k8s获取client ip

最新推荐文章于 2025-06-11 23:14:34 发布
最新推荐文章于 2025-06-11 23:14:34 发布
阅读量9.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mailjoin/article/details/79686979
本文探讨了Kubernetes中不同Service类型对客户端源IP的影响,包括ClusterIP、NodePort及LoadBalancer等,并提出了解决方案,如使用NodePort特定配置、INGRESS或HOST网络模式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通常,为了访问kubernetes集群中的pod,我们会使用service的形式。以下,就不同的 service 类型来探讨对source ip的影响。

kubernetes的官网对此也有说明:
https://kubernetes.io/docs/tutorials/services/source-ip/

在此简单总结一下(网络插件使用calico, 其他插件可能有不同,在此不做讨论):

ClusterIP

在创建service 的时候,如果不声明type 字段,则默认为 ClusterIP. 其原理就是利用iptables 对发送到clusterip 的报文进行转发。

[root@walker-1 hehe]# kubectl describe svc nginx
Name:              nginx
Namespace:         default
Labels:            app=nginx
Selector:          app=nginx
Type:              ClusterIP
IP:                10.96.9.42
Port:              <unset>  80/TCP
TargetPort:        80/TCP
Endpoints:         192.168.187.212:80
Session Affinity:  None

如果是ClusterIP, 一般用于集群内pod之间的访问。
1. 如果client和server在同一个node上,那么从server观察到的source ip 为client的真实IP。
2. 如果client和server分别处于node A, node B上,那么从server段观察到source ip的就是 node B的IP(pod外出的流量会被做SNAT)。

NodePort

NodePort 可以认为是构建在 ClusterIP 之上的。如果指定service 类型为NodePort,那么在每个 node 上都会监听同一个端口,并通过iptables对其进行转发。

请求有两种情况:

  • pod不在所请求的node上
toplogy:
          client
             \ ^
              \ \
               v \
   node 1 <--- node 2
    | ^   SNAT
    | |   --->
    v |
 endpoint
  1. 客户端将请求发送到node 2
  2. node 2 根据iptables 中的转发策略,将报文转发至pod所在节点 node 1
  3. node 1 根据本地路由将报文发送给 pod
  4. node 1 将pod的响应报文做SNAT后,发给node 2
  5. node 2 回复给client

(此时pod所见的source ip为node 2的IP)

  • pod在所请求的node上
toplogy:
   client
    | ^   
    | |SNAT 
    v |
   node 1 
    | ^   
    | |   
    v |
  endpoint
  1. 客户端请求node1:nodeport
  2. node 1 根据iptables,通过SNAT 将原地址改为node1 ip, 通过DNAT 将目的地址改为pod ip
  3. node 1 将pod响应报文通过SNAT 返回给客户端

(此时pod所见的source ip 为node 1的IP)

这就很烦了,怎么都获取不到正确的用户ip。好在NodePort模式还提供了{"spec":{"externalTrafficPolicy":"Local"}} 参数

加上以后效果是这样的:

toplogy:
        client
       ^ /   \
      / /     \
     / v       X
   node 1     node 2
    ^ |
    | |
    | v
  endpoint
  1. 客户端请求node1:nodeport
  2. node 1 根据iptables, 通过DNAT将目的地址改为pod ip
  3. node 1 将pod响应报文通过SNAT返回给客户端

(此时pod所见的source ip为client ip)

注:发往node2的报文会被丢弃,因为报文不会再做SNAT,来将client ip替换为node2 ip了。

LoadBalancer

默认也会做SNAT,替换客户端IP。

However, if you’re running on Google Kubernetes Engine/GCE, setting the same service.spec.externalTrafficPolicy field to Local forces nodes without Service endpoints to remove themselves from the list of nodes eligible for loadbalanced traffic by deliberately failing health checks.

Visually:

                      client
                        |
                      lb VIP
                     / ^
                    v /
health check --->   node 1   node 2 <--- health check
        200  <---   ^ |             ---> 500
                    | V
                 endpoint

总结

要让 pod 能正常获取客户端ip大致有如下几种方式:
1. 可以使用 NodePort + {"spec":{"externalTrafficPolicy":"Local"}} 的配置来实现。
2. 还有个解决思路就是利用 INGERSS。INGRESS 本质上是监听物理机端口,然后直接将客户端请求转发至service。可以在INGRESS 请求转发阶段将客户端IP 带到请求头中。
3. pod直接使用 HOST 网络模式。

第三种方式最便捷,但容易造成端口冲突。安全问题也有待考量,因此不推荐。
第二种方式最灵活,即使pod分布在不同node上也可以通过统一入口访问,官方INGRESS是由nginx实现的,这样一来花样就多了(甚至可以做流控,认证功能)。推荐使用。
第一种方式折中吧,因为还没试过当service 的多个endpoint 分布在不同节点上的情况。

K8S POD如何获取客户端IP
fairytalefu的博客
12-08 1269
K8S pod 如何获取客户端IP
k8s 之 service ip
fengcai_ke的博客
07-11 1715
k8s service ip实现分析
k8s ingress获取真实IP地址配置
weixin_34150224的博客
04-20 9148
背景 业务架构:Client->WAF->LB->ECS->容器问题:在容器中获取不到真实的客户端公网IP 抓包分析 1.在ECS上的抓包分析,看到WAF已经将 真实客户端地址放到了 x-Forwarded-For 的字段中传给了ECS2.在容器中抓包,看到一个x-Forwarded-For的字段是错误的对应的IP为WAF的回源地...
k8s系统获取真实客户端ip
weixin_42507440的博客
04-14 3966
k8s部署,系统获取真实客户端ip 我们生产中使用的是kong网关 修改kong的配置 配置要信任的原始IP地址列表,这里配置为全部信任 trusted_ips = 0.0.0.0/0,::/0 yaml文件添加: - name: KONG_TRUSTED_IPS value: 0.0.0.0/0,::/0 - name: KONG_REAL_IP_HEADER value: X-Forwarded-For -
K8S中应用无法获取用户真实ip问题排查
最新发布
bruce128的专栏
06-11 643
摘要:生产环境出现用户IP显示为内部IP(172.30.94.97)的问题。排查发现:1) Nginx日志中remote_addr显示为内部IP,而真实IP存储在http_x_forwarded_for字段;2) Java代码优先读取了错误的X-Real-IP头(nginx配置错误传递了remote_addr);3) 因K8S双层Nginx架构(ingress+业务nginx),remote_addr只能获取上一层节点IP。解决方案是修改nginx配置,将X-Real-IP值从remote_addr改为ht
k8s ingress获取客户端客户端真实IP
高性价比服务器就选:蓝易云
01-15 1121
在Ingress配置中启用代理协议(Proxy Protocol),这可以让负载均衡器在将请求传递给后端服务时,将客户端真实IP作为头部信息传递给后端服务。无论您选择哪种方式,确保在Ingress配置中启用了相应的选项,并根据您的环境进行适当的调整。这将允许您在后端服务中获取到客户端的真实IP地址。
程序在Nginx/k8s下如何获取客户端真实IP,带工具类
u012272367的博客
01-05 4979
程序在Nginx/k8s下如何获取客户端真实IP,带工具类
聊聊部署在K8S的项目如何获取客户端真实IP
kingwinstar的博客
05-31 3475
最近部门有个需求,需要对一些客户端IP做白名单,在白名单范围内,才能做一些业务操作。按我们的部门的一贯做法,我们会封装一个client包,提供给业务方使用。我们的项目是运行在K8S上)本以为这是一个不是很难的功能,部门的小伙伴不到一天,就把功能实现了,他通过本地调试,可以获取到正确的客户端IP,但是发布到测试环境,发现获取到的客户端IP一直是节点的IP,后面那个小伙伴排查了很久,一直没头绪,就找到我帮忙一直排查一下。今天文章主要就是来复盘这个过程。
K8s bridge、ip分配原理
William辰的博客
09-30 1790
K8s bridge、ip分配原理
python开发k8s管理平台_Kubernetes之python client连接k8s API cluster
weixin_39616503的博客
12-18 1603
大家在平时使用k8s可以说用到的最多的命令应该就是kubectl, 这个命令默认会在master上安装并与本地的k8s API cluster绑定token认证, 实现日常k8s的数据交互. 不过问题在于, 如果我们需要远程调用k8s API或者需要实现k8s自动化集成, 仅靠每次远程ssh集成使用kubectl命令这种偷懒的办法是远远不够的.这里k8s官方给我们提供了两种比较主流的连接k8s A...
k8s ingress 添加获取客户端真实ip配置
weixin_42324368的博客
07-27 2547
k8s ,ingress,pod获取客户端ip地址
kubernetes获取客户端真实ip
qing__long的博客
12-09 4707
大部分的业务场景都需要获取客户端的ip来审计或采取措施,文章从nodeport暴露方式获取真实ip到ingress-nginx获取真实ip
kubeneters k8s 集群的ingress获取客户端真实IP地址
bee-factory
06-22 2767
本文基于rancher界面化操作 如果使用k8s方式 执行kubectl -n kube-system edit cm nginx-configuration 添加如下内容 compute-full-forwarded-for: "true" forwarded-for-header: "X-Forwarded-For" use-forwarded-headers: "true" 最后在业务程序获取使用x-Original-Forwarded-For。 ...
client-go 获取 k8s node 节点信息
热门推荐
誓言
06-15 1万+
//获取NODE fmt.Println("####### 获取node ######") nodes, err := clientset.CoreV1().Nodes().List(metav1.ListOptions{}) if err != nil { panic(err) } for _,nds := range nodes.Items { fmt.Printf("NodeName: ...
如何在 Kubernetes 集群中快速获取客户端真实 IP
easylife206的专栏
09-08 1509
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Kubernetes 依靠 kube-proxy 组件实现 Service 的通信与负载均衡。在这个过程中,由于使用了 SNAT 对源地址进行了转换,导致 Pod 中的服务拿不到真实的客户端 IP 地址信息。本篇主要解答了在 Kubernetes 集群中负载如何获取客户端真实 IP 地址这个问题。1. 创建一个后端服...
nginx 多层代理 + k8s ingress 后端服务获取客户真实ip 配置
myy1066883508的博客
09-28 2054
ingress 多层代理获取真实客户端ip
k8s部署的nginx(非ingress)访问日志记录的源地址ip是10.244.0.0
weixin_45912745的博客
07-08 1454
k8s部署的nginx(非ingress)访问日志记录的源地址ip是10.244.0.0
如何在kubernetes集群中获取客户端真实ip地址
企鹅菜鸟的成长过程
10-11 2743
如何在kubernetes集群中使用gin和vue获取客户端真实ip地址
K8S怎么获取config
03-12
<think>好的,我现在需要回答用户关于如何在KubernetesK8S)中获取config文件的问题。首先,用户可能指的是kubeconfig文件,这是用于配置对Kubernetes集群访问权限的关键文件。我需要回顾相关知识,确保步骤准确无误。 首先,用户可能在使用Kubernetes时,需要访问不同的集群,而kubeconfig文件是管理这些连接配置的标准方式。kubeconfig文件通常包含集群的API服务器地址、证书、用户凭据等信息。用户可能想知道如何获取这个文件,比如在新建集群后,或者需要访问已有集群时。 接下来,我需要思考获取kubeconfig的几种常见方法。常见的情况包括: 1. **通过集群创建工具获取**:例如使用kubeadm、minikube、kops等工具部署集群时,这些工具通常会生成kubeconfig文件并提示其位置。 2. **从云服务提供商获取**:比如AWS EKS、Google GKE、Azure AKS等云平台,它们的控制台或CLI提供了获取kubeconfig的方式。 3. **手动生成或合并配置**:用户可能需要将多个集群的配置合并到一个kubeconfig文件中,或者手动创建配置。 4. **从运行中的Pod中获取**:在已经运行的Pod内部,如何获取集群的配置,这可能涉及ServiceAccount的令牌和CA证书。 接下来,我需要详细展开每个方法的具体步骤,确保用户能够理解并操作。例如,对于kubeadm,默认的kubeconfig文件位于/etc/kubernetes/admin.conf,而minikube则通过minikube kubectl -- config view来获取。对于云平台,可能需要使用aws eks update-kubeconfig这样的命令。 同时,要提醒用户权限问题,比如访问kubeconfig通常需要管理员权限,尤其是在生产环境中。另外,安全注意事项也很重要,比如kubeconfig文件包含敏感信息,应妥善保管,避免泄露。 还需要考虑用户可能遇到的问题,例如当集群证书过期或配置文件损坏时如何重新生成,或者如何切换不同的上下文(context)来管理多个集群。这部分可能需要简要提及,但用户当前的问题主要集中在获取config,所以可能需要点到为止。 最后,总结各种方法,并给出一些常见的使用示例,比如如何设置KUBECONFIG环境变量,或者如何使用kubectl config命令来管理多个配置。确保步骤清晰,命令准确,用户能够按照指导一步步操作。 检查是否有遗漏的情况,比如在非标准安装环境中的kubeconfig位置,或者用户可能没有正确安装kubectl工具,是否需要预先安装。不过,用户的问题更关注获取现有配置,可能不需要涉及安装步骤,但可能需要提及前提条件,如安装kubectl。 总结下来,回答的结构应该是先介绍kubeconfig的作用,然后分情况说明不同的获取方式,每个方式给出具体步骤和示例命令,最后总结注意事项和常见操作。这样用户可以根据自己的情况选择适合的方法,并正确执行命令获取所需的配置文件。</think>--- 在 KubernetesK8S)中,`kubeconfig` 文件(通常命名为 `config`)是连接和管理集群的核心配置文件。它包含集群地址、认证信息和上下文等关键参数。以下是获取或生成 `kubeconfig` 的详细方法: --- ### 1️⃣ **默认 kubeconfig 文件位置** - 默认路径:`$HOME/.kube/config` - 查看现有配置: ```bash kubectl config view ``` --- ### 2️⃣ **常见获取方式** #### 📍 **场景 1:通过集群安装工具自动生成** - **kubeadm(自建集群)** 安装后生成的配置文件路径: ```bash # 管理员配置文件(需 root 权限) sudo cat /etc/kubernetes/admin.conf # 普通用户需复制到本地 mkdir -p $HOME/.kube sudo cp /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` - **Minikube(本地开发集群)** ```bash # 直接获取配置 minikube kubectl -- config view > minikube-config # 或导出配置路径 export KUBECONFIG=~/.kube/config:$HOME/.minikube/config ``` --- #### 📍 **场景 2:从云平台获取** - **AWS EKS** 使用 `aws-cli` 生成配置: ```bash aws eks update-kubeconfig --region <region> --name <cluster-name> ``` - **Google GKE** 通过 `gcloud` 生成配置: ```bash gcloud container clusters get-credentials <cluster-name> --region <region> ``` - **Azure AKS** 使用 `az-cli` 获取: ```bash az aks get-credentials --resource-group <RG> --name <cluster-name> ``` --- #### 📍 **场景 3:手动生成 kubeconfig** 若需为已有集群手动创建配置文件,需以下信息: - **集群信息**:API Server 地址、CA 证书 - **用户信息**:客户端证书、密钥或 Token 示例模板(保存为 `config` 文件): ```yaml apiVersion: v1 kind: Config clusters: - name: my-cluster cluster: certificate-authority-data: <base64-encoded-CA> server: https://<API-SERVER-IP>:6443 users: - name: my-user user: client-certificate-data: <base64-encoded-cert> client-key-data: <base64-encoded-key> contexts: - name: my-context context: cluster: my-cluster user: my-user current-context: my-context ``` --- #### 📍 **场景 4:从运行中的 Pod 内获取** 在 Kubernetes Pod 内部,ServiceAccount 的 Token 和 CA 证书会自动挂载: ```bash # 进入 Pod 查看默认配置 cat /var/run/secrets/kubernetes.io/serviceaccount/token # ServiceAccount Token cat /var/run/secrets/kubernetes.io/serviceaccount/ca.crt # CA 证书 ``` --- ### 3️⃣ **合并多个 kubeconfig** 若需管理多集群,可合并配置文件: ```bash # 指定多个配置文件 export KUBECONFIG=~/.kube/config:~/another-config kubectl config view --flatten > merged-config # 切换上下文 kubectl config use-context <context-name> ``` --- ### 4️⃣ **验证配置** ```bash # 检查当前上下文 kubectl config current-context # 测试集群连接 kubectl cluster-info ``` --- ### 5️⃣ **注意事项** - **权限问题**:操作 kubeconfig 通常需要管理员权限。 - **文件安全**:`kubeconfig` 包含敏感信息,需设置权限为 `600`: ```bash chmod 600 ~/.kube/config ``` - **环境变量**:通过 `KUBECONFIG` 变量指定自定义路径: ```bash export KUBECONFIG=/path/to/my-config ``` --- ### ▶️ **总结** 获取 `kubeconfig` 的方式取决于集群的创建和管理方式。云平台通常提供 CLI 工具自动生成,而自建集群需从安装工具或手动配置中获取。合并多集群配置时,注意上下文切换和权限管理。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值