使用aws的elb 在Nginx获取客户端ip地址

在nginx的11个步骤中， real_ip 模块是放到最前面执行的，因为后续的limit等限速模块都依赖于 $remote_addr 变量去限速。而remote_addr 默认是取 HTTP 头>部中的 X-REAL-IP 的。

在一个外网域名的 nginx log 中可以看到，$remote_addr和 $http_x_forwarded_for 一个是内网ip一个是公网ip ， 分别是 10.73.116.171 和 35.158.36.118 。
可以看出 remote_addr 是一个内网ip，如果拿这个内网ip去限速或者什么就悲剧了，因为这是elb 的内网ip。

在aws 的官方给出了解释，aws 在HTTP/HTTPS 是使用 X-Forwarded-For 去捕获客户端ip。 https://aws.amazon.com/cn/premiumsupport/knowledge-center/elb-capture-client-ip-addresses/

• 对于具有 HTTP/HTTPS 侦听器的 Application Load Balancers 和 Classic Load Balancer ，必须使用 X-Forwarded-For 标头来捕获客户端 IP 地址。然后>，您必须输出访问日志中的这些客户端 IP 地址。

• 对于具有 TCP/SSL 侦听器的 Classic Load Balancer，您必须在 Classic Load Balancer 和目标应用程序上启用代理协议支持。确保两端都配置代理协议支>持，否则您的应用程序可能会遇到问题。您还可以使用 AWS CLI 启用代理协议支持。

aws 的 tcp lb 比较坑。
其 TCP 负载均衡其实是把客户端的请求截断，然后自己发送一个请求给后端，拿到后端返回的数据之后再返回给 客户端，这样后端看到的是 负载均衡器的IP，>看不到客户端的真实IP了 (如果用基于HTTP的Load Balancer，会自动在HTTP头记录 X-Forwarded-For , 后端自然很容易获取到源IP )。其实这和LVS FULLNAT 模式有点像，LVS FULLNAT的解决办法是把真实IP写在TCP option里面，然后后端用toa模块拿到。

具有TCP/SSL侦听器的Classic Load Balance

然而aws 给出了一个解决方案。叫做 Proxy Protocol 。可以对TCP 负载均衡器开启Proxy Protocol，它会在请求的第一行写入 源IP、源端口等信息，以 \r\n 结尾，格式如下：

PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + “\r\n”

这个首先需要设置一下开启一下 Proxy Proticol 。这个配置一般在平台上点击开启即可。
然后就需要配置。

 listen 80 proxy_protocol;
 set_real_ip_from  10.0.0.0/8;
 real_ip_header  proxy_protocol;

即可。
其中的set_real_ip_from 和 real_ip_header 都是来自Nginx的real_ip 模块的。

具有 HTTP/HTTPS 侦听器的 Application Load Balancers 和 Classic Load Balancer

对 http/https 的侦听器就简单了。既然aws官网都说了，客户端的真实ip在 X-Forwarded-For 里，那就直接 real_ip_header 就完了。

 set_real_ip_from   10.0.0.0/8;
 real_ip_header       X-Forwarded-For;

nginx如何获得客户端ip

这里讲一下 nginx 是如何获取到客户端ip的。首先nginx会提供两个默认的变量，分别为 binary_remote_addr , remote_addr 这样的变量。其值是真实的IP，这样在以后的连接限制(limit_conn,limit_req模块才有意义)。

如何拿到真实的用户IP

而 remote_addr 和 binary_remote_addr 本身的值是直接和nginx连接的客户端的ip地址，可能是lvs的ip，前端调度器的ip（如果是full nat，且有toa的话，真实的客户端ip其实已经被lvs封装好了，这时的remote_addr 就是真实的客户端ip地址）。
而 realip 模块呢，它的作用就是从http头部中的X-Forwarded-For 或者 X-Real-IP 的值重新赋值 remote_add 和 binary_remote_addr 。
realip 模块是 Nginx 的11 个阶段的第一个模块。
它提供了两个变量 $realip_remote_addr 和 $realip_remote_port 变量。这个变量存储的是 $remote_addr 改变之前的值，如果你就是想要改变之前的 $remote_addr 就可以使用 $realip_remote_addr (直接与nginx相连接的客户端ip)
除此之外 realip 还提供三个指令。

• set_real_ip_from addr|CIDR|unix;
  作用域： http server location
  这个指令的作用是 来自某些地方的请求，我们才作 nginx 的 $remote_addr 变量的替换，一般后面跟的地址是 lvs ip，前端调度器的ip。
• real_ip_header field|X-Real-IP|X-Forwarded-For|proxy_protocol;
  作用域：http server location
  这个指令的作用就是将 什么去替换 $remote_addr 。
  默认是 real_ip_header X-Real-IP; （也就是将X-Real-IP中的数据去替换）
• real_ip_recursive on|off;
  默认是 off 的。当打开的话， 如果 X-Forwarded-For 中的最后一个ip和第一个ip一样的话，会把这个重复ip给 pass 掉。（其实就是自己访问自己的时候，把自己的ip砍掉）