1. 首先讲一下三种AWS ELB的对于源ip的区别处理
CLB和ALB: 默认不会保留原始的客户端client ip, 而是在CLB或ALB中进行一次NAT转换把源ip转换为CLB/ALB的一个eni ip,目的ip地址转换为终端web服务器的server ip。
NLB则分两种情况:
1. Target Group中使用instance-id则客户端源ip会直接被保留传递给终端web服务器的ec2
2. Target Group中使用的IP address的话则像CLB/ALB一样进行源目地址的NAT转换,如果想在终端的web server上获取到原始的源ip的话就需要修改web服务器的配置去使用NLB/ALB/CLB默认传递的XFF (X-Forwarded-For)header去获取原始的源ip
2. 接下来我们以Nginx server为例讲一下实际应用
在安装了Nginx的EC2上tail -f /var/log/nginx/access.log
可以查看谁访问了我们的server,比如我们在browser访问NLB的dns “http://demo-test-nlb-8f9bb06e96b01css.elb.us-east-1.amazonaws.com/”
这里我使用的是NLB的instance-id作为target, 根据前面我们提到的,此场景会传递原始的源ip给web 服务器。可以看到:
但是如果我们用的是ALB的dns名去访问后面的web服务器的话那就只能看到NAT后的ALB的eni ip了, 比如我们访问
http://demo-alb-internet-facing-297103177.us-east-1.elb.amazonaws.com/
可以看到
如果想要从ALB后面的nginx server获取到src client的真实客户端源ip的话需要在nginx server上配置X-Forwarded-For header:
vi /etc/nginx/nginx.conf
在http的section中的access_log
前面加上下面这段配置:
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status \$body_bytes_sent "\$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for" ';
access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error.log;
access_log /var/log/nginx/access.log main; #这行后面一定要加上main表明我们要采用前面定义的main format!
systemctl restart nginx
然后就能从log中看到原始的客户端client ip了