在容器服务中获取客户端真实源 IP

最新推荐文章于 2022-06-17 14:05:42 发布
最新推荐文章于 2022-06-17 14:05:42 发布
阅读量2.4k 收藏 2
点赞数
文章标签: kubernetes docker 容器 云计算 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiao6/article/details/109123215
版权
本文详细介绍了在腾讯云容器服务TKE中获取客户端真实源IP的四种方法:通过Service资源配置、TKE原生CLB直通Pod、HTTP Header以及TOA内核模块。这些方法各有优缺点,适用于不同的业务需求和网络环境,以帮助满足审计、安全和数据分析等场景。
摘要由CSDN通过智能技术生成

适用范围:腾讯云容器服务(Tencent Kubernetes Engine ,TKE), 以下简称 TKE。

为什么需要获取客户端真实源 IP?

当需要能感知到服务请求来源去满足一些业务需求时,就需要后端服务能准确获取到请求客户端的真实源 IP, 比如以下场景:

  1. 对服务请求的来源有做审计的需求,如异地登陆告警。
  2. 针对安全攻击或安全事件溯源需求,如 APT 攻击、DDoS 攻击等。
  3. 业务场景数据分析需求,如业务请求区域统计。
  4. 其他需要获取客户端地址的需求。

在 TKE 使用场景下如何获取客户端真实源 IP?

在TKE中默认的外部负载均衡器是 腾讯云负载均衡器,作为服务流量的访问首入口,腾讯云负载均衡器会将请求流量负载转发到 Kubernetes 工作节点的 Kubernets Service(默认),此负载均衡过程会保留客户端真实源 IP(透传转发),但在 Kubernetes Service 转发场景下,无论是使用 iptbales 还是 ipvs 的负载均衡转发模式,转发时都会对数据包做 SNAT,即不会保留客户端真实源 IP,为了能够准确的获取到客户端的真实源 IP,在 TKE 使用场景下,主要有四种方法获取客户端真实源 IP,下面将逐个展开介绍下。

一、通过 Service 资源的配置选项保留客户端源 IP

要启用保留客户端 IP 功能,可在 Service 资源中配置字段 Service.spec.externalTrafficPolicy,此字段表示服务是否希望将外部流量路由到节点本地或集群范围的端点。有两个选项值:Cluster(默认)和 Local 方式,如下图所示:

img

Cluster 表示隐藏了客户端源 IP, LoadBalancerNodePort 类型服务流量可能会被转发到其他节点的 Pods; Local 表示保留客户端源 IP 并避免 LoadBalancerNodePort 类型的服务流量转发到其他节点的 Pods,详情请参考

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
QT获取IP地址
萧海的博客
06-14 1174
1、.h文件 #ifndef MAINWINDOW_H #define MAINWINDOW_H #include <QMainWindow> #include <QHostInfo> QT_BEGIN_NAMESPACE namespace Ui { class MainWindow; } QT_END_NAMESPACE class MainWindow : public QMainWindow { Q_OBJECT public: MainWin
php数组添加键值对_3分钟短文 | PHP 多维数组按值排序,别抓狂看这里
weixin_39623271的博客
12-06 128
引言如果你经常写 PHP,要说你没用过数组,那简直是不可能的。PHP 一个数组可以走遍大街小巷,行遍万水千山。数组相关的函数也马虎不得,如影随形。今天说说一个稍显棘手的问题,多维数组的排序。学习时间比如下面的数组,如果想要根据 order 的值进行排序(升序,降序),怎么做呢?你需要使用 usort 函数,且需要声明一个回调函数:function sortByOrder($a, $b) { ...
qt服务器获取客户端ip_unity3d Android客户端与PC服务器实现Socket通信
weixin_39739404的博客
12-04 501
Android客户端与PC服务器实现Socket通信 https://shop426839697.taobao.com/category-1505275330.htm?spm=a1z10.5-c-s.w4010-22331014617.32.28a4792882jgip&search=y&parentCatId=1503850742&parentCatName=%D0%D0...
qt服务器获取客户端ip_从TCP/IP协议谈Linux内核参数优化(值得收藏)
weixin_39611937的博客
11-30 332
在硬件资有限的情况下,最大的压榨服务器性能,提高服务器的并发处理能力,是很多技术人员思考的问题,除了优化Nginx/PHP-FPM/Mysql/Redis这类服务软件配置外,还可以通过修改Linux的内核相关TCP参数,来最大的提高服务器性能。在Linux内核参数优化之前,我们需要先搞懂TCP/IP协议,这是我们实施优化的理论依据。TCP/IP协议TCP/IP协议是十分复杂的协议,完全掌握不是一...
干货:不同场景容器获取客户端IP的方法
华为云官方博客
09-10 2343
摘要:客户端容器服务器之间可能存在多种不同形式的代理服务器,那容器如何获取客户端真实ip呢? k8s已经成为当今容器化的标准,人们在享受容器带来的高效与便利的同时,也遇到一些烦恼:客户端容器服务器之间可能存在多种不同形式的代理服务器,那容器如何获取客户端真实ip呢?下面我们就几种场景类型如何能获取ip进行讨论。 原理介绍: 四层转发: Nodeport:nodeport访问方式,是将容器端口映射到节点端口,如果“服务亲和”选择“集群级别”需要经过一次服务转发,无法实现获取
获取客户端IP地址所需Jar包
02-25
在Axis获取客户端IP地址,除了使用基本的Servlet API方法外,还需要考虑到服务部署环境可能存在的反向代理和负载均衡。可以使用以下步骤: 1. 首先尝试从HttpServletRequest的`getHeader("X-Forwarded-For")`获取...
docker-ingress-routing-daemon:Docker swarm守护程序,可修改入口网格路由以将真实客户端IP暴露给服务容器
05-07
支持在服务容器内设置rp_filter=1 (严格)的最新内核(例如在Google Cloud映像使用的内核)(尽管可以将其禁用) 自动安装内核调整,以提高生产IPVS性能 背景 Docker Swarm的现成入口网格路由逻辑使用IPVS和
java获取用户真实ip
07-16
需要注意的是,当客户端通过Nginx等反向代理服务器连接到应用服务器时,此方法获取的将是反向代理服务器IP地址而非客户端真实IP。 ### 处理多层代理的情况 在实际部署客户端的请求可能经过多层代理服务器...
获取客户的ip小例子
08-10
在IT行业,网络编程是不可或缺的一部分,而获取客户端IP地址是一项基本操作。在这个"获取客户的ip小例子",我们将探讨如何使用Java语言来实现这一功能。Java提供了多种方法来获取HTTP请求客户端IP地址,这在...
java servlet获得客户端相关信息的简单代码
09-04
以下代码展示了如何在`HttpServletRequest`获取客户端IP: ```java import javax.servlet.http.HttpServletRequest; public class ClientInfoUtil { static public String getIP(HttpServletRequest request...
Qt 获取本地IP 和 本地主机名称
zqs305082800的专栏
03-23 3015
这学期才刚接触网络和Qt编程,就整天泡在这两种资料。。。 本来学习应该循序渐进的,没办法,项目要求在原来项目上添加Qt通信模块,要求有一个服务器,多个客户端进行信息的交互。。。 什么都还不会,就干这个这么高深的东西,纠结。。。。 好吧,发泄完了。来点实际的东西吧!!一点一点的累积,一点一点的学习。。 .pro工程文件添加    QT += network .h文件添加头文件
记一次:java获取真实ip地址问题
sinat_38259539的博客
06-17 1514
前言:在java代码获取真实ip地址的代码如下所示 ip请求-->nginx-->docker容器-->java项目代码 解决:在nginx配置将请求地址做些修改
linux获取udp报文的ip和 端口,linux下原始ip数据包包头(tcp头、udp头)的获取和分析...
weixin_30737431的博客
04-30 405
前言在有些时候我们需要直接抓取并分析原始ip数据包(比如说netfilter内核框架数据包的分析、原始套接字数据包的分析),但是我们所能获得的ip数据包通常只是一个若干字节的在连续地址空间存储的数据,比如存在数组char[MSG_SIZE],下面介绍如何分析原始ip数据包的数据。在开始分析包头之前我们假设原始ip数据包存储在缓存char buf[MSG_SZIE]。一、IP头的分析众所...
Docker】补充
Marianas Trench
02-20 186
一些在平时学习看到,以后可能会运用的docker的技术/方法 在服务器上,先安装dockerdocker-compose pypi设置 新建pip.conf,文件内容如下: 原创Docker部署Django由浅入深系列(上):单容器部署Django + Uwsgi [global] index-url = https://mirrors.aliyun.com/pypi/simple/ [install] trusted-host=mirrors.aliyun.com 容器ip和宿主机ip
如何获取前端请求的真实IP/项目启动端口号
小小臭臭的博客
11-29 5623
方法有两种 1: 前端获取客户端IP,然后通过请求体等方式传给后端 { “user_name”: “xiaoxiao”, “password”: “admin”, “ip”: “xx.xx.xx.xx” } 2: 后端自行获取请求头IP # 以django为例 if request.META.get('HTTP_X_FORWARDED_FOR'): ip = request.META.get('HTTP_X_FORWARDED_FOR') else: ip = request.META.g
基于C++和QT的IP流量分析程序实现
毕业作品网站
06-10 1645
IP 协议位于网络层,是 TCP/IP 协议簇的核心协议,提供数据传输的最基本服务,是实现网络互联的基本协议。如下图,设置了“地址”为“192.168.190.133”,协议类型为“TCP”,那么程序会按照规则匹配数据包的相应字段是否符合规则,若满足条件则该数据包被添加至表格控件。最大的长度(即 4 个 bit 都为 1 时)为 15 个长度单位,每个长度单位为 4 字节(TCP/IP 标准,DoubleWord),所以 IP 协议报文头的最大长度为 60 个字节,最短为上图所示的 20 个字节。
获取客户端真实ip的方法
yuubeka的博客
05-28 3240
为什么需要获取客户端真实ip ip地址是按地域分布的,服务器获取客户端ip后可以做流量统计和分析,服务器也可以针对客户端ip做一些定制化的功能,比如限流和黑白名单。 网络环境十分复杂,客户端发出的一个请求至少要经过cdn和负载均衡后才可以到达服务器。报文经过负载均衡的时候往往会做FNAT(lvs的一种转发模式,被普遍用于各种厂商的lb,该转发模式会对所有报文做地址转换和目的地址转换),所以报文经过lb后,地址就被删除了,这样服务器看到的地址都是lb的地址,无法获取客户端真实ip了。 .....
如何获取 Docker 容器IP 地址
AlwaysBeta 的专栏
03-02 8912
查询单个容器 IP 地址: 使用下面命令可以查看容器详细信息,里面包含 IP 地址信息: docker inspect <container id> 或者使用下面命令直接输出 IP 地址信息: docker inspect --format '{{ .NetworkSettings.IPAddress }}' <container id> 或者: docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}
Nginx Docker容器 获取客户端真实IP地址问题
t0m的专栏
10-13 9240
Nginx通过docker stack 部署的代理后端服务,接口调用时获取不到实际的ip地址,remote_addr是容器ip地址,查阅资料有几种方式(network_mode, ports映射, firewall...),但是都不是很完美,最后使用ports模式定义为host的有效,但是该方式对于docker stack 部署的有局限性,端口映射到宿主机,一个宿主机只能运行一个副本,同一个宿主机不能运行多个副本,会导致端口冲突。 未改造前stack.yaml ...省略 nginx:
docker容器运行node服务,为什么在服务获取ip是nodedata
最新发布
06-03
Docker容器运行Node服务时,容器内部的IP地址与主机上的IP地址是不同的。默认情况下,Docker会为每个容器分配一个唯一的IP地址,而这个IP地址通常是在`172.17.0.0/16`网段内。因此,在Node服务获取IP地址时,会返回容器内部的IP地址,而不是主机上的IP地址。 如果你在Docker容器运行Node服务,并且希望在服务获取主机的IP地址,可以使用以下方法: 1. 在运行Docker容器时,使用`--network="host"`参数将容器与主机共享网络。例如,使用以下命令运行Docker容器: ``` docker run --network="host" your-image-name ``` 2. 在Node服务,使用`require('os').networkInterfaces()`获取主机上的网络接口信息,然后从找到与容器共享网络的接口,获取该接口的IP地址即可。例如,使用以下代码获取容器共享网络的接口的IP地址: ```js const os = require('os'); const interfaces = os.networkInterfaces(); const interfaceName = Object.keys(interfaces).find(iface => { return interfaces[iface].some(addr => { return addr.address.startsWith('172.17.'); }); }); const ip = interfaces[interfaceName][0].address; ``` 这样就可以获取到主机的IP地址,而不是容器内部的IP地址了。需要注意的是,使用`--network="host"`参数会使容器与主机共享网络命名空间,因此容器运行的服务将能够访问主机上的所有端口,但也可能存在一些安全风险,需要谨慎使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值