阿里云slb 7层代理ingress获取真实客户端ip的方法

最新推荐文章于 2025-06-28 17:19:24 发布
最新推荐文章于 2025-06-28 17:19:24 发布
阅读量4.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: linux运维 自动化运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_22543991/article/details/88977443
本文介绍如何在Kubernetes中通过Ingress Nginx正确配置以获取客户端的真实IP地址,特别是当使用负载均衡器时,解决由于代理层导致的真实IP丢失问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

起因:ingress 设置ip白名单之后,发现白名单里的ip 403拒绝,后续通过追踪ingress的日志发现 真实的ip 是slb的保留ip 也就是上层代理的ip。这样是无法获取到真实用户的ip的。

nginx里的解决方案:

使用X-Forwarded-For的方式获取客户端的真实IP地址。

需要添加的配置字段和信息为:

set_real_ip_from IP_address

real_ip_header X-Forwarded-For;

ingress-nginx的配置方法如下:

kubectl edit cm nginx-configuration -n kube-system

新增:

http-snippet: |
set_real_ip_from 100.121.0.0/16;
real_ip_header X-Forwarded-For;

 

100.121.0.0 为slb的保留地址,每个slb的保留地址是不一样的,只要针对自己的slb保留地址做配置就好了。使用七层负载均衡默认情况下real_ip获取到的是slb的保留地址如以下日志:

{ "real_ip" : "100.121.134.220" ,"time": "2019-04-02T16:41:43+08:00", "remote_addr": "", "x-forward-for": "183.129.243.163, 100.121.134.220", "request_id": "3d55a0d610116e249d6fda1b4746d9b0", "remote_user": "-", "bytes_sent": 785, "request_time": 0.065, "status": 200, "vhost": "presboss.qjdchina.com", "request_proto": "HTTP/1.1", "path": "/clms/boss/accountbank/list", "request_query": "parentId=0", "request_length": 755, "duration": 0.065, "method": "GET", "http_referrer": "https://presboss.qjdchina.com/clms/boss/customerFlow/detail?taskId=1870002&processId=1867328", "http_user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" }

 

 

 

 

  • set_real_ip_from:真实服务器上一级代理的IP地址或者IP段,可以写多行
  • real_ip_header:从哪个header头检索出要的IP地址
  • real_ip_recursive:递归排除IP地址,ip串从右到左开始排除set_real_ip_from里面出现的IP,如果出现了未出现这些ip段的IP,那么这个IP将被认为是用户的IP。
    • 在real_ip_recursive on的情况下
      • 61.22.22.22,121.207.33.33,192.168.50.121都出现在set_real_ip_from中,仅仅120.22.11.11没出现,那么他就被认为是用户的ip地址,并且赋值到remote_addr变量
    • 在real_ip_recursive off或者不设置的情况下

      • 192.168.50.121出现在set_real_ip_from中,排除掉,接下来的ip地址便认为是用 户的 ip地址

    • 例如我上面的例子:
      • ​​​​​​183.129.243.163, 100.121.134.220 排除100.121.0.0/16网段的ip 剩下的183.129.243.163就是客户端的ip

》 注意

如果以上设置无法获取真实ip 那么需要检查下ingress svc的类型

这里我们要讲一下私有化案例:

场景在不使用阿里云的slb的前提

之前我一直以为ingress 只需要配置以上配置就可以获取到真实ip 不管那个场景,但是实际上不是的。以上成功案例是在loadblance模式下实现的。

那为什么loadblance可以nodeport 和 cluster就不可以呢?

这里我们来讲一下iptables svc的配置ExternalTrafficPolicy=Cluster

下这几种的区别

首先cluster模式从群集内发送到 ClusterIP 的数据包永远不会来自 DNAT,我们知道不经过dnat转换的ip是不可能出现在x-forward-for里的,所以你只能获取pod的IP

其次nodeport模式 nodeport模式实际就是snat,这里我们要了解到转换和转发的区别,转换是直接将源地址转换成目标地址,所以源地址将不会出现在ingress的x-forward-for里

为了避免这种情况,kubernetes可以修改ExternalTrafficPolicy为local(会将请求代理到本地端点,不将流量转发到其他节点,从而保留原始IP地址。如果没有本地端点,则丢弃发送到节点的数据包,因此您可以在任何数据包处理规则中依赖正确的客户端IP)

接着是loadblance,默认情况下,发送到具有 Type = LoadBalancer 的服务的数据包来源是 DNAT,因为该 Ready 状态中的所有可调度 Kubernetes 节点都能获得负载平衡流量。因此,如果数据包到达没有 endpoint 的 Node ,系统会将其代理到具有 endpoint 的 Node ,用这个 Node 的IP替换数据包上的源IP

 

 

 

 

 

 

 

阿里云SLB之:基于URL调度场景的SLB负载均衡配置(十三)
江晓龙的博客
11-08 4385
在实际应用中,我们有很多的情况希望访问主域名下某个url能够跳转到另一个应用程序提供的服务,比如访问kodcloud.jiangxl.com.cn/edu这个url路径就能跳转到edu程序提供的服务,访问kodcloud.jiangxl.com.cn/blog就可以跳转到blog程序提供的服务,下面我们一起来实现它。域名使用主项目的域名kodcloud.jiangxl.com.cn—>URl填写/edu—>虚拟服务器组选择edu-app—>备注就填写访问/edu跳转到edu程序—>点击添加转发策略。
阿里云ACK部署waf将客户端真实IP传递给后台服务
云深海阔专栏
06-14 771
将服务部署在K8s上,K8s会将真实客户端IP记录在X-Original-Forwarded-For字段中,并将WAF回源地址记录在X-Forwarded-For字段中。您需要修改容器的配置文件,使Ingress真实IP添加到X-Forwarded-For字段中,以便您正常获取真实客户端IP地址。
使用LVS或者阿里云SLB后如何获取访客真实IP地址
weixin_34054866的博客
06-12 754
阿里云服务器使用SLB后如何获取真实IP(使用LVS等负载均衡方案之后如何获取真实IP)使用7负载均衡之后最终realserver的访问都是由proxy发起的,所以日志中记录的访问IP都是proxy的IP,这时候如果想获取真实IP阿里云官方提供了使用 http_realip_module或者mod_rpaf来获取真实IP(这种办法除了可以获取IP记录到日志中,还可以禁止...
阿里云SLB(负载均衡)获取真实ip地址, log_format配置
weixin_34138139的博客
05-25 2940
nginx.conf配置文件 #vim /usr/local/nginx/conf/nginx.conf log_format access '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_...
阿里云slb负载均衡后nginx转发获取客户端真实ip
博客
11-04 4298
前提 使用阿里云slb进行配置nginx,Nginx配置iphash策略,导致服务端无法获取用户的真实ip无法有效的分配客户端链接。 解决方案 1.阿里云提供的解决方案 保留客户端真实源地址(七监听) 2.调整Nginx a.确认 http_realip_module 模块已安装。Nginx作为负载均衡获取真实IP是使用http_realip_module模块。 b.修改Nginx对应server的配置。 在location / {}中添加以下内容 set_real_ip_from ip_range1
Apache前端使用SLB 7转发,获取客户端真实IP方法
weixin_34117522的博客
09-20 768
Apache 前端使用负载均衡SLB 7(http/https)转发,Apache如何获取客户端真实IP? 答案是通过HTTP头中的X-Forwarded-For 进行获取SLB相当于一个代理,在转发HTTP请求时,会把客户端真实IP地址,加入到 X-Forwarded-For ,ECS上的Apache,可以进行配置取出X-Forwarded-For...
Kubernetes 安装配置ingress controller
qianghong000的博客
11-21 1355
Kubernetes 安装配置ingress controller
无缝融入 Kubernetes 生态 | 云原生网关支持 Ingress 资源
阿里云云栖号
03-18 1031
简介:Kubernetes 一贯的作风是通过定义标准来解决同一类问题,在解决集群对外流量管理的问题也不例外。Kubernetes 对集群入口点进行了进一步的统一抽象,提出了 3 种解决方案:NodePort、LoadBalancer 和 Ingress。 作者:扬少 Kubernetes Ingress 介绍 通常情况下,Kubernetes 集群内的网络环境与外部是隔离的,也就是说 Kubernetes 集群外部的客户端无法直接访问到集群内部的服务,这属于不同网络域如何连接的问题。解决跨网络域访问的
获取客户端真实 IP 地址的最佳实践
仁扬
07-23 1799
翻遍整个互联网,几乎没有文章能把 “获取客户的真实 IP 地址” 这个看起来很简单的事情捋清楚、讲明白,更不用说最佳实践。这篇文章也是我在这段时间的研究中总结出来的宝贵经验,希望对读者能有些许帮助。
云平台领域负载均衡器的部署实战技巧
最新发布
AI天才研究院
06-28 685
随着云计算和微服务架构的普及,负载均衡器已成为分布式系统的核心组件。本文聚焦云平台负载均衡器的部署策略性能优化和故障处理,覆盖从基础概念到复杂场景的实战技巧,适用于AWS、阿里云、腾讯云等主流云厂商的负载均衡服务(如ALB/NLB、SLB、CLB)。核心概念:解析负载均衡技术原理与架构算法实现:通过Python代码实现主流负载均衡算法实战部署:基于多云平台的完整部署流程优化扩展:覆盖性能调优、高可用设计与前沿趋势负载均衡器(Load Balancer, LB)
k8s ingress获取客户端客户端真实IP
Habo_的博客
08-04 2698
在Kubernetes中,获取客户端真实IP地址是一个常见需求。这是因为在负载均衡架构中,原始请求的源IP地址会被替换成负载均衡器的IP地址。以阿里云ack集群中安装的ingress-nginx为例。添加一下参数到配置文件中添加级如下图。保存退出即可,立即生效无需重启pod。
阿里云SLB负载后面的nginx获取远程真实ip
zhangyongdingrui的专栏
09-07 4498
近段时间在做项目的时候 ,项目上线遇到的一个问题,想要通过nginx做ip白名单,由于入口是阿里云SLB做的负载,然后发现做的ip白名单无效,即allow:10.39.131.228不生效,于是查看nginx日志,看到的ip都是那么几个(这时候还不知道这些事slbip),后面同事说这可能是slbip,然后找同事验证,果然是slbip,那么就找到问题了,nginx没有获取真实ip,然后百...
ack部署ingress同时使用私网SLB和公网SLB
u010674101的专栏
09-07 2003
这个是ack官方的图,由于他文章有部分,有时候说得我头晕眼花了,于是抽出来记录一下。
SLB、DMZ、Nginx、Ingress、Gateway、Kibana和Grafana
qq_15821487的博客
01-05 2136
SLB、DMZ、Nginx、Ingress、Gateway、Kibana和Grafana虽然有一些相似之处,但是它们的功能和适用场景还是有所不同。SLB主要用于将大流量的请求分配到多个服务器上进行处理,从而提高系统的可伸缩性和可靠性。它适用于需要处理大流量的应用,如电子商务网站、在线游戏等。DMZ主要用于将企业内部网络与外部网络隔离开来,以提高网络安全性。它适用于需要保护重要信息的企业,如银行、政府机构等。
阿里云 Kubernetes 集群内应用获取真实 IP地址
来啊 快活啊
07-25 3066
kubernetes内部容器获取客户端IP 阿里云容器服务Ingress设置原IP透传 如何获取客户端真实IP
nginx反向代理获取不到客户端真实ip地址问题
qinghuidu的博客
06-03 2610
本地测试项目获取客户端IP,都是正常的,部署到服务器后发现获取到的ip都是127.0.0.1,初步确定问题出在nginx代理上,查阅资料后。 nginx反向代理配置时,添加下面的配置: proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header REMOTE-HOST $remote_addr; proxy_set_header X-Forwa...
SLB不同的监听协议(http或tcp),导致ingress网关设置http接口的超时时间受限
天草二十六
04-30 1172
可以看到,slb设置的监听协议是http的时候,由于slb的默认超时时间是60秒,而它最大只支持180秒。也就是说,http连接的超时时间最大为180秒,这一点和tcp的超时时间是不同的。所以当你的域名是指向slb,而slb监听的是七http协议,ingress超时时间的设置是无效的。
K8s+ingress-nginx+阿里云SLB案例
完颜振江
01-24 2946
本文是在如下文章的基础上操作 Kubernetes集群部署discuz 第一部分: 部署ingress-controller 部署ingress-controller pod及相关资源 官方文档中,部署只要简单的执行一个yaml wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.17.0/deploy/mandatory.yaml mandatory.yaml这一个yaml中包含了很多资源的创建,包括
阿里云SLB使用
Arilyloc的博客
06-12 899
阿里云SLB使用 测试目标:利用两台ECS连接SLB,查看分发流量 首先创建两台测试的ECS实例,系统选择LInux,可用区可以不一样但是一定要在一个地域,因为负载均衡可以跨可用区但是不能跨地域。 登录ECS,安装nginx用于测试哦(因为我选择的是阿里云的Linux系统系统,它里面一些基本的源都有,所以可以直接安装) 启动nginx,并在默认页面index.html添加This is service 2 用于标识 如果你的实例配置了公网IP,那么现在就可以访问了。如果没有,那么就需要借住负载均衡来访
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值