orokusaki Asked: 2013-06-21 08:39:38 +0800 CST2013-06-21 08:39:38 +0800 CST 2013-06-21 08:39:38 +0800 CST 我怎样才能在负载均衡器后面使用 SSL 并仍然获得客户端 IP? 772 请注意,由于网络安全相关问题,我不能在负载均衡器上使用 SSL 终止。 我得到的客户端IP当然是负载均衡器的IP。我知道负载均衡器在没有我的密钥的情况下无法修改 HTTPS 消息,但是在使用 SSL 进行负载均衡时是否还有另一种获取客户端 IP 地址的方法,例如可能只是在 TCP 级别进行负载均衡,或者其他什么? ssl 1 个回答 Voted Best Answer AutumnGarnet 2013-06-21T09:38:05+08:002013-06-21T09:38:05+08:00 简而言之,如果您希望 X-Forwarded-For 工作,则必须在负载均衡器处终止 SSL。 否则,在具有“哑”负载均衡器的典型配置中,负载均衡器仅充当 VIP 和真实 IP 之间的中介 - 导致负载均衡器的 IP 出现在日志中。如果负载平衡器无法解密流量,则无法插入标头。 至于平衡 TCP 连接,如果您不在负载平衡器处终止 SSL,那基本上就是您正在做的事情。 可以将 NetScaler 或某种代理设备配置为通过 IP 记录请求,但如果没有私钥,它将无法确定请求的细节,例如 URI 或请求方法。
简而言之,如果您希望 X-Forwarded-For 工作,则必须在负载均衡器处终止 SSL。
否则,在具有“哑”负载均衡器的典型配置中,负载均衡器仅充当 VIP 和真实 IP 之间的中介 - 导致负载均衡器的 IP 出现在日志中。如果负载平衡器无法解密流量,则无法插入标头。
至于平衡 TCP 连接,如果您不在负载平衡器处终止 SSL,那基本上就是您正在做的事情。
可以将 NetScaler 或某种代理设备配置为通过 IP 记录请求,但如果没有私钥,它将无法确定请求的细节,例如 URI 或请求方法。