Kong配置反向代理后获取原始IP
场景
在项目中,我们配置nginx反向代理分别指向kong服务端口和管理端口,但是我们发现在使用IP Restriction插件时,kong只能获取到nginx代理的地址。
server { server_name kong_proxy; listen 0.0.0.0:8888; location /proxy/ { proxy_pass http://127.0.0.1:8000/; } location /admin/ { auth_basic "kong admin basic auth"; auth_basic_user_file htpasswd; proxy_pass http://127.0.0.1:8001/; } }
解决方案
Kong本身支持从header中获取原始IP,我们需要更改配置开启功能。
1. 首先在nginx中配置proxy_set_header添加原始IP到请求头中
location /proxy/ { proxy_pass http://127.0.0.1:8000/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; }
除了传递原始IP外,还包括Host传递域名,Proto传递协议名以备万一
2. 更改Kong的配置
# 获取原始IP的请求头名称(默认从X-Real-IP中获取,我们也可以更改为X-Forwarded-For等) # real_ip_header = X-Real-IP # 配置要信任的原始IP地址列表,这里配置为全部信任 trusted_ips = 0.0.0.0/0,::/0
如果我们使用容器,可以通过环境变量来配置:
-e "KONG_TRUSTED_IPS=0.0.0.0/0,::/0" \ -e "KONG_REAL_IP_HEADER=X-Forwarded-For"
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步