今天我將演示 OpenResty Edge 的另一項功能。透過特殊的請求頭將真實的客戶端 IP 地址傳遞給後端伺服器。一般來說,後端伺服器或源站看到的客戶端 IP 地址不是真實的客戶端 IP 地址, 而是閘道器或代理伺服器的 IP。如果源站需要真實的客戶端 IP 地址,我們需要建立一個新的請求頭,並把這個真實的地址放在請求頭裡。這樣一來,後端伺服器就可以直接讀取請求頭。

Embeded image

為應用設定頁面規則

讓我們進入 OpenResty Edge 的 Admin Web 控制檯。這就是我們控制檯的樣本部署。每個使用者都有自己的本地部署。

Screenshot

我們可以繼續使用之前的示例應用,test-edge.com。

Screenshot

進入該應用。

Screenshot

在之前的教程中我們已經建立了一個上游。

Screenshot

我們為這個 “my backend” 上游定義了一個後端伺服器。

Screenshot

請記住這個後端伺服器的 IP 地址是以 “.100” 結尾的。在後面會用到這個 IP 地址。

Screenshot

我們也已經定義好了一個頁面規則。

Screenshot

該頁面規則設定了一個反向代理到我們剛才看到的上游。

Screenshot

現在我們要新增一個新的頁面規則,將客戶 IP 設定為 “X-Forwarded-For” 請求頭。

Screenshot

首先啟用一個規則條件來檢查 URI “/test-client-ip/”。

Screenshot

這裡列出了所有我們可以選擇的變數。

Screenshot

選擇 “URI”。

Screenshot

我們選擇的運算子是 “字串等於”。

Screenshot

Screenshot

輸入 URI “/test-client-ip/”。

Screenshot

現在新增一個新的動作。

Screenshot

這裡可以使用搜尋。

Screenshot

搜尋 “設定代理頭”。

Screenshot

選中它。

Screenshot

輸入頭的名稱,“X-Forwarded-For”。對於這樣的需求來說這是一個經常會用到的請求。也可以使用任何你喜歡的其他名稱,比如 “X-Real-IP”。

Screenshot

選擇值的型別。我們可以為請求指定一個字串值。

Screenshot

或指定 OpenResty Edge 提供的內建變數。

Screenshot

這是目前支援的幾個內建變數,將來會支援更多的內建變數。

Screenshot

這裡我們選擇 “客戶端地址”。

Screenshot

點選這裡確保這個規則在任何現有的正常規則之前執行。

Screenshot

儲存這個頁面規則。

Screenshot

像往常一樣,需要釋出一個新的版本來推送我們剛才的改動。

Screenshot

點選這個按鈕。

Screenshot

釋出!

Screenshot

新版本現在已經同步到所有的閘道器伺服器上了。

Screenshot

現在,新的頁面規則已經被推送到所有的閘道器叢集和伺服器。

Embeded video

Embeded video

這些配置的變化不需要伺服器過載、重啟或二進位制升級。所以它是非常高效和可擴充套件的。

Embeded image

測試

現在讓我們傳送測試請求到閘道器伺服器。然後我們檢查後端伺服器收到的 “X-Forwarded-For” 請求頭。

Embeded image

使用終端登入到英國倫敦的一個遠端伺服器。

Screenshot

請記住這個伺服器的IP地址是以 “.240 ” 結尾的。

Screenshot

登入到伺服器上。

Screenshot

用 “curl” 命令列工具傳送一個 HTTP 請求。

curl http://test-edge.com/test-client-ip/

Screenshot

所以這個請求的真實客戶端 IP 也應該是以 “.240” 結尾的。

Screenshot

退出伺服器。

Screenshot

現在登入 IP 地址結尾是 “.100” 的後端伺服器。

Screenshot

看一下 nginx 配置檔案中定義的訪問日誌格式。

cd /usr/local/openresty/nginx/

Screenshot

顯示 nginx 配置檔案的前 30 行。

Screenshot

找到 “log format” 指令。

Screenshot

注意 “X-Forwarded-For” 頭的值是訪問日誌資訊的最後一個欄位。

Screenshot

檢查後端伺服器的訪問日誌檔案中的最後一行。

clear
tail -1 logs/access.log

Screenshot

轉發請求的 “X-Forwarded-For” 頭確實是以 “.240” 結尾的 IP 地址。

Screenshot

真正的客戶端的 IP 地址就在請求頭中。

Embeded image

現在登入到另一臺位於美國舊金山的伺服器。

Screenshot

請記住這個伺服器的 IP 地址是以 “.226” 結尾的。

Screenshot

登入到伺服器上。

Screenshot

傳送一個測試請求。

curl http://test-edge.com/test-client-ip/

Screenshot

所以這個請求的真實客戶 IP 應該也是以 “.226” 結尾的。

Screenshot

退出伺服器。

Screenshot

檢查後端伺服器訪問日誌檔案中的最後一行。

Screenshot

不出所料,轉發請求的 “X-Forwarded-For” 頭確實是以 “226” 結尾的。

Screenshot

真正的客戶端的 IP 地址又出現在請求頭中。

有時,OpenResty Edge 閘道器伺服器本身可能在另一個代理後面。在這種情況下,OpenResty Edge 也需要從一些特殊的請求頭中讀取真實的客戶端 IP 地址。這個話題我們會在另外一個教程裡討論。

Embeded image

關於 OpenResty Edge

OpenResty Edge 是一款專為微服務和分散式流量架構設計的全能型閘道器軟體,由我們自主研發。它集流量管理、私有 CDN 構建、API 閘道器、安全防護等功能於一體,幫助您輕鬆構建、管理和保護現代應用程式。OpenResty Edge 擁有業界領先的效能和可擴充套件性,能夠滿足高併發、高負載場景下的苛刻需求。它支援排程 K8s 等容器應用流量,並可管理海量域名,輕鬆滿足大型網站和複雜應用的需求。

如果你喜歡這個教程,請訂閱這個部落格網站和我們的 YouTube 頻道B 站頻道。謝謝!

關於作者

章亦春是開源 OpenResty® 專案創始人兼 OpenResty Inc. 公司 CEO 和創始人。

章亦春(Github ID: agentzh),生於中國江蘇,現定居美國灣區。他是中國早期開源技術和文化的倡導者和領軍人物,曾供職於多家國際知名的高科技企業,如 Cloudflare、雅虎、阿里巴巴, 是 “邊緣計算“、”動態追蹤 “和 “機器程式設計 “的先驅,擁有超過 22 年的程式設計及 16 年的開源經驗。作為擁有超過 4000 萬全球域名使用者的開源專案的領導者。他基於其 OpenResty® 開源專案打造的高科技企業 OpenResty Inc. 位於美國矽谷中心。其主打的兩個產品 OpenResty XRay(利用動態追蹤技術的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最適合微服務和分散式流量的全能型閘道器軟體),廣受全球眾多上市及大型企業青睞。在 OpenResty 以外,章亦春為多個開源專案貢獻了累計超過百萬行程式碼,其中包括,Linux 核心、Nginx、LuaJITGDBSystemTapLLVM、Perl 等,並編寫過 60 多個開源軟體庫。

關注我們

如果您喜歡本文,歡迎關注我們 OpenResty Inc. 公司的部落格網站 。也歡迎掃碼關注我們的微信公眾號:

我們的微信公眾號

翻譯

我們提供了英文版原文和中譯版(本文) 。我們也歡迎讀者提供其他語言的翻譯版本,只要是全文翻譯不帶省略,我們都將會考慮採用,非常感謝!