envoy获取客户端真实IP

已于 2022-06-23 21:31:23 修改
阅读量861 收藏 3
点赞数
分类专栏: # envoy 文章标签: tcp/ip 网络 服务器 云原生 kubernetes
于 2022-06-23 21:30:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_24092079/article/details/125435342
版权

在envoy作为前端代理时,用户ip的获取很重要,一般获取ip的方式。都是通过Header中的 X-Forward-ForX-Real-IPRemote addr 等属性获取,但是如果确保Envoy可以获取到的ip是真实的用户ip呢?本篇继续解密!

概念说明

  • Remote Address
    是nginx与客户端进行TCP连接过程中,获得的客户端真实地址。Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。
    一般情况下,在Envoy作为最外层代理时,此IP为真实的IP客户端IP

  • X-Real-IP
    是一个自定义头。X-Real-Ip 通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP,这个设备可能是其他代理,也可能是真正的请求端。X-Real-Ip 目前并不属于任何标准,代理和 Web 应用之间可以约定用任何自定义头来传递这个信息。

  • X-Forwarded-For
    X-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。通常,X-Forwarded-For可被伪造,并且使用CDN会被重写

Envoy中如何获取真实IP

在Envoy中,涉及到客户端IP的配置如下:
use_remote_address: 默认值false,设置为true,使用客户端连接的真实远程地址,false是使用x-forwarded-for
skip_xff_append: 设置为true,则不会将远程地址附加到x-forwarded-for中
request_headers_to_add 添加请求头
request_headers_to_remove 删除一个请求头

实验环境配置准备

admin:
  access_log_path: /dev/null
  address:
    socket_address: {
    address: 0.0.0.0, port_value: 9901 }

static_resources:
  listeners:
  - name: listener_80
    address:
      socket_address: {
    address: 0.0.0.0, port_value: 80 }
    access_log:
   
    filter_chains:
    - filters:
      - name: envoy_http_connection_manager
        typed_config:
          "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager
          access_log:
          - name: envoy.listener.accesslog
            typed_config: 
              "@type": type.googleapis.com/envoy.extensions.access_loggers.file.v3.FileAccessLog
              path: /var/log/envoy.log
              log_format: 
                text_format: "[%START_TIME%] \"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%\
最低0.47元/天 解锁文章
Hermokrates
关注
专栏目录
Istio是一个开源的基于 envoy proxy 的服务网格工具,它通过提供应用层面的流量管理和安全保障能力,帮助企业构建一个完整的服务网络体系
AI天才研究院
08-05 1296
容器编排工具通常都提供微服务架构,其中包括服务注册与发现、负载均衡、流量控制和熔断等功能。随着云计算的普及,越来越多的人开始使用这些容器编排工具,包括Docker Swarm、Kubernetes、Mesos等。除了提供容器集群管理之外,许多容器编排工具还提供了其他功能如日志、监控和追踪等。服务网格也被很多工具所采用,其主要目的是提供一种更加统一的服务治理方式。目前,服务网格技术可以分成两大类,即服务代理和Sidecar代理模式。
Istio 中实现客户端IP 的保持
吉小白的博客
06-08 632
Istio 中实现客户端IP 的保持
angular environment 变量判断ip地址
qq_36557846的博客
10-28 1415
需求描述 测试环境192.268.224.114里请求192.268.224.112的接口,showip为192.268.224.112, 测试环境192.268.224.113里请求192.268.224.111的数据,ip地址得写192.268.224.111; 实现方法如下: environment.ts配置 export const environment = { showip:"http://192.168.224.112" }; 在接口文件xx.service.ts文件里加判断 //引入e
获取客户端ip
大飞带你飞
07-08 425
<?php //获取客户端ip $onlineip = ''; $cip = getenv ( 'HTTP_CLIENT_IP' ); //getenv()从环境中取字符串,获取环境变量的值,用户IP $xip = getenv ( 'HTTP_X_FORWARDED_FOR' ); //浏览当前页面的用户计算机的网关 $rip = getenv ( 'REMOTE_ADDR' ); //用户浏览
Spring boot 获取当前启动端口和IP
wmsuccess的专栏
09-30 1万+
一、获取端口 1.通过environment获取 @Autowired Environment environment; public String getPort(){ return environment.getProperty("local.server.port"); } 2.通过@LocalServerPort或@Value("${local.server.port}")获...
获取客户端ip的几种方式
qq_41824404的博客
10-19 1393
安全方式下只能通过 Remote Address 获取 IP,不能相信任何请求头,因Remote Address获取方式是通过TCP三次握手确认的,如果伪造IP则握手失败; 使用 Nginx 进行反向代理的 Web 应用,在不配置代理头X-Forwarded-For 或X-Real-IP的情况下,要用X-Forwarded-For最后一节 或X-Real-IP获取 IP。(因代理情况下 Remote Address 得到的是 Nginx 所在服务器的内网 IP); 在与安全无关的场景,例如...
How to get remote address from request of Netty HTTP Server
ttyy1112的专栏
12-02 1006
How to get remote address from request of Netty HTTP Server获取 remoteAddress 的逻辑通过配置文件启用 use-forward-headers通过 NettyWebServerFactoryCustomizer 配置 获取 remoteAddress 的逻辑 通过HTTP请求获取 remote address 时,最终是调用 ...
nginx+tomcat 获取正确的remoteAddr
Coder
04-30 2288
一、问题背景 通过nginx来反向代理客户端请求,经过nginx中转转发给tomcat服务器,但发现tomcat服务器无法获取到正确的remoteAddr客户端地址,每次请求拿到的都是nginx所在服务器IP 1、在tomcat服务器上查看tomcat服务日志,发现打印的请求日志,remoteAddr都是nginx的IP,而不是客户端真实IP ## 192.168.200.251是...
[C#] 如何通过TcpClient取得remote ip和port
Eric的博客
06-01 1万+
在我们用TcpListener.AcceptTcpClient()接收连接之后,我们迫切需要有一个方法可以得到对方的ip和port。这样,我们才可以查看是谁从哪里连到了我们的server上。切入点在于TcpClient有一个protected的成员Client,这是一个System.Net.Sockets.Socket类型的对象。而我们知道System.Net.Sockets.Socket对象是可
squid代理与ACL访控策略
weixin_50484407的博客
11-05 394
今天搭建一台squid代理服务器 先来了解一下squid 1、squid代理的作用和特点 1】squid的作用:代理程序 2】squid的特点:隐藏内部网络 安全性强 缓存用户访问历史数据 减少带宽资源占用 加快用户访问速度 2、常见的代理程序 1】squid:针对应用层实现 缓存用户历史数据 2】nginx:针对网站配置负载均衡 增加访问并发量 避免单点故障 3、squid的工作原理 1】客户端请求代理 :客户端向squid代理发送查询请求 2】squid查询缓存:缓存保存用户数据直接返回客户端 缓存没有
laravel 获取真实客户端IP
时光沙漏
12-19 3万+
laravel 获取真实客户端IP
istio日志获取真实来源IP
最新发布
ledrsnet的博客
01-11 716
istio日志获取真实来源IP
Envoy HTTP过滤器中的外部授权
JosephThatwho的博客
03-18 1728
概述 外部授权过滤器调用授权服务检查收到的请求是否被授权。授权过滤器可以是网络过滤器也可以是HTTP过滤器。如果网络过滤器判定请求未授权,则会关闭链接;如果HTTP过滤器判定请求未授权,则会返回403状态码。 外部授权过滤器最好放在过滤器链的最前面,在其他过滤器处理请求前先鉴权。 如果外部服务不可访问,那么将通过可用过滤器中的failure_mode_allow配置项来决定请求是否被授权。如果该项设置为true,那么请求会被允许。默认值是false。 服务的定义 流量上下文通过下面列出的服务传递给外部授权服
envoy实现_自己动手实现一个envoy限流器
weixin_39917894的博客
12-23 218
envoy ratelimitenvoy 可以集成一个全局grpc ratelimit 服务,称之为为rate limit service,go-control-plane 是一个官方实现的envoy golang 库github.com/envoyproxy/go-control-planego-control-plane中关于rls的pb文件为envoy/service/rateli...
EnvoyFilter
变成习惯
07-23 3162
EnvoyFilter EnvoyFilter 提供了一种机制,来自定义 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 可以 修改某些字段的值,添加特定的过滤器,甚至添加全新的监听器、集群等。必须谨慎使用此功能,因为不正确的配置可能会破坏整个网格的稳定性。与其他 Istio 网络对象不同,EnvoyFilters 是附加应用的。对于特定命名空间中的给定工作负载,可以有任意数量的 EnvoyFilters。这些 EnvoyFilters 的应用顺序如下:配置根命名空间中的所有
envoy 代理 socket.io
weixin_34242658的博客
01-03 311
envoy 代理 socket.io 最近在做web 长连接消息通道的方案与实现, 目前web 的方案主要有websocket。 后来经过调研发现socket.io 的浏览器兼容性更好。于是 使用socket.io 作用通信连接。本文记录在此过程中遇到的问题。 主要的问题: envoy 代理socket.io . 1. socket.i...
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
Envoy Proxy与ServiceMesher中文详解
"envoyproxy-servicemesher-v1.7-20180529.pdf 是一个关于 Envoy Proxy 和 ServiceMesher 的中文文档,详细介绍了 Envoy 的核心功能和架构,以及在服务网格中的应用。文档包含了 Envoy 的多个章节,涵盖了从基础概念...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hermokrates

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值