使用aws的elb 在Nginx获取客户端ip地址

在nginx的11个步骤中, real_ip 模块是放到最前面执行的,因为后续的limit等限速模块都依赖于 $remote_addr 变量去限速。而remote_addr 默认是取 HTTP 头>部中的 X-REAL-IP 的。

在一个外网域名的 nginx log 中可以看到,$remote_addr和 $http_x_forwarded_for 一个是内网ip一个是公网ip , 分别是 10.73.116.171 和 35.158.36.118 。
可以看出 remote_addr 是一个内网ip,如果拿这个内网ip去限速或者什么就悲剧了,因为这是elb 的内网ip。

在aws 的官方给出了解释,aws 在HTTP/HTTPS 是使用 X-Forwarded-For 去捕获客户端ip。 https://aws.amazon.com/cn/premiumsupport/knowledge-center/elb-capture-client-ip-addresses/

  • 对于具有 HTTP/HTTPS 侦听器的 Application Load Balancers 和 Classic Load Balancer ,必须使用 X-Forwarded-For 标头来捕获客户端 IP 地址。然后>,您必须输出访问日志中的这些客户端 IP 地址。

  • 对于具有 TCP/SSL 侦听器的 Classic Load Balancer,您必须在 Classic Load Balancer 和目标应用程序上启用代理协议支持。确保两端都配置代理协议支>持,否则您的应用程序可能会遇到问题。您还可以使用 AWS CLI 启用代理协议支持。

aws 的 tcp lb 比较坑。
其 TCP 负载均衡其实是把客户端的请求截断,然后自己发送一个请求给后端,拿到后端返回的数据之后再返回给 客户端,这样后端看到的是 负载均衡器的IP,>看不到客户端的真实IP了 (如果用基于HTTP的Load Balancer,会自动在HTTP头记录 X-Forwarded-For , 后端自然很容易获取到源IP )。其实这和LVS FULLNAT 模式有点像,LVS FULLNAT的解决办法是把真实IP写在TCP option里面,然后后端用toa模块拿到。

具有TCP/SSL侦听器的Classic Load Balance

然而aws 给出了一个解决方案。叫做 Proxy Protocol 。可以对TCP 负载均衡器开启Proxy Protocol,它会在请求的第一行写入 源IP、源端口等信息,以 \r\n 结尾,格式如下:

PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + “\r\n”

这个首先需要设置一下开启一下 Proxy Proticol 。这个配置一般在平台上点击开启即可。
然后就需要配置。

 listen 80 proxy_protocol;
 set_real_ip_from  10.0.0.0/8;
 real_ip_header  proxy_protocol;

即可。
其中的set_real_ip_from 和 real_ip_header 都是来自Nginx的real_ip 模块的。

具有 HTTP/HTTPS 侦听器的 Application Load Balancers 和 Classic Load Balancer

对 http/https 的侦听器就简单了。既然aws官网都说了,客户端的真实ip在 X-Forwarded-For 里,那就直接 real_ip_header 就完了。

 set_real_ip_from   10.0.0.0/8;
 real_ip_header       X-Forwarded-For;
nginx如何获得客户端ip

这里讲一下 nginx 是如何获取到客户端ip的。首先nginx会提供两个默认的变量,分别为 binary_remote_addr , remote_addr 这样的变量。其值是真实的IP,这样在以后的连接限制(limit_conn,limit_req模块才有意义)。


使用aws的elb 在Nginx获取客户端ip地址_第1张图片
如何拿到真实的用户IP

而 remote_addr 和 binary_remote_addr 本身的值是直接和nginx连接的客户端的ip地址,可能是lvs的ip,前端调度器的ip(如果是full nat,且有toa的话,真实的客户端ip其实已经被lvs封装好了,这时的remote_addr 就是真实的客户端ip地址)。
而 realip 模块呢,它的作用就是从http头部中的X-Forwarded-For 或者 X-Real-IP 的值重新赋值 remote_add 和 binary_remote_addr 。
realip 模块是 Nginx 的11 个阶段的第一个模块。
它提供了两个变量 $realip_remote_addr 和 $realip_remote_port 变量。这个变量存储的是 $remote_addr 改变之前的值,如果你就是想要改变之前的 $remote_addr 就可以使用 $realip_remote_addr (直接与nginx相连接的客户端ip)
除此之外 realip 还提供三个指令。

  • set_real_ip_from addr|CIDR|unix;
    作用域: http server location
    这个指令的作用是 来自某些地方的请求,我们才作 nginx 的 $remote_addr 变量的替换,一般后面跟的地址是 lvs ip,前端调度器的ip。
  • real_ip_header field|X-Real-IP|X-Forwarded-For|proxy_protocol;
    作用域:http server location
    这个指令的作用就是将 什么去替换 $remote_addr 。
    默认是 real_ip_header X-Real-IP; (也就是将X-Real-IP中的数据去替换)
  • real_ip_recursive on|off;
    默认是 off 的。当打开的话, 如果 X-Forwarded-For 中的最后一个ip和第一个ip一样的话,会把这个重复ip给 pass 掉。(其实就是自己访问自己的时候,把自己的ip砍掉)

你可能感兴趣的:(使用aws的elb 在Nginx获取客户端ip地址)