在 Kubernetes 内取得使用者 IP – HTTP Loadbalancer-低调大师

在 Kubernetes 内取得使用者 IP – HTTP Loadbalancer

2018-12-13 511

对于提供 HTTP 服务的系统来说，取得来源 IP 方式有两种:

利用包头取得来源 IP

此方案是直接读取封包的来源 IP，但由于容器和外界沟通不像传统 Linux 主机有实体网卡对接，而是通过一系列的 NAT 规则置换包头后才传进容器内 (Understand container communication)，导致取得错误的使用者 IP。

通过夹带在 HTTP 请求的X-Forwarded-For 来取得

此方案则是利用 PROXY Protocol，此方案是让 Proxy Server 将 IP 附加在 HTTP 标头 X-Forwarded-For 内，因此该标头内的第一个地址即是用户的真实 IP。

X-Forwarded-For:[61.219.125.41, 10.140.0.2]

下面会介绍在 GKE (Google Container Engine) 上透过 L7 HTTP Load Balancer 取得使用者真实 IP。

架构说明

下图为目前 Google 支持三种 LB

在 GKE 上新增 spec.type＝LoadBalancer 的 Service，Kubernetes 会协助建立一组拥有独立 IP 地址的 L4 TCP Load Balancer，因此无法支持 L7 应用层的 PROXY Protocol。

为此我们必须建立 Layer 7 的 HTTP Load Balancer，将其先连接到 NGINX instance group 再导向后方的 Kubernetes 集群内。由于 HTTP 请求会先经过 NGINX reverse proxy，此时用户 IP 会被纪录在 X-Forwarded-For 内。

在 GCP 上建立 HTTP Load Balancer 的方式请参考 Setting Up HTTP(S) Load Balancing。

下面附上 NGINX 配置文件以及应用端取得 IP 的程序。

NGINX 设定

## /etc/nginx/nginx.conf

worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    sendfile        on;
    tcp_nopush      on;
    tcp_nodelay     on;

    keepalive_timeout  65;

    gzip  on;
    client_max_body_size 5M;
    include /etc/nginx/conf.d/*.conf;

    #additional config
    include /etc/nginx/extra-conf.d/*;
}

## /etc/nginx/conf.d/realip.conf

upstream realip {
  server server <k8s service LB ip>;
}

server {
  server_name _;
  listen 80;

  location / {
    proxy_set_header           Host $host;
    proxy_set_header           X-Real-IP $remote_addr;
    proxy_set_header           X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header           X-Forwarded-Proto $scheme;
    proxy_pass                 http://realip;
    proxy_connect_timeout      10;
    proxy_send_timeout         10;
    proxy_read_timeout         10;
    proxy_buffer_size          4k;
    proxy_buffers              4 32k;
    proxy_busy_buffers_size    64k;
    proxy_temp_file_write_size 64k;
    access_log on;
  }
}

应用端

package main

import (
    "fmt"
    "net/http"
    "os"

    "github.com/tomasen/realip"
)

func main() {
    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
        host := os.Getenv("HOSTNAME")
        reply := fmt.Sprintf("Hostname:\n%s\n\nUser-Agent:\n%v\n\nHeader:\n%v\n\nIP:\n%v", host, r.UserAgent(), r.Header, realip.RealIP(r))
        w.WriteHeader(http.StatusOK)
        w.Write([]byte(reply))
    })
    http.ListenAndServe(":80", nil)
}

本文转自kubernetes中文社区-在 Kubernetes 内取得使用者 IP – HTTP Loadbalancer

微信关注我们

原文链接：https://yq.aliyun.com/articles/679458

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

ECS vs. Kubernetes 类似而又不同

C2Container Service (ECS)和Kubernetes (K8s) 都解决了同样的问题：跨越主机集群管理容器。ECS和Kubernetes之间的斗争让我想起了vi和Emacs之间的编辑器之战：激烈的讨论集中于技术问题和个人信仰上。接下来的问题将帮助你明智的选择。考虑到问题和答案包含了我的主张——ECS和K8s之间的区别，基于我最近项目上的经验。它合适吗？一个容器是一个隔离的元素。但是跨主机集群启动容器只是挑战的一小部分。你的容器在一个由基础设施和服务组成的世界中存在：举几个来说，存储系统，数据库，域名服务。你打算在哪运行你的容器？ Amazon Web Services (AWS) Google Cloud Platform (GCP) 其他IaaS供应商本地部署能够整合容器管理解决方案到基础设施中是关键。 ECS在容器和其他AWS服务之间提供最无缝的集成。下面是几个例子：分配IAM角色给每个容器，允许细粒度访问控制其他服务。在外部负载均衡器注册容器（应用负载均衡器）。基于集使用扩展EC2实例（自动伸缩）。收集日志（监测日志）。在K8s和AWS之间...

2018-12-14

577

一、核心概念 Horizontal Pod Autoscaling，简称HPA，是Kubernetes中实现POD水平自动伸缩的功能。云计算具有水平弹性的特性，这个是云计算区别于传统IT技术架构的主要特性。对于Kubernetes中的POD集群来说，HPA可以实现很多自动化功能，比如当POD中业务负载上升的时候，可以创建新的POD来保证业务系统稳定运行，当POD中业务负载下降的时候，可以销毁POD来提高资源利用率。 HPA控制器默认每隔30秒就会运行一次，如果要修改间隔时间，可以设置horizontal-pod-autoscaler-sync-period参数。二、k8s 1.7新特性 1、HPA触发条件新特性（α特性）在Kubernetes1.7中，对HorizontalPodAutoscalerStatus结构体，新增加了Conditions属性。 Conditions属性是一个HorizontalPodAutoscalerCondition结构体，在这个结构体中包括Type、Status、LastTransitionTime、Reason和Message五个属性，每个属性的含...

2018-12-14

553

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。