientIp(){
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        Assert.notNull(attributes, "attributes is null");
        HttpServletRequest request = attributes.getRequest();

        return getClientIp(request);
    }

    /**
     * 获取客户端IP
     * @param request
     * @return
     */
    public static String getClientIp(HttpServletRequest request) {
        String ip = request.getHeader("X-Forwarded-For");

        if(StringUtils.hasText(ip) && !UN_KNOW.equalsIgnoreCase(ip)){
            //多次反向代理后会有多个ip值,第一个ip才是真实ip
            int index = ip.indexOf(",");
            if(index != -1){
                return ip.substring(0,index);
            }else{
                return ip;
            }
        }

        ip = request.getHeader("X-Real-IP");
        if(StringUtils.hasText(ip) && !UN_KNOW.equalsIgnoreCase(ip)){
            return ip;
        }

        return request.getRemoteAddr();
    }
【springboot过ingress后无法获取X-Forwarded-For头信息】
Chanal_sogaad的博客
09-11 1298
项目使用spring boot 2.7.18,线上环境出现取不到X-Forwarded-For头的问题,本地和测试环境都正常。本地是直接调用,测试环境是nginx转发,线上是k8s并且过了ingress.
K8s-Ingress高可用IP透传方案
Jerry_Pan1990的博客
11-06 5054
简介: k8s暴露服务的方式有以下几种: Proxy + clusterIP NodePort LoadBalancer Ingress Proxy + ClusterIP 自定义代理 + 集群内存IP 有一些场景下,你得使用 Kubernetes 的 proxy 模式来访问你的服务: • 由于某些原因,你需要调试你的服务,或者需要直接通过笔记本电脑去访问...
K8S下http请求在ingress和nginx间无限循环的问题
最新发布
bruce128的专栏
06-23 430
摘要 某接口UAT发布后持续报400错误,排查发现是Nginx与Ingress Controller形成无限循环导致。问题源于Nginx配置中proxy_set_header Host $http_host将请求头Host设置为当前域名,使Ingress将请求又转回原Nginx,循环过程中X-Forwarded-For不断增长直至超过Header限制。解决方案是移除该配置。在K8S环境中,内部服务通信应使用Service而非外部域名,避免此类循环问题。
k8s ingress获取客户端客户端真实IP
高性价比服务器就选:蓝易云
01-15 1119
Ingress配置中启用代理协议(Proxy Protocol),这可以让负载均衡器在将请求传递给后端服务时,将客户端真实IP作为头部信息传递给后端服务。无论您选择哪种方式,确保在Ingress配置中启用了相应的选项,并根据您的环境进行适当的调整。这将允许您在后端服务中获取到客户端的真实IP地址。
Ingress使用IP访问(高可用)
weixin_42562106的博客
05-20 5631
首先server已经是LoadBalancer 或者直接使用静态IP apiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/component: controller app.kubernetes.io/instance: ingress-nginx app.kubernetes.io/name: ingress-nginx app.kubernetes.io/part-of: ingress-
Ingress L7透传客户端IP
qq_41443616的博客
07-20 329
nginx-ingress L7 透传客户端IP
k8s ingress获取真实IP地址配置
weixin_34150224的博客
04-20 9145
背景 业务架构:Client->WAF->LB->ECS->容器问题:在容器中获取不到真实的客户端公网IP 抓包分析 1.在ECS上的抓包分析,看到WAF已经将 真实客户端地址放到了 x-Forwarded-For 的字段中传给了ECS2.在容器中抓包,看到一个x-Forwarded-For的字段是错误的对应的IP为WAF的回源地...
K8S Ingress 常用配置
小五
08-08 2253
本次所有操作都是在K8S 1.26.14 上面操作,太老的版本不知道会不会有问题。更多 Ingress 配置请查看ingress-nginx 官网定义服务托管页面后段程序(为了演示使用 nginx 部署)。部署自定义页面 配置文件。
[Kubernetes]9. K8s ingress讲解借助ingress配置http,https访问k8s集群应用
zhoupenghui168的博客
01-11 1578
K8s ingress借助ingress配置http,https访问k8s集群应用,怎么配置ssl证书,域名解析操作
java四层协议转发,Haproxy四层TCP转发到kubesphere k8s ingress获取真实客户端IP
weixin_28811757的博客
03-15 1698
1、需求背景java后端业务需要获取到真实客户端访问的IP地址,整个业务流程如下:Haproxy(四层负载转发)--->Ingress服务--->后端JAVA应用2、Haproxy(TCP四层)获取真实IPhaproxy配置修改,需要在转发server那一行 最后面配置 send-proxy注意:配置修改完成后先不要重启,等ingress开启proxy_protocol协议后再重启,否...
k8s 对外服务之ingress
热门推荐
yrx420909的博客
04-24 5万+
1. ingress概述 k8s 对外暴露服务(service)主要有两种方式:NotePort, LoadBalance, 此外externalIPs也可以使各类service对外提供服务,但是当集群服务很多的时候,NodePort方式最大的缺点是会占用很多集群机器的端口;LB方式最大的缺点则是每个service一个LB又有点浪费和麻烦,并且需要k8s之外的支持; 而ingress则只需要一个N...
k8s指南-Ingress
xiaoyi52的专栏
12-12 5873
通常情况下,service和pod仅可在集群内部网络中通过ip地址访问。如果想从集群外部访问集群内部,则必须要有Ingress
k8s实现nginx-ingress通过统一IP访问服务无缝对接生产上游Nginx
富强说
05-25 1万+
k8s实现nginx-ingress通过统一IP访问服务无缝对接生产上游Nginx
K8S对外服务之Ingress
mcl914的博客
03-04 786
一、Ingress 简介 service的作用体现在两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint(端点)中对应pod的对象,提供了ip不断变化的pod的服务发现机制;对集群外部,他类似负载均衡器,可以在集群内外部对pod进行访问。 在Kubernetes中,Pod的IP地址和service的ClusterIP仅可以在集群网络内部使用,对于集群外的应用是不可见的。为了使外部的...
k8s配置ingress访问集群外部资源
w2909526的博客
09-12 676
endpoint是k8s集群中的一个资源对象,存储在etcd中,用来记录一个service对应的所有pod的访问地址。service配置selector,endpoint controller才会自动创建对应的endpoint对象;否则,不会生成endpoint对象.创建完成后在使用ingress配置域名或者ip就可以访问了,也可以直接使用nodeport访问。使用ingress访问外部资源,首先需要创建service指向我们需要访问的资源。以下是endpoint和对应service的yaml文件。
kubernetesk8s)部署微服务并通过ingress实现外部访问
liaomingwu的专栏
04-16 7589
kubernetesk8s)部署微服务并通过ingress实现外部访问
service + endpoints + ingress实现内部ip:port服务对外访问
windfbi
07-18 618
k8s集群中,需要访问集群外部的一些服务且服务是ip:port形式暴露的,可以使用类型为ClusterIPKubernetes Service和Endpoint实现对外部服务的访问。比如我们有一个web服务:http://192.168.32.10:8080。可通过如下配置,实现外部域名安全访问。
k8s ingress ip白名单
01-10
### Kubernetes Ingress 中设置 IP 白名单 为了限制仅允许特定 IP 地址访问部署在 Kubernetes 上的应用程序,可以通过配置 Nginx Ingress Controller 的 `annotations` 来实现这一目标。具体来说,在定义 Ingress 资源时加入 `nginx.ingress.kubernetes.io/whitelist-source-range` 注解来指定允许的 CIDR 块列表[^3]。 下面是一个具体的例子: ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: ingress-with-ip-whitelist namespace: default annotations: kubernetes.io/ingress.class: "nginx" nginx.ingress.kubernetes.io/whitelist-source-range: "192.168.1.0/24,10.0.0.0/8" # 允许来自这些子网内的请求 spec: rules: - host: example.com http: paths: - pathType: Prefix path: "/" backend: service: name: web-service port: number: 80 ``` 上述 YAML 文件创建了一个名为 `ingress-with-ip-whitelist` 的 Ingress 对象,并设置了两个被允许访问此服务的 IP 子网范围:`192.168.1.0/24` 和 `10.0.0.0/8`。任何不在这个范围内发起的 HTTP 请求都将被拒绝并返回 403 Forbidden 错误响应给客户端。 此外,如果希望支持多层反向代理环境下的真实访客地址识别,则可以在同一 Ingress 定义中增加如下几个注释项以确保正确处理 XFF 头部信息[^4]: ```yaml ... annotations: ... nginx.ingress.kubernetes.io/compute-full-forwarded-for: "true" nginx.ingress.kubernetes.io/forwarded-for-header: "X-Forwarded-For" nginx.ingress.kubernetes.io/use-forwarded-headers: "true" ... ``` 这样做的目的是让 NGINX 正确解析经过多个代理转发后的原始客户端 IP 地址,从而使得基于 IP 的访问控制策略能够有效工作于复杂的网络架构之中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乘茶蛙泳

just 4 fun

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值