程序在Nginx/k8s下如何获取客户端真实IP,带工具类

最新推荐文章于 2023-09-28 18:21:30 发布
最新推荐文章于 2023-09-28 18:21:30 发布
阅读量4.6k 收藏 8
点赞数
分类专栏: JAVA k8s 文章标签: nginx 服务器 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012272367/article/details/122317041
版权
JAVA 同时被 2 个专栏收录
41 篇文章 2 订阅
订阅专栏
k8s
4 篇文章 0 订阅
订阅专栏

目录

Nginx获取客户端信息

直接获取信息存在哪些问题?

如何解决这些问题?

我们整体上需要从两个方面来解决这些问题:

具体实践

配置nginx

通过Java方法获取客户端信息

Tomcat

k8s ingress获取真实IP地址配置 

Nginx获取客户端信息

Nginx反向代理后,Servlet应用通过request.getRemoteAddr()取到的IP是Nginx的IP地址,并非客户端真实IP,通过request.getRequestURL()获取的域名、协议、端口都是Nginx访问Web应用时的域名、协议、端口,而非客户端浏览器地址栏上的真实域名、协议、端口。

直接获取信息存在哪些问题?

例如在某一台IP为192.168.101.1的服务器上,Tomcat端口号为8090,Nginx端口号80,Nginx反向代理8090端口:

server {
    listen 80;
    location / {
        proxy_pass http://127.0.0.1:8090; # 反向代理应用服务器HTTP地址
    }
}

在另一台ip为192.168.10.11机器上用浏览器打开http://192.168.101.1/api/getIp访问自己写的一个spring boot应用,获取客户端IP和URL:

log.info("RemoteAddr: {}" , request.getRemoteAddr());
log.info("URL: {}" ,request.getRequestURL().toString());

打印的结果信息如下:

RemoteAddr: 127.0.0.1
URL: http://127.0.0.1:8090/api/getIp

可以发现,当前程序获取到的客户端IP是Nginx的IP而非192.168.10.11浏览器所在机器的IP,获取到的URL是Nginx proxy_pass配置的URL组成的地址,而非浏览器地址栏上的真实地址。如果将Nginx用作https服务器反向代理后端的http服务,那么request.getRequestURL()获取的URL是http前缀的而非https前缀,无法获取到浏览器地址栏的真实协议。如果此时将request.getRequestURL()获取得到的URL用作拼接Redirect地址,就会出现跳转到错误的地址,这也是Nginx反向代理时经常出现的一个问题。

如何解决这些问题?

既然直接使用Nginx获取客户端信息存在问题,那我们该如何解决这个问题呢?

我们整体上需要从两个方面来解决这些问题:

(1)由于Nginx是代理服务器,所有客户端请求都从Nginx转发到Tomcat,如果Nginx不把客户端真实IP、域名、协议、端口告诉Tomcat,那么Tomcat应用永远不会知道这些信息,所以需要Nginx配置一些HTTP Header来将这些信息告诉被代理的Tomcat;

(2)Tomcat这一端,不能再获取直接和它连接的客户端(也就是Nginx)的信息,而是要从Nginx传递过来的HTTP Header中获取客户端信息。

具体实践

配置nginx

首先,我们需要在Nginx的配置文件nginx.conf中添加如下配置。

proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;

各参数的含义如下所示。

  • Host包含客户端真实的域名和端口号;
  • X-Forwarded-Proto表示客户端真实的协议(http还是https);
  • X-Real-IP表示客户端真实的IP;
  • X-Forwarded-For这个Header和X-Real-IP类似,但它在多层代理时会包含真实客户端及中间每个代理服务器的IP。

此时,再试一下request.getRemoteAddr()request.getRequestURL()的输出结果:

RemoteAddr: 127.0.0.1
URL: http://192.168.101.1/api/getIp

可以发现URL好像已经没问题了,但是IP还是本地的IP而非真实客户端IP。但是如果是用Nginx作为https服务器反向代理到http服务器,会发现浏览器地址栏是https前缀但是request.getRequestURL()获取到的URL还是http前缀,也就是仅仅配置Nginx还不能彻底解决问题。

通过Java方法获取客户端信息

以下示例是以java为例。适用于Nginx代理和k8s部署

import javax.servlet.http.HttpServletRequest;
import java.net.InetAddress;
import java.net.UnknownHostException;
import java.util.Objects;

/**
 * 获取IP方法
 * 防止反向代理反向代理软件获取不到真实iPx信息
 *@author 重庆阿汤哥
 */
public class IpUtils {
   public static String getIpAddr(HttpServletRequest request) {
      if (request == null) {
         return "unknown";
      }
      String ip = request.getHeader("x-forwarded-for");
      if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
         ip = request.getHeader("Proxy-Client-IP");
      }
      if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
         ip = request.getHeader("X-Forwarded-For");
      }
      if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
         ip = request.getHeader("WL-Proxy-Client-IP");
      }
      if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
         ip = request.getHeader("X-Real-IP");
      }

      if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
         ip = request.getRemoteAddr();
      }
      ip = EscapeUtil.clean(ip);// 清除Xss特殊字符
      return "0:0:0:0:0:0:0:1".equals(ip) ? "127.0.0.1" : ip;
   }

   private static boolean internalIp(byte[] addr) {
      if (Objects.isNull(addr) || addr.length < 2) {
         return true;
      }
      final byte b0 = addr[0];
      final byte b1 = addr[1];
      // 10.x.x.x/8
      final byte SECTION_1 = 0x0A;
      // 172.16.x.x/12
      final byte SECTION_2 = (byte) 0xAC;
      final byte SECTION_3 = (byte) 0x10;
      final byte SECTION_4 = (byte) 0x1F;
      // 192.168.x.x/16
      final byte SECTION_5 = (byte) 0xC0;
      final byte SECTION_6 = (byte) 0xA8;
      switch (b0) {
         case SECTION_1:
            return true;
         case SECTION_2:
            if (b1 >= SECTION_3 && b1 <= SECTION_4) {
               return true;
            }
         case SECTION_5:
            switch (b1) {
               case SECTION_6:
                  return true;
            }
         default:
            return false;
      }
   }

   /**
    * 将IPv4地址转换成字节
    *
    * @param text IPv4地址
    * @return byte 字节
    */
   public static byte[] textToNumericFormatV4(String text) {
      if (text.length() == 0) {
         return null;
      }

      byte[] bytes = new byte[4];
      String[] elements = text.split("\\.", -1);
      try {
         long l;
         int i;
         switch (elements.length) {
            case 1:
               l = Long.parseLong(elements[0]);
               if ((l < 0L) || (l > 4294967295L))
                  return null;
               bytes[0] = (byte) (int) (l >> 24 & 0xFF);
               bytes[1] = (byte) (int) ((l & 0xFFFFFF) >> 16 & 0xFF);
               bytes[2] = (byte) (int) ((l & 0xFFFF) >> 8 & 0xFF);
               bytes[3] = (byte) (int) (l & 0xFF);
               break;
            case 2:
               l = Integer.parseInt(elements[0]);
               if ((l < 0L) || (l > 255L))
                  return null;
               bytes[0] = (byte) (int) (l & 0xFF);
               l = Integer.parseInt(elements[1]);
               if ((l < 0L) || (l > 16777215L))
                  return null;
               bytes[1] = (byte) (int) (l >> 16 & 0xFF);
               bytes[2] = (byte) (int) ((l & 0xFFFF) >> 8 & 0xFF);
               bytes[3] = (byte) (int) (l & 0xFF);
               break;
            case 3:
               for (i = 0; i < 2; ++i) {
                  l = Integer.parseInt(elements[i]);
                  if ((l < 0L) || (l > 255L))
                     return null;
                  bytes[i] = (byte) (int) (l & 0xFF);
               }
               l = Integer.parseInt(elements[2]);
               if ((l < 0L) || (l > 65535L))
                  return null;
               bytes[2] = (byte) (int) (l >> 8 & 0xFF);
               bytes[3] = (byte) (int) (l & 0xFF);
               break;
            case 4:
               for (i = 0; i < 4; ++i) {
                  l = Integer.parseInt(elements[i]);
                  if ((l < 0L) || (l > 255L))
                     return null;
                  bytes[i] = (byte) (int) (l & 0xFF);
               }
               break;
            default:
               return null;
         }
      } catch (NumberFormatException e) {
         return null;
      }
      return bytes;
   }

这种方式虽然能够获取客户端的IP地址,但涉及到代码侵入,既然Servlet API提供了request.getRemoteAddr()方法获取客户端IP,那么通过改Tomcat服务器的配置岂不是更好的获取客户端信息。

Tomcat

如果使用Tomcat作为应用服务器,可以通过配置Tomcat的server.xml文件,在Host元素内最后加入:

<Valve className="org.apache.catalina.valves.RemoteIpValve" />

k8s ingress获取真实IP地址配置 

 正常公司开发者基本无权限配置,需要联系自己公司运维,在racher中找到ingress-nginx-controller,在找到nginx-configuration

 

 添加内容:

compute-full-forwarded-for: "true"
forwarded-for-header: "X-Forwarded-For"
use-forwarded-headers: "true"

保存后重启pod。随后ingress的添加真实的IP行为会与RFC一样都依次添加到X-Forwarded-For中了

重庆阿汤哥
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java面试之如何获取客户端真实IP
08-25
我们可以使用request.getRemoteAddr()方法来获取客户端IP地址,但是这种方法有一个缺陷,就是当我们使用了nginx反向服务器后,在web端使用request.getRemoteAddr()方法取得的是nginx的地址,而不是用户的真实IP。...
IP工具类,通过传入的request获取ip地址(JAVA)
最新发布
12-25
在IT行业中,尤其是在Web开发领域,获取客户端IP地址是一项常见的任务。这有助于跟踪用户行为、提供地域针对性的服务,甚至进行安全防护。本篇文章将详细解释如何在Java环境下,通过Servlet和Reactive编程模型来...
k8s ingress 添加获取客户端真实ip配置
weixin_42324368的博客
07-27 1705
k8s ,ingress,pod获取客户端ip地址
k8s访问nignx服务的IP -pod ip
rabies的博客
10-26 792
如上图所示,第一个命令可以看到kubernetes给Pod分配的唯一IP,第二个命令看到的是服务,可以看到服务中有个集群IP,这个IP时无法直接访问的,只有分配的Pod的IP可以直接访问,不过每个服务的外部IP,应该可以手动暴露,这样就可以直接通过服务去访问pod了,后续研究好了再来补充。 这里直接通过curl podIP ,可以访问nginx服务,因为默认端口时80,这里不需要显示申明 ...
Kubernetes ingress-nginx之后端Pod获取客户端真实IP
biyubang6725的博客
08-20 3931
转载自:https://www.codetd.com/article/1948828 使用externalTrafficPolicy: Local保留报文的源地址:1.1 nodePort类型kubernetes将在Pod所在Node上针对nodePort下发DNAT规则,而在其他节点上针对nodePort下发DROP规则。client ^/...
k8s获取client ip
discsthnew的博客
03-25 9306
通常,为了访问kubernetes集群中的pod,我们会使用service的形式。以下,就不同的 service 类型来探讨对source ip的影响。 kubernetes的官网对此也有说明: https://kubernetes.io/docs/tutorials/services/source-ip/ 在此简单总结一下(网络插件使用calico, 其他插件可能有不同,在此不做讨论): ...
nginx 多层代理 + k8s ingress 后端服务获取客户真实ip 配置
myy1066883508的博客
09-28 1369
ingress 多层代理获取真实客户端ip
k8s系统获取真实客户端ip
weixin_42507440的博客
04-14 3666
k8s部署,系统获取真实客户端ip 我们生产中使用的是kong网关 修改kong的配置 配置要信任的原始IP地址列表,这里配置为全部信任 trusted_ips = 0.0.0.0/0,::/0 yaml文件添加: - name: KONG_TRUSTED_IPS value: 0.0.0.0/0,::/0 - name: KONG_REAL_IP_HEADER value: X-Forwarded-For -
nginx经过多层代理后获取真实来源ip过程详解
01-20
问题 nginx取 $remote_addr 当做真实ip,而事实上,$http_X_Forwarded_For 才是用户真实ip,$remote_addr只是代理上一层的地址 ...nginx: [emerg] unknown directive set_real_ip_from in /home/lnidmp/nginx/conf/
k8s下部署nginx集群部署方式(相关yaml文件的编写和说明)
07-31
在Kubernetes(k8s)环境下,部署Nginx集群是一项常见的任务,它涉及到容器编排、服务发现、负载均衡等多个重要概念。本篇将详细阐述如何使用YAML文件进行Nginx集群的配置和部署。 首先,让我们了解YAML文件在k8s中...
获取客户端真实IP(支持代理服务器)
02-20
获取客户端真实IP(支持代理服务器)
nginx 如何配置来获取用户真实IP
qq_43165760的博客
12-16 3045
##1.背景知识 1.1. 前提知识点: 还有nginx中的几个变量: remote_addr 代表客户端IP,但它的值不是由客户端提供的,而是服务端根据客户端ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样web服务器就会把remote_addr设为这台代理机器的IP,除非代理将你的IP附在请求header中
k8s部署Nginx实现外部访问
leetrocken的博客
09-26 5389
k8s部署Nginx实现外部访问 1.准备k8s环境 [root@master yaml]# kubectl get nodes ##两个节点均为Ready状态 NAME STATUS ROLES AGE VERSION master Ready master 3d8h v1.18.1 node Ready <none> 3d8h v1.18.1 2.检查主机上是否存在Nginx镜像 [root@master cicd]# d
Nginx代理后从REQUEST获取客户端IP地址
一瓶绿茶三元钱
02-20 6546
应用程序部署上线,一般都会用nginx之类的来进行反向代理,而不是直接访问tomcat之类的容器. 这时候如果用平时的获取ip的代码,就只会获取nginx所在服务器ip, 就失去了本身的意义. 今天就来配置下 nginx+tomcat 后,  程序获取ip和 tomcat的访问日志localhost_access_log 获取ip. nginx+tomcat集群参
Kubernetes获取用户请求的真实IP地址。
Prinz_Corn的博客
12-20 3856
问题:SpringBoot 项目部署在Kubernetes 集群中,用户在请求Kubernetes 内的服务时,获取客户端IP地址时,获取到的IP地址总是获取的是k8s节点的IP,不是用户的IP地址. 解决方方式: 1、如果向外暴漏服务的pod,是直接以nodePort的方式向外部暴露服务的,直接修改管理该pod的Service配置文件,添加externalTrafficPolicy: Local...
k8s pod容器中获得宿主机ip
yztezhl的专栏
06-15 3180
k8s pod容器中获得宿主机ip
443 k8s配置开启nginx_Kubernetes Ingress — NGINX
weixin_39605191的博客
01-09 886
在 Kubernetes 中,Service 是一种抽象的概念,它定义了每一组 Pod 的逻辑集合和访问方式,并提供一个统一的入口,将请求进行负载分发到后端的各个 Pod 上。Service 默认类型是 ClusterIP,集群内部的应用服务可以相互访问,但集群外部的应用服务无法访问。为此Kubernetes 提供了 NodePorts,LoadBalancer 和 Ingress 三...
HttpServletRequest获取nginx代理后用户真实IP
CTRL+C 的博客
09-17 898
#step 1:vim /etc/nginx/nginx.conf location / { proxy_pass http://127.0.0.1:8081; proxy_set_header Host(别名) $host; proxy_set_header X-real-iP(别名)...
使用Nginx代理通过HttpServletRequest获取用户IP地址
weixin_33774883的博客
09-23 640
为什么80%的码农都做不了架构师?>>> ...
nginx1.23.2版本怎么获取客户端的真是IP
06-01
Nginx 1.23.2 版本中,可以通过配置 ngx_http_realip_module 模块来获取客户端真实 IP。该模块可以将客户端真实 IP 地址替换掉 Nginx 服务器接收到的 IP 地址。 以下是配置 ngx_http_realip_module 模块的示例: 1. 首先安装 ngx_http_realip_module 模块: ``` ./configure --with-http_realip_module make && make install ``` 2. 在 Nginx 配置文件中添加以下配置: ``` http { ... set_real_ip_from 192.168.0.1; # 设置可信的 IP 地址,可以设置多个,以空格分隔 real_ip_header X-Forwarded-For; # 设置真实 IP 存储在 HTTP Header 中的字段名 ... } ``` 其中,set_real_ip_from 指定了可信的 IP 地址,这些 IP 地址将不会被替换掉;real_ip_header 指定了真实 IP 存储在 HTTP Header 中的字段名。 3. 重启 Nginx 服务器以使配置生效。 这样配置后,当客户端发送请求时,Nginx 服务器可以通过 X-Forwarded-For HTTP Header 字段来获取客户端真实 IP 地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值