通過服務(wù)器組客戶端地址保持功能配置

前提條件

• 您已經(jīng)創(chuàng)建可用的NLB服務(wù)器組并添加了后端服務(wù)器。本文以創(chuàng)建了服務(wù)器類型的服務(wù)器組、后端協(xié)議為TCP、后端服務(wù)器為ECS、后端部署的應(yīng)用端口為80舉例說明，具體操作，請參見創(chuàng)建和管理服務(wù)器組。

• 您已經(jīng)創(chuàng)建NLB實(shí)例并為該實(shí)例添加了監(jiān)聽。本文以TCP監(jiān)聽、監(jiān)聽端口為80舉例說明，具體操作，請參見創(chuàng)建和管理NLB實(shí)例、添加TCP監(jiān)聽。

步驟一：檢查服務(wù)器組已開啟客戶端地址保持功能

1. 登錄網(wǎng)絡(luò)型負(fù)載均衡NLB控制臺。

2. 在頂部菜單欄，選擇實(shí)例所屬的地域。

3. 在服務(wù)器組頁面，找到目標(biāo)服務(wù)器組，單擊服務(wù)器組ID。

4. 在服務(wù)器組詳情頁面，查看到開啟客戶端地址保持字段為已開啟。如果是未開啟，可單擊編輯基本信息在配置頁面中開啟該功能。

步驟二：驗(yàn)證后端服務(wù)器可獲取客戶端真實(shí)IP

當(dāng)Nginx作為后端服務(wù)器時，您可以通過檢查Nginx日志來判斷是否成功獲取到了客戶端的真實(shí)IP地址。

Nginx日志字段默認(rèn)配置示例如下：

http {
  # 默認(rèn)配置
  log_format  main  '$remote_addr- $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
	#...
}

Nginx日志文件默認(rèn)路徑為：/var/log/nginx/access.log

每行日志中第一個IP地址即為客戶端真實(shí)IP地址。

通過Proxy Protocol功能配置

前提條件

• 您已經(jīng)創(chuàng)建可用的NLB服務(wù)器組并添加了后端服務(wù)器。本文以創(chuàng)建了服務(wù)器類型的服務(wù)器組、后端協(xié)議為TCP、后端服務(wù)器為ECS、后端部署的應(yīng)用端口為80舉例說明，具體操作，請參見創(chuàng)建和管理服務(wù)器組。

• 您已經(jīng)創(chuàng)建NLB實(shí)例并為該實(shí)例添加了監(jiān)聽。本文以TCP監(jiān)聽、監(jiān)聽端口為80舉例說明，具體操作，請參見創(chuàng)建和管理NLB實(shí)例。

  說明

  • 啟用Proxy Protocol之前，請確保您的后端服務(wù)器支持Proxy Protocol v2版本，否則會導(dǎo)致新建連接失敗。

  • 如果實(shí)例的多個NLB監(jiān)聽掛載同一組后端服務(wù)器，必須將所有實(shí)例的監(jiān)聽都開啟Proxy Protocol功能。

  • Nginx Plus R16及以后版本或者開源Nginx 1.13.11及以后版本支持Proxy Protocol v2版本。

步驟一：為監(jiān)聽開啟Proxy Protocol

1. 登錄網(wǎng)絡(luò)型負(fù)載均衡NLB控制臺。

2. 在頂部菜單欄，選擇實(shí)例所屬的地域。

3. 在實(shí)例頁面，找到目標(biāo)實(shí)例，單擊實(shí)例ID。

4. 在實(shí)例詳情頁面，單擊監(jiān)聽頁簽，找到目標(biāo)監(jiān)聽，單擊監(jiān)聽ID。

5. 在監(jiān)聽詳情頁面，查看到開啟ProxyProtocol字段為已開啟。如果未開啟，可單擊編輯監(jiān)聽在彈出的對話框中開啟該功能。

步驟二：為后端服務(wù)器開啟Proxy Protocol

此處以CentOS 7.9操作系統(tǒng)、Nginx 1.20.1 版本配置為例介紹。具體請以您實(shí)際使用的環(huán)境為準(zhǔn)。

1. 登錄后端服務(wù)器，執(zhí)行nginx -t命令查看配置文件所在路徑。默認(rèn)通常為 /etc/nginx/nginx.conf，具體請以實(shí)際環(huán)境為準(zhǔn)。

2. 修改配置文件中的Proxy Protocol內(nèi)容并保存，修改點(diǎn)可參考下方說明。

   http {
     # 確保設(shè)置$proxy_protocol_addr，該變量用于記錄客戶端真實(shí)IP
     log_format  main  '$proxy_protocol_addr - $remote_addr- $remote_user [$time_local] "$request" '
                         '$status $body_bytes_sent "$http_referer" '
                         '"$http_user_agent" "$http_x_forwarded_for"';
     # 以80監(jiān)聽端口為例，增加proxy_protocol字段
     server {
       listen 80   proxy_protocol;
       #...
     }
   }
   

3. 執(zhí)行sudo nginx -s reload命令，重新加載Nginx配置文件。

步驟三：驗(yàn)證后端服務(wù)器可獲取客戶端真實(shí)IP

當(dāng)Nginx作為后端服務(wù)器時，您可以通過檢查Nginx日志來判斷是否成功獲取到了客戶端的真實(shí)IP地址。

Nginx日志文件默認(rèn)路徑為：/var/log/nginx/access.log

每行日志中，$proxy_protocol_addr變量對應(yīng)的IP地址即為客戶端真實(shí)IP地址。

Proxy Protocol v2報(bào)文參考

如您未使用上述示例中的服務(wù)器，您可參考Proxy Protocol v2報(bào)文結(jié)構(gòu)及The PROXY protocol進(jìn)行自定義解析，具體請參考您所使用的服務(wù)器的官方資料。

• 攜帶客戶端IPv4地址的Proxy Protocol v2二進(jìn)制頭格式如下所示：

• 攜帶客戶端IPv6地址的Proxy Protocol v2二進(jìn)制頭格式如下所示：