Kong配置反向代理后获取原始IP

场景

在项目中,我们配置nginx反向代理分别指向kong服务端口和管理端口,但是我们发现在使用IP Restriction插件时,kong只能获取到nginx代理的地址。

server {
server_name kong_proxy;
listen 0.0.0.0:8888;
location /proxy/ {
proxy_pass http://127.0.0.1:8000/;
}
location /admin/ {
auth_basic "kong admin basic auth";
auth_basic_user_file htpasswd;
proxy_pass http://127.0.0.1:8001/;
}
}

解决方案

Kong本身支持从header中获取原始IP,我们需要更改配置开启功能。

1. 首先在nginx中配置proxy_set_header添加原始IP到请求头中

location /proxy/ {
proxy_pass http://127.0.0.1:8000/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}

除了传递原始IP外,还包括Host传递域名,Proto传递协议名以备万一

2. 更改Kong的配置

# 获取原始IP的请求头名称(默认从X-Real-IP中获取,我们也可以更改为X-Forwarded-For等)
# real_ip_header = X-Real-IP
# 配置要信任的原始IP地址列表,这里配置为全部信任
trusted_ips = 0.0.0.0/0,::/0

如果我们使用容器,可以通过环境变量来配置:

-e "KONG_TRUSTED_IPS=0.0.0.0/0,::/0" \
-e "KONG_REAL_IP_HEADER=X-Forwarded-For"
posted @   Peterer~王勇  阅读(2599)  评论(1编辑  收藏  举报
努力加载评论中...
点击右上角即可分享
微信分享提示