在 Kubernetes 内取得使用者 IP – HTTP Loadbalancer-低调大师

在 Kubernetes 内取得使用者 IP – HTTP Loadbalancer

2018-12-13 544

对于提供 HTTP 服务的系统来说，取得来源 IP 方式有两种:

利用包头取得来源 IP

此方案是直接读取封包的来源 IP，但由于容器和外界沟通不像传统 Linux 主机有实体网卡对接，而是通过一系列的 NAT 规则置换包头后才传进容器内 (Understand container communication)，导致取得错误的使用者 IP。

通过夹带在 HTTP 请求的X-Forwarded-For 来取得

此方案则是利用 PROXY Protocol，此方案是让 Proxy Server 将 IP 附加在 HTTP 标头 X-Forwarded-For 内，因此该标头内的第一个地址即是用户的真实 IP。

X-Forwarded-For:[61.219.125.41, 10.140.0.2]

下面会介绍在 GKE (Google Container Engine) 上透过 L7 HTTP Load Balancer 取得使用者真实 IP。

架构说明

下图为目前 Google 支持三种 LB

在 GKE 上新增 spec.type＝LoadBalancer 的 Service，Kubernetes 会协助建立一组拥有独立 IP 地址的 L4 TCP Load Balancer，因此无法支持 L7 应用层的 PROXY Protocol。

为此我们必须建立 Layer 7 的 HTTP Load Balancer，将其先连接到 NGINX instance group 再导向后方的 Kubernetes 集群内。由于 HTTP 请求会先经过 NGINX reverse proxy，此时用户 IP 会被纪录在 X-Forwarded-For 内。

在 GCP 上建立 HTTP Load Balancer 的方式请参考 Setting Up HTTP(S) Load Balancing。

下面附上 NGINX 配置文件以及应用端取得 IP 的程序。

NGINX 设定

## /etc/nginx/nginx.conf

worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    sendfile        on;
    tcp_nopush      on;
    tcp_nodelay     on;

    keepalive_timeout  65;

    gzip  on;
    client_max_body_size 5M;
    include /etc/nginx/conf.d/*.conf;

    #additional config
    include /etc/nginx/extra-conf.d/*;
}

## /etc/nginx/conf.d/realip.conf

upstream realip {
  server server <k8s service LB ip>;
}

server {
  server_name _;
  listen 80;

  location / {
    proxy_set_header           Host $host;
    proxy_set_header           X-Real-IP $remote_addr;
    proxy_set_header           X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header           X-Forwarded-Proto $scheme;
    proxy_pass                 http://realip;
    proxy_connect_timeout      10;
    proxy_send_timeout         10;
    proxy_read_timeout         10;
    proxy_buffer_size          4k;
    proxy_buffers              4 32k;
    proxy_busy_buffers_size    64k;
    proxy_temp_file_write_size 64k;
    access_log on;
  }
}

应用端

package main

import (
    "fmt"
    "net/http"
    "os"

    "github.com/tomasen/realip"
)

func main() {
    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
        host := os.Getenv("HOSTNAME")
        reply := fmt.Sprintf("Hostname:\n%s\n\nUser-Agent:\n%v\n\nHeader:\n%v\n\nIP:\n%v", host, r.UserAgent(), r.Header, realip.RealIP(r))
        w.WriteHeader(http.StatusOK)
        w.Write([]byte(reply))
    })
    http.ListenAndServe(":80", nil)
}

本文转自kubernetes中文社区-在 Kubernetes 内取得使用者 IP – HTTP Loadbalancer

微信关注我们

原文链接：https://yq.aliyun.com/articles/679458

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

ECS vs. Kubernetes 类似而又不同

C2Container Service (ECS)和Kubernetes (K8s) 都解决了同样的问题：跨越主机集群管理容器。ECS和Kubernetes之间的斗争让我想起了vi和Emacs之间的编辑器之战：激烈的讨论集中于技术问题和个人信仰上。接下来的问题将帮助你明智的选择。考虑到问题和答案包含了我的主张——ECS和K8s之间的区别，基于我最近项目上的经验。它合适吗？一个容器是一个隔离的元素。但是跨主机集群启动容器只是挑战的一小部分。你的容器在一个由基础设施和服务组成的世界中存在：举几个来说，存储系统，数据库，域名服务。你打算在哪运行你的容器？ Amazon Web Services (AWS) Google Cloud Platform (GCP) 其他IaaS供应商本地部署能够整合容器管理解决方案到基础设施中是关键。 ECS在容器和其他AWS服务之间提供最无缝的集成。下面是几个例子：分配IAM角色给每个容器，允许细粒度访问控制其他服务。在外部负载均衡器注册容器（应用负载均衡器）。基于集使用扩展EC2实例（自动伸缩）。收集日志（监测日志）。在K8s和AWS之间...

2018-12-14

612

一、核心概念 Horizontal Pod Autoscaling，简称HPA，是Kubernetes中实现POD水平自动伸缩的功能。云计算具有水平弹性的特性，这个是云计算区别于传统IT技术架构的主要特性。对于Kubernetes中的POD集群来说，HPA可以实现很多自动化功能，比如当POD中业务负载上升的时候，可以创建新的POD来保证业务系统稳定运行，当POD中业务负载下降的时候，可以销毁POD来提高资源利用率。 HPA控制器默认每隔30秒就会运行一次，如果要修改间隔时间，可以设置horizontal-pod-autoscaler-sync-period参数。二、k8s 1.7新特性 1、HPA触发条件新特性（α特性）在Kubernetes1.7中，对HorizontalPodAutoscalerStatus结构体，新增加了Conditions属性。 Conditions属性是一个HorizontalPodAutoscalerCondition结构体，在这个结构体中包括Type、Status、LastTransitionTime、Reason和Message五个属性，每个属性的含...

2018-12-14

585

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。