nginx做負載CDN加速獲取端真實ip
在不用cdn的情況下,nginx做負載獲取真實ip時,nginx配置如下:
Java代碼
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
然后后端服務器獲取ip代碼:
Java代碼
復制代碼
代碼如下:
這樣就能獲取到真實的IP,服務器測試一下:
不加cdn,獲取得IP:123.116.126.51(我當前客戶端機器的真實IP)
然后加上加了cdn后,后去到的IP:123.116.126.51, 202.108.251.166(hosts指向cdn的ip)
即:client 真實IP,代理IP,google之,
X-Forwarded-For:簡稱XFF頭,它代表客戶端,也就是HTTP的請求端真實的IP,只有在通過了HTTP 代理或者負載均衡服務器時才會添加該項 。
標準格式如下:
X-Forwarded-For: client1, proxy1, proxy2
從標準格式可以看出,X-Forwarded-For頭信息可以有多個,中間用逗號分隔,第一項為真實的客戶端ip,剩下的就是曾經經過的代理或負載均衡的ip地址,經過幾個就會出現幾個。
當Nginx設置X-Forwarded-For等于$proxy_add_x_forwarded_for后會有兩種情況發生
1、如果從CDN過來的請求沒有設置X-Forwarded-For頭(通常這種事情不會發生),而到了我們這里Nginx設置將其設置為$proxy_add_x_forwarded_for的話,X-Forwarded-For的信息應該為CDN的IP,因為相對于Nginx負載均衡來說客戶端即為CDN,這樣的話,后端的web程序時死活也獲得不了真實用戶的IP的。
2、CDN設置了X-Forwarded-For,我們這里又設置了一次,且值為$proxy_add_x_forwarded_for的話,那么X-Forwarded-For的內容變成 ”客戶端IP,CDN的ip“如果是這種情況的話,那后端的程序通過X-Forwarded-For獲得客戶端IP,則取逗號分隔的第一項即可。
這個比較頭疼,如果只想獲取客戶端真實ip,那么只能修改我們后端代碼,如果有多個,那么取第一個。這不是我想要的,
那么怎么樣才能不修改就能真實IP呢?
Nginx中還有一個$http_x_forwarded_for變量,這個變量中保存的內容就是請求中的X-Forwarded-For信息。如果后端獲得X-Forwarded-For信息的程序兼容性不好的話(沒有考慮到X-Forwarded-For含有多個IP的情況),最好就不要將X-Forwarded-For設置為 $proxy_add_x_forwarded_for。應該設置為$http_x_forwarded_for或者干脆不設置!
上面這段話的意思是我們不加 $proxy_add_x_forwarded_for, 但是這樣不在cdn的情況下去會取不到真實IP,有沒有一個兩全齊美的方法呢?
經過幾種配置之后,發現做如下配置:
Java代碼
proxy_set_header X-Forwarded-For $http_x_forwarded_for;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
這樣配置第一次獲取 $http_x_forwarded_for,如果不存在,那么獲取$proxy_add_x_forwarded_for。
這樣不管是否在cdn環境,都可以獲得一個客戶端IP。
(注:多層代理未測試)
