如何透過特殊的請求頭傳遞真實的客戶端 IP 地址到後端伺服器
今天我將演示 OpenResty Edge 的另一項功能。透過特殊的請求頭將真實的客戶端 IP 地址傳遞給後端伺服器。一般來說,後端伺服器或源站看到的客戶端 IP 地址不是真實的客戶端 IP 地址, 而是閘道器或代理伺服器的 IP。如果源站需要真實的客戶端 IP 地址,我們需要建立一個新的請求頭,並把這個真實的地址放在請求頭裡。這樣一來,後端伺服器就可以直接讀取請求頭。
為應用設定頁面規則
讓我們進入 OpenResty Edge 的 Admin Web 控制檯。這就是我們控制檯的樣本部署。每個使用者都有自己的本地部署。
我們可以繼續使用之前的示例應用,test-edge.com。
進入該應用。
在之前的教程中我們已經建立了一個上游。
我們為這個 “my backend” 上游定義了一個後端伺服器。
請記住這個後端伺服器的 IP 地址是以 “.100” 結尾的。在後面會用到這個 IP 地址。
我們也已經定義好了一個頁面規則。
該頁面規則設定了一個反向代理到我們剛才看到的上游。
現在我們要新增一個新的頁面規則,將客戶 IP 設定為 “X-Forwarded-For” 請求頭。
首先啟用一個規則條件來檢查 URI “/test-client-ip/”。
這裡列出了所有我們可以選擇的變數。
選擇 “URI”。
我們選擇的運算子是 “字串等於”。
輸入 URI “/test-client-ip/”。
現在新增一個新的動作。
這裡可以使用搜尋。
搜尋 “設定代理頭”。
選中它。
輸入頭的名稱,“X-Forwarded-For”。對於這樣的需求來說這是一個經常會用到的請求。也可以使用任何你喜歡的其他名稱,比如 “X-Real-IP”。
選擇值的型別。我們可以為請求指定一個字串值。
或指定 OpenResty Edge 提供的內建變數。
這是目前支援的幾個內建變數,將來會支援更多的內建變數。
這裡我們選擇 “客戶端地址”。
點選這裡確保這個規則在任何現有的正常規則之前執行。
儲存這個頁面規則。
像往常一樣,需要釋出一個新的版本來推送我們剛才的改動。
點選這個按鈕。
釋出!
新版本現在已經同步到所有的閘道器伺服器上了。
現在,新的頁面規則已經被推送到所有的閘道器叢集和伺服器。
這些配置的變化不需要伺服器過載、重啟或二進位制升級。所以它是非常高效和可擴充套件的。
測試
現在讓我們傳送測試請求到閘道器伺服器。然後我們檢查後端伺服器收到的 “X-Forwarded-For” 請求頭。
使用終端登入到英國倫敦的一個遠端伺服器。
請記住這個伺服器的IP地址是以 “.240 ” 結尾的。
登入到伺服器上。
用 “curl” 命令列工具傳送一個 HTTP 請求。
curl http://test-edge.com/test-client-ip/
所以這個請求的真實客戶端 IP 也應該是以 “.240” 結尾的。
退出伺服器。
現在登入 IP 地址結尾是 “.100” 的後端伺服器。
看一下 nginx 配置檔案中定義的訪問日誌格式。
cd /usr/local/openresty/nginx/
顯示 nginx 配置檔案的前 30 行。
找到 “log format” 指令。
注意 “X-Forwarded-For” 頭的值是訪問日誌資訊的最後一個欄位。
檢查後端伺服器的訪問日誌檔案中的最後一行。
clear
tail -1 logs/access.log
轉發請求的 “X-Forwarded-For” 頭確實是以 “.240” 結尾的 IP 地址。
真正的客戶端的 IP 地址就在請求頭中。現在登入到另一臺位於美國舊金山的伺服器。
請記住這個伺服器的 IP 地址是以 “.226” 結尾的。
登入到伺服器上。
傳送一個測試請求。
curl http://test-edge.com/test-client-ip/
所以這個請求的真實客戶 IP 應該也是以 “.226” 結尾的。
退出伺服器。
檢查後端伺服器訪問日誌檔案中的最後一行。
不出所料,轉發請求的 “X-Forwarded-For” 頭確實是以 “226” 結尾的。
真正的客戶端的 IP 地址又出現在請求頭中。有時,OpenResty Edge 閘道器伺服器本身可能在另一個代理後面。在這種情況下,OpenResty Edge 也需要從一些特殊的請求頭中讀取真實的客戶端 IP 地址。這個話題我們會在另外一個教程裡討論。
關於 OpenResty Edge
OpenResty Edge 是一款專為微服務和分散式流量架構設計的全能型閘道器軟體,由我們自主研發。它集流量管理、私有 CDN 構建、API 閘道器、安全防護等功能於一體,幫助您輕鬆構建、管理和保護現代應用程式。OpenResty Edge 擁有業界領先的效能和可擴充套件性,能夠滿足高併發、高負載場景下的苛刻需求。它支援排程 K8s 等容器應用流量,並可管理海量域名,輕鬆滿足大型網站和複雜應用的需求。
如果你喜歡這個教程,請訂閱這個部落格網站和我們的 YouTube 頻道 或 B 站頻道。謝謝!
關於作者
章亦春是開源 OpenResty® 專案創始人兼 OpenResty Inc. 公司 CEO 和創始人。
章亦春(Github ID: agentzh),生於中國江蘇,現定居美國灣區。他是中國早期開源技術和文化的倡導者和領軍人物,曾供職於多家國際知名的高科技企業,如 Cloudflare、雅虎、阿里巴巴, 是 “邊緣計算“、”動態追蹤 “和 “機器程式設計 “的先驅,擁有超過 22 年的程式設計及 16 年的開源經驗。作為擁有超過 4000 萬全球域名使用者的開源專案的領導者。他基於其 OpenResty® 開源專案打造的高科技企業 OpenResty Inc. 位於美國矽谷中心。其主打的兩個產品 OpenResty XRay(利用動態追蹤技術的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最適合微服務和分散式流量的全能型閘道器軟體),廣受全球眾多上市及大型企業青睞。在 OpenResty 以外,章亦春為多個開源專案貢獻了累計超過百萬行程式碼,其中包括,Linux 核心、Nginx、LuaJIT、GDB、SystemTap、LLVM、Perl 等,並編寫過 60 多個開源軟體庫。
關注我們
如果您喜歡本文,歡迎關注我們 OpenResty Inc. 公司的部落格網站 。也歡迎掃碼關注我們的微信公眾號:
翻譯
我們提供了英文版原文和中譯版(本文) 。我們也歡迎讀者提供其他語言的翻譯版本,只要是全文翻譯不帶省略,我們都將會考慮採用,非常感謝!