解决K8s中Ingress Nginx控制器无法获取真实客户端IP与白名单配置

原创 已于 2025-03-06 16:48:00 修改 · 886 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #nginx #tcp/ip

于 2025-03-06 16:36:24 首次发布

在这里插入图片描述

在我们架构上有多层代理,无法获取到真实的ip,怎么解决这个问题,获取到真实CLIENT客户端的IP地址呢,在ingress-nginx控制器上配置其实也不难,加入下面三行配置即可解决:

data:
allow-snippet-annotations: ‘true’
compute-full-forwarded-for: ‘true’
forwarded-for-header: ‘X-Forwarded-For’
use-forwarded-headers: ‘true’

# kubectl -n kube-system edit configmaps ingress-nginx-controller

kind: ConfigMap
apiVersion: v1
metadata:
  name: ingress-nginx-controller
  namespace: ops
  labels:
    app.kubernetes.io/component: controller
    app.kubernetes.io/instance: ingress-nginx
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
    app.kubernetes.io/version: 1.7.1
data:
  allow-snippet-annotations: 'true'
  compute-full-forwarded-for: 'true'
  forwarded-for-header: 'X-Forwarded-For'
  use-forwarded-headers: 'true'

我们来看看这三行配置的详细含义:

compute-full-forwarded-for
: 将 remote address 附加到 X-Forwarded-For Header而不是替换它。当启用此选项后端应用程序负责根据自己的受信任代理列表排除并提取客户端 IP。

forwarded-for-header
: 设置用于标识客户端的原始 IP 地址的 Header 字段。默认值X-Forwarded-For
,此处由于A10带入的是自定义记录IP的Header,所以此处填入是X_FORWARDED_FOR

use-forwarded-headers
: 如果设置为True时,则将设定的X-Forwarded-*
 Header传递给后端, 当Ingress在L7 代理/负载均衡器
之后使用此选项。如果设置为 false 时,则会忽略传入的X-Forwarded-*
Header, 当 Ingress 直接暴露在互联网或者 L3/数据包的负载均衡器后面,并且不会更改数据包中的源 IP请使用此选项。

我们的负载上要nginx stream 4层代理:

nginx 需要编译增加–with-stream_realip_module模块,然后对应的server块中添加参数,proxy_protocol on; 如下图所示:

在这里插入图片描述

前面的4层代理更改好之后,ingress解析不了包,会报错 ‘400 Bad Request’,需要修改ingress cm nginx-configuration 配置 , 增加 use-proxy-protocol: “true” 。如下:

compute-full-forwarded-for: "true"
forwarded-for-header:X-Forwarded-For
use-forwarded-headers:"true"
use-proxy-protocol:"true"

nginx 7层代理需要设置如下参数:

在这里插入图片描述
在这里插入图片描述

waf、cdn等产品也要开启后端真实ip代理。

ingress白名单控制

kind: Ingress
apiVersion: networking.k8s.io/v1
metadata:
  name: digital-office-platform-server
  namespace: uat-digital
  annotations:
    kubesphere.io/creator: admin
    nginx.ingress.kubernetes.io/real-ip-header: X-Forwarded-For
    nginx.ingress.kubernetes.io/configuration-snippet: |  # 加入自定义头部,保存remote_addr信息
      proxy_set_header X-Custom-Real-IP $remote_addr;
    nginx.ingress.kubernetes.io/real-ip-recursive: 'true'
    nginx.ingress.kubernetes.io/rewrite-target: /$2
    nginx.ingress.kubernetes.io/whitelist-source-range: 172.31.96.10/32,10.0.0.10/32 # 只允许信任IP访问,其他返回403
spec:
  ingressClassName: nginx
  rules:
    - host: tmg-digital-uat.example.com
      http:
        paths:
          - path: /platform-interface(/|$)(.*)
            pathType: Prefix
            backend:
              service:
                name: digital-office-platform-server
                port:
                  number: 80
    - host: tmg-digital-uat.example.com
      http:
        paths:
          - path: /
            pathType: ImplementationSpecific
            backend:
              service:
                name: open-web
                port:
                  number: 80

但这个时候,我们在请求头部传入伪造的XFF信息,再看结果呢

[root@uat-admin ~]# curl  -H "X-Forwarded-For: 10.0.1.201"  http://tmg-digital-uat.example.com
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx</center>
</body>
</html>

在172.31.96.10服务器上访问正常,其他机器上也访问失败,配置成功。

潇洒哥737
关注
ingress-nginx k8s.gcr.io 替换 中国镜像
隔壁老瓦的专栏
04-19 4991
使用国内镜像源,下载镜像列表。 Docker Hub 去docker hub 上搜索 docker pull liangjw/ingress-nginx-controller:v1.1.2 #GENERATED FOR K8S 1.20 apiVersion: v1 kind: Namespace metadata: labels: app.kubernetes.io/instance: ingress-nginx app.kubernetes.io/name:
安全运维-如何在Kubernetes中使用注释对ingress-nginx及后端应用进行安全加固配置实践...
WeiyiGeek 唯一极客IT知识分享
08-15 2474
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x08 Kubernetesingress-nginx安全配置1.配置指定的 Ingress Class2.安全配置之强制跳转HTTPS3.安全配置之跨域访问cors4.安全配置之防止DDOS请求限流5.安全配置之请求访问白名单6.安全配置之请求访问日志记录7.安全配置Nginx指.........
nginx解决nginx反向代理后获取不到客户端真实ip地址问题
热门推荐
小慌慌的博客
04-20 1万+
【问题描述】 测试web操作日志的时候,发现记录客户端操作IP不是客户端真实IP解决办法】 1、修改配置文件/usr/local/nginx/conf/nginx.conf location ^~ /api/test/ { proxy_pass http://ip/api/test/; #以下为新增内容 proxy_set_header Host $host; proxy_set_header ...
解决nginx端口转发后,获取不到真实IP问题
m0_37542524的博客
07-31 2612
【代码】解决nginx端口转发后,获取不到真实IP问题。
ingress-nginx传递用户真实ip问题
最新发布
运维老生常谈
10-31 1016
如果从客户端ip0发起一个HTTP请求到达服务器之前,经过了三个代理proxy1、proxy2、proxy3,对应的ip分别为ip1、ip2、ip3,那么服务端最后得到的X-Forwarded-For值为:ip0,ip1,ip2。的话,会发现还是没能获取客户端来源的真实ip,原因是当前X-Forwarded-For变量是从remote_addr获取的值,每次取到的都是最近一层代理的ip。比如,当服务器前端使用了CDN的时候,X-Forwarded-For方式获取到的可能就是CDN的来源ip了,
第13关 解决K8sIngress Nginx控制器无法获取真实客户端IP的问题
博哥爱运维
11-25 5431
这节课带大家探索并分享最全面的解决在使用KubernetesK8s)和Ingress-Nginx-Controller无法获取客户端真实IP问题的视频教程,帮助你快速理解并解决这一问题。
K8S中应用无法获取用户真实ip问题排查
bruce128的专栏
06-11 784
摘要:生产环境出现用户IP显示为内部IP(172.30.94.97)的问题。排查发现:1) Nginx日志中remote_addr显示为内部IP,而真实IP存储在http_x_forwarded_for字段;2) Java代码优先读取了错误的X-Real-IP头(nginx配置错误传递了remote_addr);3) 因K8S双层Nginx架构(ingress+业务nginx),remote_addr只能获取上一层节点IP解决方案是修改nginx配置,将X-Real-IP值从remote_addr改为ht
kubernetes学习(十三)kubernetes-Ingress-nginx
qq_49148518的博客
01-10 1112
解析上图,当客户端发起https请求,nginx收到后再由自己发起对服务器的tcp连接,真实环境中nginx和服务器一般都是在同一内网环境中,所以他们之间用http进行通信即可。比如Ingress-nginx就是控制器的一种,还有很多其他的可以去官网看介绍,Ingress-nginx是使用范围最广的。解析上图,客户端访问lvs,lvs将请求转发到后端真实服务器,图中看出客户端到服务端之间只有一次完整的tcp连接,lvs只是转发请求而已,那么真实服务器接收请求,也势必要开启https的配置
Kubernetes 安装配置ingress controller
qianghong000的博客
11-21 1479
Kubernetes 安装配置ingress controller
k8s大总结
怨行客
08-26 558
1. ingress 不同的网络域名path 对应不同的 后端svc的功能 ingress 定下规则,ingress-controller 根据这个规则,配置了负载均衡器(比如 nginx),让它知道访问 www.test.com的时候,将流量转发到 web-service
K8S云平台部署过程说明
数通畅联
10-12 2230
近期由于工作原因,在项目支持的过程中,进行了一次K8S的基础环境部署,云平台一直是公司的重要底座,而我由于一系列原因,一直没有亲自尝试,通过本次的机会,让我重新做了一遍,也找到了和以前部署传统环境一样的感觉,虽然还有些生疏和不解,但是迈出了这一步,也算是深入学习的开始。 环境部署是作为公司技术人员,必须要掌握的,我们的产品都是基于这个基本条件下进行搭建使用的,因此对于环境的了解,原理的学习,对于我们后续问题排查,产品问题定位都是有所帮助的。 1集群架构 其核心思想是让 K8S master 节..
k8s无法获取nginx-ingress客户端真实ip地址x-forwarded-for
jialiu111111的博客
09-12 3275
如果您的服务部署在K8s上,K8s会将真实客户端IP记录在X-Original-Forwarded-For字段中,并将WAF回源地址记录在X-Forwarded-For字段中。您需要修改容器的配置文件,使Ingress真实IP添加到X-Forwarded-For字段中,以便您正常获取真实客户端IP地址。4.咨询阿里云开发ingress不区分大小写,x-forwarded-for不能修改成X-Forwarded-For。3.添加后可以获取到x-forwarded-for参数。
程序在Nginx/k8s下如何获取客户端真实IP,带工具类
u012272367的博客
01-05 5103
程序在Nginx/k8s下如何获取客户端真实IP,带工具类
ingress-nginx-controller获取客户端真实ip
V 云原生实践课堂
01-19 7092
线上部署的一个应用的pod,访问时采用的是ingress的方式,同时为了ingress的高可用,运行了3个ingress-controller节点,在ingress-controller前面再挂了一个F5负载均衡器,所有访问ingress访问的域名,域名解析地址都为F5的vip地址,再由F5负载均衡到一个ingress-controller上面。 数据流量流向: ...
nginx 多层代理 + k8s ingress 后端服务获取客户真实ip 配置
myy1066883508的博客
09-28 2201
ingress 多层代理获取真实客户端ip
k8s ingress获取客户端客户端真实IP
高性价比服务器就选:蓝易云
01-15 1193
Ingress配置中启用代理协议(Proxy Protocol),这可以让负载均衡器在将请求传递给后端服务时,将客户端真实IP作为头部信息传递给后端服务。无论您选择哪种方式,确保在Ingress配置中启用了相应的选项,并根据您的环境进行适当的调整。这将允许您在后端服务中获取客户端真实IP地址。
nginx无法获取真实ip的问题
emoyuer的博客
12-14 6150
使用“Web应用防火墙”后获取访问者真实IP配置指南 很多时候,网站并不是简单的从用户的浏览器直达服务器, 中间可能会加入CDN、WAF、高防。 从而,变成如下的架构: 用户 —–> CDN/WAF/高防 ——> 源站服务器 那么,经过这么多层加速,服务器如何才能得到发起请求的真实客户端IP呢? 当一个透明代理服务器把用户的请求转到后面服务器的时候,会在HTT
nginx获取不到真实ip地址,注意这个细节
xiaxiazl的专栏
04-11 3412
/上面都还没有,有可能就是局域网内的IP进行操作的,则获取请求头的局域网IP。// 多次反向代理后会有多个ip值,第一个ip才是真实ip。//如果上面没有获得代理的IP,则使用获取真实IP的请求头进行尝试。1 一定要把proxy_pass语句放在最后面。# 一定要把这句放在后面。2 使用代码获取,以java为例。
nginx转发无法获取用户真实ip地址
dddd_1507的博客
07-08 2827
修改nginx配置获取用户真实ip地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值