在负载均衡架构下,后端服务器默认只能获取到负载均衡节点的IP地址,要准确获取客户端真实IP,必须根据传输协议层级(七层HTTP或四层TCP),分别配置HTTP头字段传递或Proxy Protocol协议,并在后端服务器上严格设置可信代理列表以防止IP伪造,这不仅是日志记录的需求,更是基于IP访问控制、安全审计及用户画像分析的基础设施保障。
为什么默认获取不到真实IP
在标准的负载均衡部署模式中,客户端请求并不会直接发送给后端服务器,而是先到达负载均衡器(如Nginx、HAProxy、F5或云厂商的SLB),负载均衡器作为反向代理,接收客户端请求后,会与后端服务器建立新的TCP连接,在这个新连接中,源IP地址自然变成了负载均衡器的内网IP,而后端服务器看到的remote_addr也就是负载均衡器的IP,这种机制是TCP/IP协议栈的天然行为,因此需要额外的“透传”机制来携带原始客户端IP信息。
七层HTTP/HTTPS解决方案
对于基于HTTP或HTTPS协议的七层负载均衡,获取真实IP最通用的方案是利用HTTP头字段,这不需要修改底层网络栈,通过应用层协议扩展即可实现。
X-Forwarded-For(XFF)是目前事实上的行业标准,当负载均衡器接收到客户端请求时,它会将客户端的IP追加到XFF头中,格式通常为:X-Forwarded-For: <客户端IP>, <上一级代理IP>,如果请求经过了多层代理,这个列表会不断增长,后端服务器在解析时,通常取该列表的第一个IP作为客户端原始IP。
除了XFF,X-Real-IP头字段也常被使用,与XFF记录链路不同,X-Real-IP通常只记录直接发起连接的客户端IP,在单层代理架构中,X-Real-IP往往更直观,但在多层CDN或代理穿透场景下,XFF能提供更完整的链路信息。
四层TCP/UDP解决方案
在四层负载均衡(如LVS、TCP模式的ELB)中,流量是基于IP包和TCP端口转发的,负载均衡器无法修改HTTP内容,因此XFF方案完全失效,此时必须采用Proxy Protocol协议或TOA(TCP Option Address)模块。
Proxy Protocol是HAProxy提出的一种协议,在TCP连接建立时,代理会在发送真实数据前,先发送一段包含源IP、目的IP、源端口和目的端口的小文本头或二进制头,这要求后端服务器(如Nginx或HAProxy)必须开启Proxy Protocol解析功能,否则会将这段头信息当作正常数据处理导致错误。
TOA(TCP Option Address)则是腾讯云等部分云厂商提出的内核级解决方案,它通过在TCP协议头的Options字段中携带客户端IP信息,后端服务器通过加载特定的内核模块(如toa.ko),在系统调用层面直接获取真实IP,这种方式对应用层完全透明,性能损耗极低,但需要修改服务器操作系统内核。
安全防护与最佳实践
获取真实IP最大的风险在于IP伪造,HTTP头字段是可以被客户端随意伪造的,如果后端服务器直接信任XFF头中的任意IP,攻击者可以轻易绕过基于IP的安全限制。
必须遵循可信代理原则,后端服务器应配置一个“可信IP列表”,仅当请求的物理连接IP(即remote_addr)位于该列表中(例如是已知的负载均衡器内网IP)时,才去解析XFF头或Proxy Protocol中的IP,如果物理连接IP本身就是外网IP,说明请求并未经过负载均衡,此时应直接使用物理连接IP,忽略XFF头,防止欺骗。
在日志分析中,建议同时记录物理连接IP和解析出的真实IP,这有助于在排查故障时,区分是客户端问题还是负载均衡器本身的连接问题。
常见配置实战(Nginx环境)
在Nginx作为后端接收流量时,正确配置是关键,确保安装了ngx_http_realip_module模块。
在Nginx配置文件的http段或具体server段中,设置负载均衡器的内网IP为可信:
set_real_ip_from 192.168.1.0/24; # 假设这是负载均衡器的网段 set_real_ip_from 10.0.0.1; # 或者是具体的SLB IP real_ip_header X-Forwarded-For; # 指定使用XFF头 real_ip_recursive on; # 递归查找,从右向左匹配最右侧的非内网IP
配置完成后,Nginx的$remote_addr变量就会自动替换为经过验证的客户端真实IP,日志格式无需修改即可生效,对于四层Proxy Protocol,则需在Nginx的stream块中配置listen 80 proxy_protocol;。
相关问答
Q1:X-Forwarded-For和X-Real-IP有什么本质区别,应该优先使用哪个?
A1: X-Forwarded-For(XFF)是一个链式结构,记录了请求经过的所有代理IP,适合排查复杂的网络链路;X-Real-IP通常只记录直接发起连接的对端IP,在获取最终用户IP时,通常建议优先解析XFF,并配合real_ip_recursive on指令从右向左寻找第一个不可信IP,这样能更好地处理多层CDN场景,如果架构简单,X-Real-IP也是可行的选择,但XFF的兼容性和信息量更优。
Q2:为什么配置了X-Forwarded-For,后端应用获取到的IP还是负载均衡器的IP?
A2: 这通常有两个原因,一是后端应用(如Java、PHP)代码直接读取了TCP连接的源IP,而没有去解析HTTP头;二是负载均衡器没有正确追加或传递XFF头,如果后端前面还有一层Nginx且未配置set_real_ip_from,Nginx会认为请求来自不可信来源,从而忽略XFF头,导致传递给应用的remote_addr依然是上一级代理的IP。
如果您在配置负载均衡真实IP的过程中遇到特定的网络架构问题,欢迎在评论区分享您的拓扑环境,我们将为您提供更具针对性的解决方案。
图片来源于AI模型,如侵权请联系管理员。作者:酷小编,如若转载,请注明出处:https://www.kufanyun.com/ask/300601.html
评论列表(4条)
好的,这篇讲负载均衡下获取真实IP的文章,虽然有点技术底子,但切入点挺实在的,说的也是我们搞网站后台经常会碰到的头疼事。 文章点出的核心痛点很准:负载均衡后面一堆服务器,默认看到的全是“中间人”(负载均衡节点)的IP,真正的用户是谁?完全蒙在鼓里。这就好比你开个店,顾客都通过一个导购跟你说话,你只知道导购的脸,却看不见顾客本人,想记住个熟客或者分析下客源都无从下手。这感觉,确实挺憋屈的。 它把解决思路也分得挺清楚——看你是七层(HTTP)还是四层(TCP)的流量。七层就好办多了,在负载均衡那层(比如Nginx)加个配置,把客户端的真实IP塞进一个特殊的“快递单”(比如 X-Forwarded-For 头)里,一路传给后端服务器,服务器只要会看这个“快递单”就行。这个操作对后端应用改动不大,算是比较优雅的方式。文章里提到的配置方法,虽然没具体展开命令,但指了道(配置HTTP头字段传递),懂点Nginx的看了就知道方向了,需要的时候再查查具体参数就行。 至于四层的TCP/UDP,麻烦就大点。文章提到了 Proxy Protocol,这确实是标准解法。它相当于在正式数据开始前,专门加了个“信封”,把原始IP等信息写在信封上。这种方式要求负载均衡和后端服务器都得支持并开启这个协议才行。虽然更底层通用,但两边都得动,实施起来步骤多点。 总的来说,这文章虽然不长,但把“为什么拿不到真实IP”和“怎么分情况解决”说透了,特别是强调了不同协议层的区别,这点对新手理清思路很有帮助。它像是一张简明地图,告诉你目标在哪,有哪几条路可以走。至于路上具体怎么开车(写配置命令),那确实需要另查手册,但至少方向明确了,心里就不慌了。搞技术嘛,有时候怕的就是不知道问题出在哪、该往哪个方向使劲儿。这篇文章,算是照亮了其中一条路上的关键路标。
@木木735:哈哈,哥们这“导购顾客”的比喻绝了,太形象了!确实,搞不清真实IP就跟瞎了似的。你总结得很到位,原文就是给咱指了条明路。不过补充一点,实际配的时候,后端应用也得记得去读那个‘快递单’(比如XFF头)才行,有时候忘了这一步也白搭,特别是用框架的时候。
@风风6484:哈哈,哥们你也点醒了关键!确实,那个“快递单”比喻太生动了,后端应用不主动读XFF头,就真成摆设了。我试过,框架默认配置常忽略这个,调试半天才发现坑。记得也检查下后端日志设置,不然IP还是乱码。
看了这篇文章,感觉真是戳中了不少运维人的痛点啊!确实,负载均衡后面藏着真实的客户端IP这件事,搞不好就是个坑,日志里全是负载均衡的IP,查问题的时候简直两眼一抹黑。 文章把七层和四层的解决方案都拎清楚了,这点特别好。七层用HTTP头(X-Forwarded-For, X-Real-IP这些)确实是最常见的路子,Nginx里那几个关键配置(real_ip_header, set_real_ip_from)用得勤快点儿基本能搞定。不过文章提醒得很对,别忘了告诉Nginx哪些是可信的代理(set_real_ip_from),不然别人随便伪造个XFF头,IP信息就乱套了,安全风险不小。 至于四层TCP/UDP的场景,以前容易被忽略,文章点出了Proxy Protocol这个神器,算是补上了重要的知识盲区。后端服务得支持解析这个协议才行,Nginx配起来也比HTTP头稍微复杂一丢丢,但确实是唯一正确的解法。 整体感觉这文章挺实在的,没光说理论,点明了不同协议层的关键配置差异和注意事项。说实话,第一次配的时候很容易漏掉“信任代理”这一步,或者搞不清七层和四层的区别,结果白忙活。这篇文章把这些关键点都照顾到了,对新手老手都有参考价值。搞负载均衡,真IP这事儿,真不能马虎!