一、直接访问情况

针对没有使用Istio的情况(需要关闭Istio),没有任何代理,客户端直接使用端口映射或者网关等方式访问后端服务。

1、Service的类型为NodePort:

把相应的Service的externalTrafficPolicy改为Local,默认为Cluster。但是需要使用pod所在节点的ip进行访问,不能使用集群中其他的ip(设置 service.spec.externalTrafficPolicy 为 Local 会将请求代理到本地端点,不将流量转发到其他节点,从而保留原始IP地址。)。

在Kubernetes 的 Service 对 externalTrafficPolicy 设置,以及和获取客户端IP相关知识点 | 码农网

http://www.voidcn.com/article/p-fxejirdw-bym.html

在Kubernetes 的 Service 对 externalTrafficPolicy 设置,以及和获取客户端IP相关知识点 | 码农网

如此就能使用request.getRemoteAddress()获取客户端真实ip

2、Service类型为ClusterIP

由于需要做source nat,直接获取到的不是客户端的真实ip

二、使用Nginx做反向代理

上面的方式已经尝试过可行。但是有明显的缺陷。

实际使用中,一般会在service前面加一个高可用负载均衡(比如Nginx+Keepalived),然后再Nginx中配置将真实IP放到请求头,代码中通过请求头获取,Nginx的配置如下:

server {
  # 在每一个 location 配置里都需要
  location / {
    # host 修改为真实的域名和端口
    proxy_set_header Host $http_host;
    # 客户端真实ip
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # 客户端真实协议(http/https)
    proxy_set_header X-Forwarded-Proto $scheme;
  }
}

以上配置见Nginx反向代理之后无法获取到真实的客户端ip - 哈喽林联敏 - 博客园。如此,可以在使用request.getHeader("X-Real-IP")获取。

但是,如果Nginx是通过Docker容器启动的,那么获取到的时容器的ip地址, 127.17.0.1这样的ip地址,这个ip地址时docker0网桥的地址,不是客户端的真实ip。这时,需要使用host模式启动nginx,比如:

docker run --network=host --rm --name mynginx --volume /root/nginx-docker-demo/html/:/usr/share/nginx/html -d nginx:latest

注意--network=host。此时,如果使用了-p进行端口映射,将会被忽略,因为指定了hostNetWork=true,那么所有容器的端口将会直接映射到物理机上,容器的containerPort与hostPort必须一致。见《Kubernetes权威指南》P292。

docker使用host模式启动nginx_weixin_30387799的博客-CSDN博客

使用host模式启动Nginx后,再通过request.getHeader("X-Real-IP")就可以拿到真实的客户端ip了。

三、TCP的情形

使用PROXY Protocol。

@see Netty获取客户端真实IP(使用Nginx代理TCP)_wuychn的博客-CSDN博客

Logo

开源、云原生的融合云平台

更多推荐