AWS elbv2支持websocket获取用户真实IP和禁止国家地区访问

最新推荐文章于 2024-06-11 09:42:46 发布
最新推荐文章于 2024-06-11 09:42:46 发布
阅读量1.7k 收藏
点赞数
分类专栏: AWS 文章标签: aws 负载均衡 代理模式 proxy nginx反向代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenghuting/article/details/113347684
版权

一. 问题和需求

需求分析

1. 使用ELB要支持http,https访问,同时要支持websocket , 这个需求好办,直接开通http/https模式ELB用于支持普通http协议访问,开通TCP模式ELB用于支持websocket。

2. 通过ELB的访问要禁止部分国家访问, 这个需求如果使用http/https 的ELB,很好实现,直接创建web acl并应用上ELB即可,但由于有websocket需求,这部分访问就不能走http/https模式的ELB,需要走TCP模式的ELB,而TCP模式的ELB是基于4层实现的,不能使用web acl策略,因此只能在nginx层面使用geoip模块做限制 ,但nginx层面要求能获取用户真实IP,TCP模式的ELB给出的IP $remote_addr 为ELB本身的IP,而 $http_x_forwarded_for是空的,完全不符合要求,这就是本次操作的难点。

为了让ELB支持给出用户真实IP,我搜遍了全网,都只找到如下教程,但这些教程都是elb老版本的,而且操作难度高,而目前AWS上的elb都已经升到了v2版本,原来的老版本已经不支持了,目前最新的elbv2无法使用下面这些方法来实现效果:

http://www.ttlsa.com/nginx/aws-elb-nginx-enable-proxy-protocol/

https://www.jb51.net/article/76750.htm

https://blog.csdn.net/fgf00/article/details/80164200

经过两天的研究和搜索,终于找到了如下方法,大体思路如下:

1. nginx启用http_realip_module 模块,用于支持 real_ip_header     proxy_protocol  和 set_real_ip_from

2. 由于要支持websocket, 创建TCP模式的elb  ,也就是 network Load Balancer, 此ELB不支持web acl,无法从ELB层面限制源IP国家地区访问

3. 对于要支持http/https访问的,创建http/https模式的elb ,也就是 application Load Balancer,此ELB可直接使用web acl 限制国家访问,很好实现,如下图

二. 安装相关组件

cd /root

##先上传openresty-1.17.8.2.tar.gz 包到/root下

tar zxvf openresty-1.17.8.2.tar.gz

cd openresty-1.17.8.2

/usr/local/openresty/nginx/sbin/nginx -V

./configure --prefix=/usr/local/openresty --with-http_stub_status_module --with-http_geoip_module  --with-http_realip_module  # 注意要加上realip_module模块,用于获取ELB用户IP,geoip用于nginx层面限制国家地区访问

make

mv /usr/local/openresty/nginx/sbin/nginx /usr/local/openresty/nginx/sbin/nginx.old

cp -pf /root/openresty-1.17.8.2/build/nginx-1.17.8/objs/nginx /usr/local/openresty/nginx/sbin/

systemctl restart openresty  

/usr/local/openresty/nginx/sbin/nginx -V

 

三. 踩坑过程

1. 创建ELB

分别创建两个ELB,一个http模式,一个TCP模式,前者直接用上web acl,后者无法使用web acl,此时难题出现了,访问tcp模式的ELB, access日志里显示的IP不对

2. 使用网上教程过程中碰到的坑

网上说在awscli使用如下命令来启用相关代理协议,就可以获取到真实IP了,实际操作不可行,因为现在ELB默认已经升级到了elbv2, 原来的命令和方法全部作废, aws官方也没有详细说明

# aws elb create-load-balancer-policy --load-balancer-name YOU_ELB_NAME --policy-name EnableProxyProtocol --policy-type-name ProxyProtocolPolicyType --policy-attributes AttributeName=ProxyProtocol,AttributeValue=True

3. 解决方法

 (1) nginx上加配置

nginx.conf里http块加上如下内容,注意 set_real_ip_from一定要设置ELB所在的IP段,用于排除掉ELB的IP,取出用户真实IP

#此功能是设置拒绝CN(china)区访问,无此需求的不用加,geoip相关安装配置不在此展开
geoip_country /usr/share/GeoIP/GeoIP.dat;

    map $geoip_country_code $is_cn_country {
        default yes;
        CN no;
    }

# 开启websocket
map $http_upgrade $connection_upgrade {
             default upgrade;
            '' close;
         }

#启用proxy_protocol,用于读取ELB后端目标组的代理协议v2的头数据,抓取用户真实IP
set_real_ip_from   127.0.0.1;
set_real_ip_from   172.31.0.0/16;
# 表示把来在172.31.0.0/16 段(TCP负载均衡器的IP段)的所有请求的来源地址,都改成 $proxy_protocol_addr,并且记录在 $remote_addr 变量里。
real_ip_header     proxy_protocol;
real_ip_recursive  on;

在要用户websocket的网站conf文件里配置:

server {
    listen       80 proxy_protocol;   #注意这里一定要加上 proxy_protocol
    server_name  api-ws.domain.com;

    access_log logs/api-ws.domain.com-access.log access;
    error_log logs/api-ws.domain.com-error.log;

    location / {
            #限制CN区访问
            if ($is_cn_country = no) {
              return 403;
            }
        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 启用支持websocket连接
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_pass http://apiws7777/;
    }
}

(2)AWS后台的负载均衡配置里的目标群组里,启用代理协议v2, 注意,这一步最为关键!必须启用。

 

(3)重启nginx,开始测试,经测试,用户IP抓取到了,大功告成!

 

(4)测试不同国家访问,CN区访问返回403,符合预期,国外能正常打开,功能已实现。

四. 经验总结

1. 用百度搜索aws相关的问题资料特别少,可能是国人用AWS用得相对少一些,最近几年才开始用得多,问题总结用百度在网上很难搜到,很多问题只能自己摸索,或者搜索国外英文网站。

2. aws 的elb老版本现在已经没有了,现在都是elbv2, 相关技术文档没有跟上,只能借鉴前人的技术文档,不能直接套用。

3. 碰到问题一定要多动脑筋,多尝试。

4. 此问题是站在前人的肩膀上解决的,再次感谢如下链接的作者

http://www.ttlsa.com/nginx/aws-elb-nginx-enable-proxy-protocol/

https://www.jb51.net/article/76750.htm

https://blog.csdn.net/fgf00/article/details/80164200

5. 中间遇到的报错

" while reading PROXY protocol, client: 127.0.0.1, server: 0.0.0.0:80
2021/01/28 17:56:47 [error] 3206#0: *24714 broken header: "GET / HTTP/1.1^M
Host: 172.31.101.19
Connection: close
User-Agent: ELB-HealthChecker/2.0
Accept-Encoding: gzip, compressed

报错的原因是因为有部分网站server conf文件里的 linsten 80这里加上了 proxy_protocol, 一旦nginx下某一个网站启用proxy_protocol, 其他站点都会自动启用 proxy_protocol头,如果同一个nginx下其他网站不是TCP ELB模式代理进来,就会报错,导致其他网站都打不开,显示 502 Bad Gateway, 解决办法是其他网站也要使用TCP模式ELB,后端服务组开启代理模式v2, 此问题参考说明 https://trac.nginx.org/nginx/ticket/1048

fenghuting
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS ELB 使用过程中由于协议认知不足引发的血案(AWS Elastic Load Balancing 与WebSocket并用报错)
The magic of fingertips
08-31 6077
案情描述: 中午过后,同事发现含有WebSocket的页面与后端的连接死掉了,红色的鲜血流满了屏幕,详情看图 Incompatibile SockJS! Main site uses: "1.1.1", the iframe: "1.0.0". 案情分析: 在ELB中,我们使用的是http协议,但是ELB却不支持WebSocket协议(仅支持HTTP, HTTPs,
AWS ELB
jishuaitao的博客
03-10 286
AWS ELB
探索实时数据交互的新境界:AWS WebSocket Pub/Sub 客户端
最新发布
gitblog_00013的博客
06-11 279
探索实时数据交互的新境界:AWS WebSocket Pub/Sub 客户端 项目地址:https://gitcode.com/jimmyn/aws-mqtt-client 在当今快节奏的数字时代,即时通讯与数据流的无缝传输成为开发高效应用的关键。为此,我们来深入挖掘一个令人兴奋的开源工具——AWS WebSocket Pub/Sub客户端,它将带你领略如何通过AWS IoT平台,以WebSock...
AWS ELB支持Websocket和Stickiness
06-17 946
场景 某项目部署在AWS上,使用AWS的 ELB 以及多个EC2 instance。 需要支持HTTP(s) stickiness 项目中使用了websocket (没有stickiness需求) 只有ELB向外开放了访问权限 问题 AWS ELB 目前只支持HTTP(s)和TCP(SSL),并不支持websocket使用的ws(s)。HTTP(s)是Application Laye...
AWS ELB 后端获取真实客户端IP地址配置
人生就是一场修行
05-02 1万+
一、背景:https ELB后端nginx获取不到真实客户端IP 使用aws elb服务器来做websocket负载均衡时,只能使用tcp模式。 https 协议不在也可以选择tcp模式,都有后端获取不到真实客户端IP问题,获取都是elb IP地址 代理协议是一种 Internet 协议,用于将连接信息从请求连接的源传递到请求连接到的目标。Elastic Load Balancing 使用代...
获取用户真实IP地址
12-29
值得注意的是,如果你的应用托管在云服务提供商(如AWS、Google Cloud或Azure)上,它们可能提供了API或配置选项来获取用户真实IP,这通常涉及到配置负载均衡器或CDN服务。 在某些场景下,例如处理内网访问或者...
awsip:AWS IP区域定位器。 同时支持IPv4和IPv6
05-06
AWS IP 给定一个AWS IP地址,显示其所属的区域。 实时版本位于: : 发展git clone git@github.com:thameera/awsip.gitcd awsipnpm installnpm run watch现在,在浏览器中打开index.html文件。生产建筑npm run dist...
无服务器聊天:使用AWS Lambda,AWS IoT(用于WebSocket)和Amazon DynamoDB构建的无服务器网络聊天
02-01
无服务器聊天使用AWS Lambda,AWS IoT(用于WebSockets)和Amazon DynamoDB构建的无服务器Web聊天。 本文介绍了此应用程序的体系结构:部署到AWS 提供了一个脚本deploy.sh ,该脚本使用AWS CloudFormation来配置此...
aws-ec2-ssh:使用IAM管理AWS EC2 SSH访问
02-01
检出以替代该项目使用IAM用户的公共SSH密钥通过SSH访问正在运行的EC2实例亚马逊Linux 2017.09 亚马逊Linux 2 2017.12 Ubuntu 16.04 SUSE Linux Enterprise Server 12 SP3 RHEL 7.4 CentOS的7 如果您使用install.sh...
lambda-go-websocket:使用GoLambda在AWS API Gateway中部署Websocket
04-17
使用Go / Lambda在AWS API Gateway中部署Websocket。 将通道数据存储在DynamoDB表中,并与Terraform一起部署。 概述 下面的模式显示了项目的体系结构: 它包含以下关键组件: 动态数据库存储当前连接的Web套接字...
aws-configure-elb-rule:配置(创建或更新)给定的AWS ELB规则
04-19
AWS配置ELB规则 配置给定的ELB规则 用法 - name : Configure AWS ELB Rule uses : icalia-actions/aws-configure-elb-rule@v0.0.1 with : listener : arn:YOUR_LISTENER_ARN # You can define the conditions, actions and tags using JSON or YAML: conditions : | - Field: host-header HostHeaderConfig: Values:
AWS使用ELB为多实例应用创建负载均衡问题
kingu_crimson的博客
04-15 2982
问题描述 对于一个单体应用,我们在两个ec2实例上分别部署,并通过alb对其进行负载均衡 在我们配置alb上的监听器(listener)到目标后端服务器组(target group)后,发现无法分配后端服务器组内实例的权重占比。 和阿里云的slb以及华为云的elb不同的是,awsalb的一个监听器可以绑定多个target group,而前两者一个监听器只能绑定一个后端服务器组。因此aws是修改不同target group组的权重,而华为云和阿里云是修改后段服务器组内的不同实例的权重 解决.
使用AWS的API Gateway实现websocket
fxtxz2的专栏
11-28 2590
AWS API Gateway的WebSocket使用
AWS ELB创建-GLB
SINGWIN01的博客
12-24 371
返回GLB创建页面添加目标组,然后创建GLB。在左侧导航栏找到负载均衡,创建负载均衡器。进入AWS控制台在搜索框搜索EC2。在创建页面选择网关负载均衡GLB。
AWS ELB技术要点
热门推荐
Swallow_he的博客
07-26 1万+
AWS ELB技术要点 一、ELB优点 l  ELB支持自动扩展; l  可对后端的EC2运行状态检查 l  支持TCP协议,支持加密协议SSL/TLS l  配置简单   二、ELB提供的功能 1、运行状况检查    为了查明AmazonEC2 实例的可用性,ELB会定期发送 ping,尝试进行连接或者发送请求来测试 Amazon EC2 实例。这些测试称为运行状况检查。若要让
AWS 中文入门开发教学 23- 负载均衡 - 通过 ELB 设计高可用性服务
weixin_43487849的博客
08-26 415
知识点 设计高可用性网络结构 官网 https://aws.amazon.com/cn/elasticloadbalancing ELB包括:ALB、NLB、CLB(现在用的很少了) 实战演习 Web端高可用性设计 新建一个子网,克隆原来的web服务器,然后使用负载均衡,将流量导入不同的服务器 操作步骤 建立新的可用区子网 - deeplearnaws-web-1c 在新的子网区添加 web-ec2 实例 通过 ELB 进行多区多实例之间的负载均衡 ...
如何拒绝国外IP/屏蔽国外IP访问服务器?
ranriqing的博客
09-14 1万+
拒绝国外IP/屏蔽国外IP访问服务器; Ipset模块,全面提升服务器安全;
AWS ELB对tcp timestamp的处理
貓的博客
10-12 808
在有NAT的情景下, tcp的timestamp会造成丢包, ELB这个问题上做了一些处理来解决这个问题, 此文进行简单的描述 问题原型 http://blog.sina.com.cn/s/blog_781b0c850100znjd.html http://noops.me/?p=269   aws的做法 ELB在转发请求的时候, 把所有路过的包的包头都进行处理, 修改tcp头, 对 ...
Amazon EC2 实例与AMI详解:用户入门与最佳实践
"这是一份全面的AWS Elastic Compute Cloud (EC2) 用户指南,...AWS EC2用户指南为用户提供了一套详尽的指导,涵盖了从初识EC2到高级使用的全部过程,帮助用户充分利用EC2的灵活性和功能,实现高效、可靠的云基础设施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值