第13关 解决K8s中Ingress Nginx控制器无法获取真实客户端IP的问题

最新推荐文章于 2024-05-11 14:08:13 发布
最新推荐文章于 2024-05-11 14:08:13 发布
阅读量2.1k 收藏 9
点赞数 19
分类专栏: 2023年Kubernetes实战攻略 文章标签: kubernetes nginx tcp/ip 运维开发 k8s 云原生 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46887489/article/details/134616471
版权

------> 课程视频同步分享在今日头条B站

大家好,我是博哥爱运维。

这节课带大家探索并分享最全面的解决在使用Kubernetes(K8s)和Ingress-Nginx-Controller中无法获取客户端真实IP问题的视频教程,帮助你快速理解并解决这一问题。

如果我们按下面网络架构图,暴露我们服务到公网上提供访问,那么此时我们后端的业务服务POD获取真实IP是没什么问题的,但种形式的网络架构直接暴露出我们源站的公网IP信息到互联网上,无疑于是在公网上裸奔,一旦遭受攻击,对我们的业务服务将是毁灭性的打击。

在这里插入图片描述

那么我们会去寻求一些大型提供公网网络防护的企业的帮助,购买他们的安全服务,如动态加速线路、WAF、或者高防线路,这个时候,我们的业务在公网上提供由于可以相对更安全了,但此时会带来另外一个问题,就是我们后端服务获取的客户端IP,都是安全服务提供商的代理IP了。

在这里插入图片描述

那么我们怎么解决这个问题,获取到真实CLIENT客户端的IP地址呢,在ingress-nginx控制器上配置其实也不难,加入下面三行配置即可解决:

# kubectl -n kube-system edit configmaps nginx-configuration

apiVersion: v1
data:
  ......
  compute-full-forwarded-for: "true"
  forwarded-for-header: "X-Forwarded-For"
  use-forwarded-headers: "true"

我们来看看这三行配置的详细含义:

compute-full-forwarded-for
: 将 remote address 附加到 X-Forwarded-For Header而不是替换它。当启用此选项后端应用程序负责根据自己的受信任代理列表排除并提取客户端 IP。

forwarded-for-header
: 设置用于标识客户端的原始 IP 地址的 Header 字段。默认值X-Forwarded-For
,此处由于A10带入的是自定义记录IP的Header,所以此处填入是X_FORWARDED_FOR

use-forwarded-headers
: 如果设置为True时,则将设定的X-Forwarded-*
 Header传递给后端, 当Ingress在L7 代理/负载均衡器
之后使用此选项。如果设置为 false 时,则会忽略传入的X-Forwarded-*
Header, 当 Ingress 直接暴露在互联网或者 L3/数据包的负载均衡器后面,并且不会更改数据包中的源 IP请使用此选项。

OK,到这里,大家是不是以为万事大吉了,NONONO,这个时候,其实还存在一个安全隐患是我们必须要提前知道的。

我们先来准备部署一个测试服务,用来模拟后端服务POD,并且能获取ingress-nginx传回来的请求头部信息打印出来,以便我们更直观的观察测试的详细情况

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: whoami
  namespace: default
  labels:
    app: whoami
spec:
  replicas: 1
  selector:
    matchLabels:
      app: whoami
  template:
    metadata:
      labels:
        app: whoami
    spec:
      containers:
      - image: traefik/whoami:v1.10
        imagePullPolicy: Always
        name: whoami
        ports:
        - containerPort: 80
          name: 80tcp02
          protocol: TCP
      dnsPolicy: ClusterFirst
      restartPolicy: Always

---
apiVersion: v1
kind: Service
metadata:
  labels:
    app: whoami
  name: whoami
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: whoami
  sessionAffinity: None
  type: ClusterIP

---

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/force-ssl-redirect: "false"
    nginx.ingress.kubernetes.io/whitelist-source-range: 10.0.1.201/32  # 只允许信任IP访问,其他返回403
    nginx.ingress.kubernetes.io/configuration-snippet: |  # 加入自定义头部,保存remote_addr信息
      proxy_set_header X-Custom-Real-IP $remote_addr;
  name: whoami
spec:
  rules:
  - host: whoami.boge.com
    http:
      paths:
      - backend:
          service:
            name: whoami
            port:
              number: 80
        path: /
        pathType: ImplementationSpecific
  tls:
  - hosts:
    - whoami.boge.com
    secretName: boge-com-tls

上面可以看到,我们对于whoami加入了访问限制,只允许出口IP为10.0.1.201这个地址来访问,其他全部拒绝返回403

curl -H "Host: whoami.boge.com" -s http://10.0.1.201

在201这台节点上请求是正常的

root@node-1:~# curl -H "Host: whoami.boge.com" -s http://10.0.1.201
Hostname: whoami-6cf6989d4c-7hrxz
IP: 127.0.0.1
IP: ::1
IP: 172.20.217.124
IP: fe80::383a:48ff:fe1e:e1e5
RemoteAddr: 172.20.84.128:5110
GET / HTTP/1.1
Host: whoami.boge.com
User-Agent: curl/7.81.0
Accept: */*
X-Custom-Real-Ip: 10.0.1.201
X-Forwarded-For: 10.0.1.201
X-Forwarded-Host: whoami.boge.com
X-Forwarded-Port: 80
X-Forwarded-Proto: http
X-Forwarded-Scheme: http
X-Real-Ip: 10.0.1.201
X-Request-Id: 5b90653f94b45c1fa20ab038ff294534
X-Scheme: http

我们来到202这台节点请求看看,正常是会返回403拒绝请求的

root@node-2:~# curl -H "Host: whoami.boge.com" -s http://10.0.1.201
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx</center>
</body>
</html>

但这个时候,我们在请求头部传入伪造的XFF信息,再看结果呢

curl -H "X-Forwarded-For: 10.0.1.201" " -H "Host: whoami.boge.com" -s http://10.0.1.201

这里我们可以看到我们通过伪造XFF,成功绕过了服务的安全访问限制。

root@node-2:~# curl -H "X-Forwarded-For: 10.0.1.201" -H "boge: test" -H "Host: whoami.boge.com" -s http://10.0.1.201
Hostname: whoami-6cf6989d4c-7hrxz
IP: 127.0.0.1
IP: ::1
IP: 172.20.217.124
IP: fe80::383a:48ff:fe1e:e1e5
RemoteAddr: 172.20.84.128:5110
GET / HTTP/1.1
Host: whoami.boge.com
User-Agent: curl/7.81.0
Accept: */*
Boge: test
X-Custom-Real-Ip: 10.0.1.201
X-Forwarded-For: 10.0.1.201, 10.0.1.202
X-Forwarded-Host: whoami.boge.com
X-Forwarded-Port: 80
X-Forwarded-Proto: http
X-Forwarded-Scheme: http
X-Original-Forwarded-For: 10.0.1.201
X-Real-Ip: 10.0.1.201
X-Request-Id: 81ce680afd34390c7936b72ac0e5c105
X-Scheme: http

解决这个也不复杂,就是我们就对请求到ingress-nginx控制器的来源IP作信任加白处理,只允许信任的IP段传来的XFF等信息。

但要注意的是,对于提供安全的厂商来说,他们的出口IP信息会经常变化的,意味着一旦变化,那么获取客户端真实IP又会存在问题。我们在加这个信任配置的时候,需要根据实际情况来作考量要不要添加,其实只要我们不暴露限制的IP信息,通常情况下还是相对安全的

proxy-real-ip-cidr: 10.0.1.201/32,10.0.1.203/32

加了信任IP配置后,再请求就没有安全问题了

root@node-2:~# curl -H "X-Forwarded-For: 10.0.1.201" -H "boge: test" -H "Host: whoami.boge.com" -s http://10.0.1.201
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx</center>
</body>
</html>
博哥爱运维
关注
  • 19
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
k8s.gcr.io-ingress-nginx-controller-v0.41.2.tar
02-08
k8s.gcr.io-ingress-nginx-controller-v0.41.2.tar
k8s部署ingress-nginx脚本,ingress-nginx v1.2.0版本deploy.yaml
10-19
kubernetes 的 pod 容器想要对外部用户提供服务就需要将 pod 服务暴露至外部,让用户可以访问,而 Service 的表现形式为 ip 地址和端口号(ClusterIP:port)&(NodePort)即工作在四层 TCP/IP 层只能够通过 ip + 端口的方式访问,而在 ingress可以使用七层协议(HTTP/HTTPS)的服务方式来实现负载均衡以及 k8s 集群内部服务客户端之间的通信(既可以通过域名和主机名的方式)
k8singress-nginx配置
11-30
1.14.0 ingress-nginx配置选项
ingress-nginx-controller获取客户端真实ip
Focus on k8s and python
01-19 6539
线上部署的一个应用的pod,访问时采用的是ingress的方式,同时为了ingress的高可用,运行了3个ingress-controller节点,在ingress-controller前面再挂了一个F5负载均衡器,所有访问ingress访问的域名,域名解析地址都为F5的vip地址,再由F5负载均衡到一个ingress-controller上面。 数据流量流向: ...
k8s-修改ingress-nginx-controllernginx配置文件参数参考
07-20
k8s-修改ingress-nginx-controllernginx配置文件参数参考
k8s无法获取nginx-ingress客户端真实ip地址x-forwarded-for
jialiu111111的博客
09-12 1627
如果您的服务部署在K8s上,K8s会将真实客户端IP记录在X-Original-Forwarded-For字段,并将WAF回源地址记录在X-Forwarded-For字段。您需要修改容器的配置文件,使Ingress真实IP添加到X-Forwarded-For字段,以便您正常获取真实客户端IP地址。4.咨询阿里云开发ingress不区分大小写,x-forwarded-for不能修改成X-Forwarded-For。3.添加后可以获取到x-forwarded-for参数。
k8s ingress获取客户端客户端真实IP
Habo_的博客
08-04 1710
Kubernetes获取客户端真实IP地址是一个常见需求。这是因为在负载均衡架构,原始请求的源IP地址会被替换成负载均衡器的IP地址。以阿里云ack集群安装的ingress-nginx为例。添加一下参数到配置文件添加层级如下图。保存退出即可,立即生效无需重启pod。
kubernetesingress控制器traefik获取真实客户源IP
rendongxingzhe的博客
11-19 3047
traefik获取真实客户源IP
nginx获取不到真实ip地址,注意这个细节
xiaxiazl的专栏
04-11 2831
/上面都还没有,有可能就是局域网内的IP进行操作的,则获取请求头的局域网IP。// 多次反向代理后会有多个ip值,第一个ip才是真实ip。//如果上面没有获得代理的IP,则使用获取真实IP的请求头进行尝试。1 一定要把proxy_pass语句放在最后面。# 一定要把这句放在后面。2 使用代码获取,以java为例。
ip地址 k8s 显示pod_Kubernetes-Pod容器Nginx如何获取客户端真实IP
weixin_39915204的博客
12-22 717
kubernetes将在Pod所在Node上针对nodePort下发DNAT规则,而在其他节点上针对nodePort下发DROP规则client^ / \/ / \/ v Xnode 1 node 2^ || || vendpoint以下使用nginx的例子。在svc的编排文件增加externalTrafficPolicy后,重新创建nginx-service。k...
k8s-ingress-haproxy:用于HAProxy的Kubernetes入口控制器
02-20
Kubernetes入口控制器-HAProxy 维护者:尼克&middot;舒赫 用于HAPRoxy的Kubernetes入口控制器。 发展 入门 要进行此项目,您首先需要在计算机上安装Go。 手动设定 首先,请确保正确安装Go,并且已设置GOPATH。 您还需要将$ GOPATH / bin添加到$ PATH。 有Go入门的步骤: : 接下来,使用Git,将此存储库克隆到$ GOPATH / src / github.com / previousnext / k8s-ingress-haproxy。 所有必需的依赖项都已供应或自动安装,因此您只需键入make test 。 这将运行测试并编译二进制文件。 如果以退出状态0退出,则一切正常! $ cd " $GOPATH /src/github.com/previousnext/k8s-ingress-haproxy " $ make te
citrix-k8s-ingress-controller:适用于Kubernetes的Citrix ADC(NetScaler)入口控制器
02-03
citrix-k8s-ingress-controller:适用于Kubernetes的Citrix ADC(NetScaler)入口控制器
ingress-nginx部署文件,用于k8s部署ingress-nginx服务
04-15
ingress-nginx部署文件,用于k8s部署ingress-nginx服务
Kubernetes上使用Ingress Nginx服务发布到外部IP
IOsetting的专栏
01-08 834
Kubernetes的网络结构 K8s的网络相对比较复杂, 包含了如下几类IP地址: Host Network 运行K8s集群的宿主服务器的内网IP, 其网段在配置宿主机时设置. 这些服务器可能是物理机, 也可能是ESXi或KVM虚机. 可以根据这个IPK8s初始化时设置--apiserver-advertise-address, 配置外网访问时, 前端的负载均衡要通过这些IP访问服务. Do...
k8s ingress配置客户端IP
乘茶蛙泳的博客
09-05 417
k8s ingress 客户端IP
k8s实现nginx-ingress通过统一IP访问服务无缝对接生产上游Nginx
热门推荐
富强说
05-25 1万+
k8s实现nginx-ingress通过统一IP访问服务无缝对接生产上游Nginx
k8s ingress 添加获取客户端真实ip配置
weixin_42324368的博客
07-27 1438
k8s ,ingress,pod获取客户端ip地址
KubeKey 部署 K8s v1.28.8 实战
最新发布
KubeSphere
05-11 1119
本文分享了在 openEuler 22.03 LTS SP3 操作系统上,如何利用 KubeSphere 开发的工具KubeKey,部署集群的详细流程及注意事项。openEuler 22.03 LTS SP3 操作系统基础配置openEuler 22.03 LTS SP3 操作系统上 LVM 磁盘的创建配置使用 KubeKey 部署 K8s 高可用集群K8s 集群部署完成后的验证测试笔者水平有限,尽管经过多次验证和检查,尽力确保内容的准确性,但仍可能存在疏漏之处。敬请业界专家大佬不吝指教。
k8singress-nginx
09-16
k8singress-nginx是一个开源的Ingress控制器,用于将外部流量路由到Kubernetes集群服务。它基于Nginx软件和Controller Manager组件构建,提供了负载均衡、SSL/TLS终止、路径和主机基于规则的路由等功能。 使用ingress-nginx可以通过将特定的Ingress资源对象部署到Kubernetes集群,来定义流量的入口和路由规则。Ingress资源对象允许您将HTTP和HTTPS流量路由到集群的不同服务。 要在Kubernetes集群使用ingress-nginx,您需要按照以下步骤进行设置: 1. 安装ingress-nginx控制器:您可以使用Helm包管理器来安装ingress-nginx控制器,或者可以手动部署控制器的YAML文件。 2. 配置Ingress资源对象:创建一个或多个Ingress资源对象,定义流量的入口和路由规则。您可以定义基于路径、主机、SSL/TLS证书等的规则。 3. 配置DNS解析:确保将流量的域名解析到Kubernetes集群,以便Ingress控制器能够正确地将流量路由到相应的服务。 4. 部署服务:对于每个Ingress规则定义的后端服务,确保这些服务已经部署到了Kubernetes集群

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值