K8S ingress 传递用户真实IP
发布时间: 2024-1-16 文章作者: myluzh 分类名称: Kubernetes
0x01 前言
今天发现后端获取到的用户客户端ip都是内网地址 172.29.241.163。
访问逻辑为:用户访问->nginx->k8s-ingress->后端pod。
但是后端pod获取客户端的ip一直是172.29.241.163,原来这个ip的ingress的上游nginx的ip。
# nginx节点
root@iZbp12bkuvg20e1j3y9gtvZ:/etc/nginx/conf.d# ifconfig | grep 172
inet 172.29.241.163 netmask 255.255.240.0 broadcast 172.29.255.255
# nginx反向代理到k8s-ingress的配置文件
root@iZbp12bkuvg20e1j3y9gtvZ:/etc/nginx/conf.d# cat prd-all.conf
upstream prd-nginx-server {
server 172.29.241.160:80;
server 172.30.82.215:80;
keepalive 10;
keepalive_requests 100;
}
server {
listen 80;
server_name *.xxxxx.com;
#root html;
#index index.html index.htm;
client_max_body_size 10m;
location / {
proxy_set_header Host $host;
# 这里nginx已经配置了将客户端的真实IP地址传递给后端的服务器,证明没问题
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://prd-nginx-server/;
}
}
排障思路为:1、首先查看nginx这侧的配置文件,有没有把remote地址转发给ingress,发现是存在的。
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
2、那问题就在ingress上了,ingress没有把上游nginx的header转发到下面,经过一番折腾定位到了问题原因,通常,用户ip的传递依靠的是X-Forwarded-*参数。但是默认情况下,ingress是没有开启的。
0x02 解决
在ingress-nginx-controller的configmap中添加use-forwarded-headers: ture,如下:
root@iZbp12bkuvg20e1j3y9gtxZ:~# kubectl get configmap -n ingress-nginx NAME DATA AGE ingress-controller-leader 0 479d ingress-controller-leader-nginx 0 479d ingress-nginx-controller 0 479d kube-root-ca.crt 1 479d root@iZbp12bkuvg20e1j3y9gtxZ:~# kubectl edit configmap ingress-nginx-controller -n ingress-nginx apiVersion: v1 kind: ConfigMap data: use-forwarded-headers: "true" ...
0x99 参考文章
ingress nginx传递用户真实ip问题
k8s ingress 添加获取客户端真实ip配置
ingress获取客户端真实IP配置记录
解决K8s中Ingress Nginx控制器无法获取真实客户端IP的问题
标签: k8s nginx Ingress ip use-forwarded-headers X-Real-IP X-Forwarded-For
搜索内容
热门文章
- DS918+,DS3617xs黑群晖洗白码
- VMware vCenter vSphere ESXi 7.0 许可证&下载链接
- Kali Liunx下msfvenom利用方法
- Kali Liunx字典生成工具Crunch,Cupp,Cewl
- python base64加解密脚本(可变换码表)
- 黑群晖各版本引导下载
- 解决VM虚拟机Kali Liunx连不上网
- JIS-CTF-VulnUpload-CTF01靶机渗透测试笔记
最新文章
- K8S 批量删除被驱逐的Pod(Evicted Pods)
- RouterOS v7 OVPN Client配置 & 国内外地址分流(Mangle表标记路由)
- RouterOS v6 获取CN地址列表 & 国内外地址分流
- 解决Linux空间未释放问题:处理被删除文件的占用
- Nginx日志格式化输出,日志切割
- 关于GlobalSign GCC R6 AlphaSSL CA 2023不受信,证书链修复教程
- 阿里云负载均衡ALB获取客户端真实IP
- K8S Ingress-nginx修改上传大小限制
友情链接
日期存档
- 2024年4月(1)
- 2024年3月(3)
- 2024年2月(6)
- 2024年1月(11)
- 2023年12月(13)
- 2023年11月(13)
- 2023年10月(8)
- 2023年9月(11)
- 2023年8月(3)
- 2023年7月(18)
- 2023年6月(16)
- 2023年5月(16)
- 2023年4月(4)
- 2023年3月(7)
- 2023年2月(26)
- 2023年1月(10)
- 2022年12月(7)
- 2022年11月(2)
- 2022年10月(5)
- 2022年9月(8)
- 2022年8月(9)
- 2022年7月(2)
- 2022年6月(3)
- 2022年5月(3)
- 2022年4月(3)
- 2022年3月(7)
- 2022年2月(1)
- 2022年1月(2)
- 2021年12月(6)
- 2021年11月(3)
- 2021年10月(5)
- 2021年9月(8)
- 2021年8月(3)
- 2021年7月(3)
- 2021年6月(3)
- 2021年5月(3)
- 2021年4月(4)
- 2021年3月(3)
- 2021年2月(1)
- 2021年1月(1)
- 2020年12月(8)
- 2020年11月(6)
- 2020年10月(1)
- 2020年9月(3)
- 2020年8月(1)
- 2020年7月(5)
- 2020年6月(1)
- 2020年5月(2)
- 2020年4月(7)
- 2020年3月(20)
- 2020年2月(12)
- 2020年1月(3)
- 2010年10月(3)
发表评论