不从入口控制器获取源IP

Question

我们已经安装了EKS集群来部署应用程序。业务流为Nginx->LB->IngressController->Application.其中，nginx是L7代理。我们已经设置了下面的参数来转发报头中的源IP。

location ~* /example/version/test {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_pass http://second.example.com;
    }

请求被转发到AWS，我们已经安装了它和入口控制器。在入口控制器configmap中，我们添加了这些参数，从X转发的/Forwarded中提取源IP。

proxy-real-ip-cidr: <VPC CIDR>
use-forward-headers: "true"

当请求到达pod时，它将在Forwarded和X转发的报头中显示EKS节点IP地址。我又添加了一个自定义标题"ip- test“来测试转发的报头，如下所示。

location ~* /example/version/test {
        proxy_set_header X-Real-IP $remote_addr;
        add_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header 'ip-test' $remote_addr;
        proxy_pass http://second.example.com;
    }

令人惊讶的是，这个报头显示的是实际的源IP，但是X转发-For和forwarded只显示节点IP。我读过许多人建议添加externalTrafficPolicy: Local的文章，但在我们的例子中没有起作用。

Answer 1

入口控制器nginx.conf也设置了proxy_set_header X-Real-IP $remote_addr;指令。我在ingress中添加了下面的注释，它起了作用。

nginx.ingress.kubernetes.io/configuration-snippet: |
      real_ip_header X-Real-IP;
      real_ip_recursive on;
      set_real_ip_from <VPC CIDR>;
      set_real_ip_from <PROXY IP>;