四层监听器获取客户端源IP--负载均衡-火山引擎

文档中心

立即注册

导航

四层监听器获取客户端源IP

最近更新时间：2024.05.17 08:31:44首次发布时间：2023.03.07 10:29:25

本文将介绍四层监听器如何通过Proxy Protocol协议获取访问负载均衡服务的客户端源IP地址。

场景介绍

负载均衡的四层监听器（TCP/UDP协议）默认具有源地址透传功能，报文经过CLB后客户端源IP地址不会被替换，您可以直接获取到源IP地址。

如果后端服务器组为IP类型，或者客户端IP地址为IPv6地址，而后端服务器为IPv4地址，客户端请求通过负载均衡时，负载均衡会对客户端IP地址进行转换，从而导致后端服务器无法直接获取客户端的源IP地址。
此时，您可以通过启用四层监听器的Proxy Protocol协议功能来获取客户端源IP地址。
如果四层监听器接入了Web应用防火墙（Web Application Firewall，简称 WAF），客户端请求通过WAF时，WAF会对客户端IP地址进行转换，从而导致后端服务器无法直接获取客户端的源IP地址。
此时，您可以参考通过负载均衡（CLB）4 层监听器接入云WAF实例配置HTTP Header字段，使WAF携带客户端源IP传递给后端服务器。

配置说明

请确保您已完成负载均衡的基本配置，详细操作请参见负载均衡快速入门。
启用四层监听器的Proxy Protocol协议功能前，请确保后端服务器部署的后端服务支持Proxy Protocol v2协议。
nginx 1.13.11及以上版本支持Proxy Protocol v2协议，本文以Nginx1.20.1为例进行介绍。
如果同一CLB实例的多个监听器使用相同的后端服务器组，则必须为该实例下的所有四层监听器均开启Proxy Protocol协议功能。

配置步骤

步骤一：启用Proxy Protocol协议

登录负载均衡控制台。
单击目标CLB实例的名称，进入实例详情页面。
选择“监听器”页签，单击目标监听器右侧的“编辑监听器”按钮，开启Proxy Protocol协议的开关。
连续三次单击“下一步”按钮，然后单击“确定”按钮“，完成操作。

步骤二：启用后端服务的Proxy Protocol

登录后端服务器，具体操作请参见登录Linux实例或登录Windows实例。
执行以下命令，打开Nginx配置文件nginx.conf。
vi /etc/nginx/nginx.conf

按i进入编辑模式，根据以下内容配置Proxy Protocol v2协议获取客户端源地址的功能。

http { 
    ...
    server { 
        listen 80 proxy_protocol;
        listen 443 ssl proxy_protocol; 
        ...
    }
...
      
stream { 
    ...
    server { 
        listen 123 proxy_protocol;   // 配置TCP/UDP协议的Proxy Protocol功能
        ... 
    } 
}

按 Esc键退出编辑模式，然后输入 :wq保存退出。
执行以下命令，启动Nginx使配置生效。
systemctl start nginx.service

步骤三：获取客户端源IP地址

通过cat /var/log/nginx/access.log命令查看访问日志，可以获取客户端的源IP地址。

携带IPv4客户端源IP地址的Proxy Protocol v2协议的报文头部格式如下所示：

/*
 * Proxy Protocol Header:
 * NAT44 Header
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |                                                               |
 * |                           Signature                           |
 * |                                                               |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |  Ver  |  Cmd  |   Af  | Proto |           Length              |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |                       IPv4 Source Address                     |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |                     IPv4 Destination Address                  |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |         Source Port           |        Destination Port       |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 */

携带IPv6客户端源IP地址的Proxy Protocol v2协议的报文头部格式如下所示：

/*
 * Proxy Protocol Header:
 * NAT66 Header
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |                                                               |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |                                                               |
 * |                           Signature                           |
 * |                                                               |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |  Ver  |  Cmd  |   Af  | Proto |           Length              |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |                                                               |
 * |                                                               |
 * |                      IPv6 Source Address                      |
 * |                                                               |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |                                                               |
 * |                                                               |
 * |                    IPv6 Destination Address                   |
 * |                                                               |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 * |         Source Port           |        Destination Port       |
 * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 */