问题描述
apiVersion: v1
kind: Service
Metadata:
name: myservice
spec:
type: ClusterIP
selector:
name: my-app
ports:
- port: 8000
targetPort: 8000
---
apiVersion: networking.k8s.io/v1
kind: Ingress
Metadata:
name: myingress
annotations:
kubernetes.io/ingress.class: Nginx
labels:
name: myingress
spec:
rules:
- host: mydomain.com
http:
paths:
- pathType: Prefix
path: "/"
backend:
service:
name: my-service
port:
number: 8000
Nginx 入口安装有:
helm install ingress-Nginx ingress-Nginx/ingress-Nginx。
我还为 ELB 启用了代理协议。但是在 Nginx 日志中,我没有看到 X-Forwarded-For 和 X-Real-IP 标头的真实客户端 IP。这是我在应用日志中看到的最终标题:
X-Forwarded-For:[192.168.21.145] X-Forwarded-Port:[80] X-Forwarded-Proto:[http] X-Forwarded-Scheme:[http] X-Real-Ip:[192.168.21.145] X-Request-Id:[1bc14871ebc2bfbd9b2b6f31] X-Scheme:[http]
如何获取真实的客户端 IP 而不是入口 Pod IP?还有没有办法知道 ELB 向入口发送了哪些标头?
解决方法
一种解决方案是使用 externalTrafficPolicy:Local(参见 documentation)。
事实上,根据kubernetes documentation:
由于这个特性的实现,在目标容器中看到的源IP并不是客户端的原始源IP。 ... service.spec.externalTrafficPolicy - 表示此服务是否希望将外部流量路由到节点本地或集群范围的端点。有两个可用选项:集群(默认)和本地。集群掩盖了客户端源 IP,可能会导致第二跳到另一个节点,但应该具有良好的整体负载分布。 Local 保留客户端源 IP 并避免 LoadBalancer 和 NodePort 类型服务的第二跳,但存在潜在的不平衡流量传播风险。
如果您想遵循此路线,请更新您的 nginx ingress controller Service 并添加 externalTrafficPolicy 字段:
apiVersion: v1
kind: Service
metadata:
name: nginx-ingress-controller
spec:
...
externalTrafficPolicy: Local
一种可能的替代方法是使用 Proxy protocol(参见 documentation)