AWS的ELB(ALB/CLB/NLB)后面的web 服务器(比如nginx server)如何获取到客户端的client ip

1. 首先讲一下三种AWS ELB的对于源ip的区别处理

AWS的ELB(ALB/CLB/NLB)后面的web 服务器(比如nginx server)如何获取到客户端的client ip_第1张图片
CLB和ALB: 默认不会保留原始的客户端client ip, 而是在CLB或ALB中进行一次NAT转换把源ip转换为CLB/ALB的一个eni ip,目的ip地址转换为终端web服务器的server ip。

NLB则分两种情况:
1. Target Group中使用instance-id则客户端源ip会直接被保留传递给终端web服务器的ec2
2. Target Group中使用的IP address的话则像CLB/ALB一样进行源目地址的NAT转换,如果想在终端的web server上获取到原始的源ip的话就需要修改web服务器的配置去使用NLB/ALB/CLB默认传递的XFF (X-Forwarded-For)header去获取原始的源ip

2. 接下来我们以Nginx server为例讲一下实际应用

在安装了Nginx的EC2上tail -f /var/log/nginx/access.log可以查看谁访问了我们的server,比如我们在browser访问NLB的dns “http://demo-test-nlb-8f9bb06e96b01css.elb.us-east-1.amazonaws.com/”

这里我使用的是NLB的instance-id作为target, 根据前面我们提到的,此场景会传递原始的源ip给web 服务器。可以看到:
AWS的ELB(ALB/CLB/NLB)后面的web 服务器(比如nginx server)如何获取到客户端的client ip_第2张图片

但是如果我们用的是ALB的dns名去访问后面的web服务器的话那就只能看到NAT后的ALB的eni ip了, 比如我们访问
http://demo-alb-internet-facing-297103177.us-east-1.elb.amazonaws.com/
可以看到
AWS的ELB(ALB/CLB/NLB)后面的web 服务器(比如nginx server)如何获取到客户端的client ip_第3张图片

如果想要从ALB后面的nginx server获取到src client的真实客户端源ip的话需要在nginx server上配置X-Forwarded-For header:

vi /etc/nginx/nginx.conf在http的section中的access_log前面加上下面这段配置:

log_format main  '$remote_addr - $remote_user [$time_local] "$request" '
                 '$status \$body_bytes_sent "\$http_referer" '
                 '"$http_user_agent" "$http_x_forwarded_for" ';

access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error.log;

AWS的ELB(ALB/CLB/NLB)后面的web 服务器(比如nginx server)如何获取到客户端的client ip_第4张图片

access_log /var/log/nginx/access.log main;  #这行后面一定要加上main表明我们要采用前面定义的main format!
systemctl restart nginx

然后就能从log中看到原始的客户端client ip了
在这里插入图片描述

你可能感兴趣的:(aws,云服务,亚马逊,负载均衡器,nginx)