istio下游的服务无法获取client来源IP

最新推荐文章于 2022-11-18 14:39:28 发布
最新推荐文章于 2022-11-18 14:39:28 发布
阅读量996 收藏 1
点赞数
分类专栏: 问题解决 Istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41674452/article/details/107045632
版权
在Kubernetes中,使用Istio时发现下游服务无法获取客户端的真实IP,表现为日志显示NodeIP而非客户端IP。问题出现在NodePort类型的流量过程中,客户端IP在经过节点时被替换。解决方案是通过设置Istio ingress gateway服务的spec.externalTrafficPolicy为Local,以保持源IP地址不变。参照Kubernetes官方文档进行配置可解决此问题。
摘要由CSDN通过智能技术生成

问题描述

查看Tomcat或Nginx日志时候,发现日志来源IP均为Node节点IP,无法得到真实请求IP

访问流程如下

Type=NodePort:

          client
             \ ^
              \ \
               v \
   node 1 <--- node 2
    | ^   SNAT
    | |   --->
    v |
 endpoint
  1. 客户端发送 tcp 包 到 node2:nodePort
  2. node2 把客户端源ip地址替换为node2 的ip地址
  3. node2 把请求的目的地ip替换为 pod ip
  4. tcp包被路由到 node1, 接着达到 endpoint(如service)
  5. pod的响应被路由到 node2
  6. node2把pod的响应发送给客户端

        期间客户端的源IP地址丢失(2步)

Type=LoadBalancer

                      client
                        |
                      lb VIP
                     / ^
                    v /
health check --->   node 1   node 2 <--- health check
        200  <---   ^ |             ---> 500
                    | V
                 e
最低0.47元/天 解锁文章
Linux_白菜
关注
专栏目录
Istio 中实现客户端IP 的保持
吉小白的博客
06-08 623
Istio 中实现客户端IP 的保持
istio日志获取真实来源IP
最新发布
ledrsnet的博客
01-11 704
istio日志获取真实来源IP
六, 跨语言微服务框架 - Istio Ingress和Egress详解(解决Istio无法外网访问问题)
weixin_33696106的博客
12-07 951
2019独角兽企业重金招聘Python工程师标准>>> ...
istio学习(三)修改Istioingressgateway实现会话保持并获取客户端真实IP地址
文若书生的专栏
11-18 1832
对于很多后端服务业务,我们都希望得到客户端IP。由于 istio ingressgateway 以及 sidecar 的存在,后端服务如果需要获取客户端IP,特别是四层协议,情况会变得比较复杂。下面介绍一种实现方式。
idou老师教你学Istio05: 如何用Isito实现智能路由配置
华为云CCE云容器引擎
10-22 648
概要 要介绍istio请求路由,我们不由得先从pilot 和 envoy开始谈起。 在服务网格中,Pilot管理和配置所有的envoy实例。在pilot中,你几乎可以配置所有的关于流量导向规则及其他故障恢复规则。而Envoy不仅会获得从pilot拿到的基本负载均衡信息,同时周期性的健康检查,也会告诉所有的envoy其他的实例现在的运行状况。负载均衡信息,及健康检查的信息可以使envoy更加智能的去...
获取客户端IP地址(过滤代理)
不积跬步无以至千里,不积小流无以成江河
11-20 1013
下面的工具, 能满足绝大部分应用环境,但并不是百分百。 //获取ip public static String getIpAddress(HttpServletRequest request) { String ip = null; //X-Forwarded-For:Squid 服务代理 String ipAddresses =...
Istio服务网格中的XDS通信
a605692769的博客
12-30 2645
本文就服务网格Istio中如何与Envoy进行XDS协议通信为主体内容进行讲解
超详细教程,一文入门Istio架构原理及实战应用
lt_xiaodou的博客
09-02 1547
实际上Istio 就是 Service Mesh 架构的一种实现,服务之间的通信(比如这里的 Service A 访问 Service B)会通过代理(默认是 Envoy)来进行。而且中间的网络协议支持 HTTP/1.1,HTTP/2,gRPC 或者 TCP,可以说覆盖了主流的通信协议。代理这一层,称之为数据平面。Pilot:为 Envoy 提供了服务发现,流量管理和智能路由(AB 测试、金丝雀发布等),以及错误处理(超时、重试、熔断)功能。
Istio 服务重试 (TrafficeManagement - Retries)
叶康铭的博客
10-08 1935
Retries 是在服务请求的过程中产生异常后最简单的处理方法,就是让服务再次重试,通过重试可以提供服务的可用性和健壮性。 什么场景需要用到重试 重试是解决很多请求异常最直接、简单的方法,尤其是在工作环境比较复杂的场景下,克提高总体的服务质量。重试使用不当也会有问题,最糟糕的情况是重试一直不成功,反而增加延迟和性能开销。所以根据系统运行环境、服务自身特点,配置适当的重试规则显得尤为重要。 通过例子来理解 nginx 服务访问 httpd 服务,但 httpd 服务由于自身故障错误响应 nginx 服务.
istio 常见的 10 个异常
吉小白的博客
09-18 3799
总结使用 istio 常见的10个异常: Service 端口命名约束 流控规则下发顺序问题 请求中断分析 sidecar 和 user container 启动顺序 Ingress Gateway 和 Service 端口联动 VirtualService 作用域 VirtualService 不支持 host fragment 全链路跟踪并非完全透明接入 mTLS 导致连接中断 用户服务监听地址限制 1. Service 端口命名约束 istio 支持多平台,不过 Istio
【华为云技术分享】K8s中的external-traffic-policy是什么?
华为云官方博客
04-21 9721
【摘要】 external-traffic-policy,顾名思义“外部流量策略”,那这个配置有什么作用呢?以及external是指什么东西的外部呢,集群、节点、Pod?今天我们就来学习一下这个概念吧。 1什么是external-traffic-policy 在k8s的Service对象(申明一条访问通道)中,有一个“externalTrafficPolicy”字段可以设置。有2个...
Service Mesh Istio 从入门到放弃 (二) istio 流量管理
u013171997的专栏
09-08 565
文章目录VirtualService && DestinationRuleVirtualServiceVirtualService 动态路由实践VirtualService 权重路由实践GatewayService Entry VirtualService && DestinationRule VirtualService 官方解释如下 A VirtualService defines a set of traffic routing rules to apply when
基于Kubernates的istio中白名单配置
h_tinkinginjava的博客
10-28 1061
在Kubernates中,引入了istio管理流量,这时所有的入口流量均通过istio中的ingressgateway转发至目标服务,若是想要配置白名单,限制访问流量,那么需要创建一个istio的AuthorizationPolicy资源,该资源通过label绑定ingressgateway的pod。事例如下: kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy me
istio使用教程和示例(导流,请求路由,访问拒绝,黑白名单,限速)
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-28 1万+
我们先下载下来istio的压缩包,其中samples目录中包含使用示例,我们使用其中的Bookinfo应用 使用下面命令可以创建Bookinfo应用的组件 kubectl create ns istio-demo kubectl create -f &amp;amp;amp;amp;amp;amp;lt;(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml)...
Istio 基本概念以及流量控制步骤
一支烟一朵花
10-19 1250
Istio 基本概念 Istio是Service Mesh模式的一个具体框架,底层基于Envoy。具体包含以下组件: Pilot 负责收集服务发现相关的信息并传递给Envoy Mixer Policy 负责向Envoy提供准入策略,黑白名单,QPS流速控制 Telemetry 负责向Envoy提供数据上报和日志搜集服务 Citadel 为具体的服务和用户提供认证、授权、RB...
Kubernetes部署istio时,拉取gcr.io源超时解决方案
jerryhu1234的博客
09-26 3195
首先注册一个阿里云帐号,登录到阿里云的容器镜像服务:https://cr.console.aliyun.com/ 1)创建一个命名空间; 2)根据命名空间创建一个镜像仓库,如是私有仓库可以设置Registry登录密码; 注意:需选择海外机器构建,这里我在github上创建了一个registry为istio。 3)对创建好的镜像仓库,构建镜像。 前提条件:需在github上的i...
istio网络转发分析
weixin_33885676的博客
03-24 1275
背景介绍 service mesh 和 istio概述 Service Mesh是专用的基础设施层,轻量级高性能网络代理。提供安全的、快速的、可靠地服务间通讯,与实际应用部署一起,但对应用透明。 为了帮助理解, 下图展示了服务网格的典型边车部署方式: 图中应用作为服务的发起方,只需要用最简单的方式将请求发送给本地的服务网格代理,然后网格代理会进行后续的操...
Java反向代理下获取真实客户端IP的策略
这时,由于代理的存在,服务器端无法直接获取客户端的真实IP,因为原始的请求头信息被修改了。通常,代理服务器会在HTTP头信息中添加一个名为X-Forwarded-For的字段,其中包含了客户端的真实IP地址。这是通过设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值