nginx入口控制器转发源ip

Question

我已经为应用程序设置了入口，但想将我的 IP 地址列入白名单。所以我创建了这个 Ingress：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/whitelist-source-range: ${MY_IP}/32
  name: ${INGRESS_NAME}
spec:
  rules:
  - host: ${DNS_NAME}
    http:
      paths:
      - backend:
          serviceName: ${SVC_NAME}
          servicePort: ${SVC_PORT}
  tls:
  - hosts:
    - ${DNS_NAME}
    secretName: tls-secret

但是当我尝试访问它时，我得到一个 403 禁止，并且在 nginx 日志记录中我看到一个客户端 ip，但它来自集群节点之一，而不是我的家庭 ip。

我还使用此配置创建了一个 configmap：

data:
  use-forwarded-headers: "true"

在容器中的 nginx.conf 中，我可以看到已正确传递/配置，但我仍然得到一个 403 禁止，仍然只有来自集群节点的客户端 IP。

我在 AKS 集群上运行，而 nginx 入口控制器位于 Azure 负载均衡器后面。 nginx 入口控制器 svc 暴露为类型负载均衡器，并锁定 svc 打开的节点端口。

我需要在 Nginx 中配置其他东西吗？

Answer 1

如果您使用Helm chart 安装了 nginx-ingress，您可以简单地使用controller.service.externalTrafficPolicy: Local 配置您的values.yaml 文件，我相信这将适用于您的所有服务。否则，您可以使用service.spec.externalTrafficPolicy: Local 配置特定服务，以对这些特定服务实现相同的效果。

这里有一些资源可以加深您的理解：

• k8s docs - Preserving the client source IP
• k8s docs - Using Source IP

Answer 2

听起来您的 Nginx 入口控制器位于 NodePort（或 LoadBalancer）服务之后，或者更确切地说是在 kube-proxy 之后。通常，要让您的控制器查看原始连接 IP，您需要使用 hostNetwork 端口部署它，以便它直接侦听传入流量。