AWS的ELB（ALB/CLB/NLB）后面的web 服务器（比如nginx server）如何获取到客户端的client ip

1. 首先讲一下三种AWS ELB的对于源ip的区别处理

CLB和ALB： 默认不会保留原始的客户端client ip， 而是在CLB或ALB中进行一次NAT转换把源ip转换为CLB/ALB的一个eni ip，目的ip地址转换为终端web服务器的server ip。

NLB则分两种情况：
1. Target Group中使用instance-id则客户端源ip会直接被保留传递给终端web服务器的ec2
2. Target Group中使用的IP address的话则像CLB/ALB一样进行源目地址的NAT转换，如果想在终端的web server上获取到原始的源ip的话就需要修改web服务器的配置去使用NLB/ALB/CLB默认传递的XFF （X-Forwarded-For）header去获取原始的源ip

2. 接下来我们以Nginx server为例讲一下实际应用

在安装了Nginx的EC2上tail -f /var/log/nginx/access.log可以查看谁访问了我们的server，比如我们在browser访问NLB的dns “http://demo-test-nlb-8f9bb06e96b01css.elb.us-east-1.amazonaws.com/”

这里我使用的是NLB的instance-id作为target， 根据前面我们提到的，此场景会传递原始的源ip给web 服务器。可以看到：

但是如果我们用的是ALB的dns名去访问后面的web服务器的话那就只能看到NAT后的ALB的eni ip了， 比如我们访问
http://demo-alb-internet-facing-297103177.us-east-1.elb.amazonaws.com/
可以看到

如果想要从ALB后面的nginx server获取到src client的真实客户端源ip的话需要在nginx server上配置X-Forwarded-For header：

vi /etc/nginx/nginx.conf在http的section中的access_log前面加上下面这段配置：

log_format main  '$remote_addr - $remote_user [$time_local] "$request" '
                 '$status \$body_bytes_sent "\$http_referer" '
                 '"$http_user_agent" "$http_x_forwarded_for" ';

access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error.log;

access_log /var/log/nginx/access.log main;  #这行后面一定要加上main表明我们要采用前面定义的main format！

systemctl restart nginx

然后就能从log中看到原始的客户端client ip了