摘要 - 需要将白名单 ips 添加到 mysite1.example.com。现在,当它们被添加时,它不起作用,因为每个请求都来自负载平衡器服务器。
我正在使用带有上游后端的前置 Nginx 主机进行设置,以将端口 443 上的所有 tcp 数据包负载平衡到后端服务器。
运行 nginx 的 Loadbalancer 服务器的 nginx 配置 - 服务器 C 如下
stream {
upstream stream_backend {
hash $remote_addr consistent;
server 10.15.15.3:443; ## server A
server 10.15.15.9:443; ## server B
}
server {
listen 443;
proxy_pass stream_backend;
proxy_timeout 5s;
proxy_connect_timeout 5s;
}
}
服务器 A 和服务器 B 具有以下 nginx.conf。它们是带有应用程序的相同服务器。
它有两个虚拟主机在每个运行。他们工作正常。
http {
server {
server_name mysite1.example.com;
listen *:443 ssl;
listen [::]:443 ssl;
allow 123.45.85.220; # this seems not working
deny all; # only this is working
location ^~ /static/ {
...
}
...
ssl_certificate file.pem;
ssl_certificate_key file.key;
}
server {
server_name mysite2.example.com;
listen *:443 ssl;
listen [::]:443 ssl;
location /somethin {
...
}
location /something2{
...
}
ssl_certificate file.pem;
ssl_certificate_key file.key;
}
}
我需要的是将虚拟主机 mysite1.example.com 的几个 ip 列入白名单。我面临的问题是在服务器 A 和 B 上运行的 nginx 将负载均衡器 Ip 视为客户端 Ip。所以当尝试添加允许 IP 时;全部否认。不适用于任何主机,因为它在所有请求上都将负载均衡器 IP 作为客户端 IP。
有人可以指导我添加代理 IP 配置以实现上述设置运行良好。除 IP 白名单问题外,设置已完成。
ps Ssl 终止发生在后端服务器、服务器 A 和服务器 B
我在网上搜索并发现这些很有帮助,但仍然无法弄清楚如何让它全部工作。
https://stackoverflow.com/questions/40873393/nginx-real-client-ip-to-tcp-stream-backend https://www.cyberciti.biz/faq/nginx-redirect-backend-traffic-based-upon -客户端IP地址/
发生这种情况是因为您的 nginx 负载均衡器与您的 nginx Web 服务器建立了新的 TCP 连接,导致原始客户端 IP 地址丢失。
您可以使用 PROXY 协议解决此问题。当新连接打开时,此协议会发送原始 IP 地址信息,以便您的 Web 服务器可以知道它。
要进行设置,您需要进行以下更改:
在负载均衡器上,设置
proxy_protocol on;:在 Web 服务器上,接受 PROXY 协议,并为负载均衡器的 IP 地址启用 Real IP 功能。
您可以对代理协议进行额外的调整,您可以在nginx 文档中找到这些调整,但这应该可以帮助您开始并解决当前的问题。
我的方法是:
使用 SNI 在负载均衡器中过滤:
基本上:SNI 允许代理查看域名,而无需终止 TLS。这是一个指南。这里是将其组合成解决方案的nginx 文档。如果你能做到这一点,那么你就可以根据
$ssl_preread_server_name.real_ip 模块似乎也是一个不错的解决方案。
编辑
PROXY 协议实际上会比 real_ip 更好。但这仍然意味着,您的后端服务器会受到最终阻塞的请求的影响。SNI 解决方案在负载均衡器上捕获它们。
好像您的代理没有通过真实 IP 尝试添加此参数
你能检查那里的ip访问日志吗?