Ingress获取真实IP

一般情况下，经过 ingress 的请求会携带 headerX-Real-IP，用户可根据 header 解析出真实访问 IP。

特殊情况，用户请求可能经过多个 nginx 才达到 ingress, 通过上述方法得到的并不是用户的真实 IP。

request -> nginx -> … -> ingress-nginx -> backend

方案 1 use-forwarded-headers

nginx-ingress 官方的建议是开启use-forwarded-headers, 配置如下：

kind: ConfigMap
apiVersion: v1
metadata:
  name: nginx-configuration
data:
  compute-full-forwarded-for: 'true'
  use-forwarded-headers: 'true'

方案 2 real_ip_header

这种方式确实可以起作用，但是有用户反馈开启后访问 ingres 后端服务一直报308，检查了 ingress 的代码开启use-forwarded-headers后会同时开启ssl-redirect导致 308。

那么我们只需要开启 nginx 配置中的相关 real-ip 的配置，如下在http-snippet添加real_ip_header X-Forwarded-For;

kind: ConfigMap
apiVersion: v1
metadata:
  name: nginx-configuration
data:
  http-snippet: |
    real_ip_header X-Forwarded-For;

golang 中获取真实 ip

func RemoteIP(r *http.Request) string {
  // ingress 行为，将真实ip放到header `X-Original-Forwarded-For`, 普通nginx可去掉此条
	ip := strings.TrimSpace(strings.Split(r.Header.Get("X-Original-Forwarded-For"), ",")[0])
	if ip != "" {
		return ip
	}

	ip = strings.TrimSpace(strings.Split(r.Header.Get("X-Forwarded-For"), ",")[0])
	if ip != "" {
		return ip
	}

	ip = strings.TrimSpace(r.Header.Get("X-Real-Ip"))
	if ip != "" {
		return ip
	}

	if ip, _, err := net.SplitHostPort(strings.TrimSpace(r.RemoteAddr)); err == nil {
		return ip
	}

	return ""
}

注意

nginx-ingress configmap 中的配置会是全局生效的，上线前需要严格测试。