場景
在項目中,我們配置nginx反向代理分別指向kong服務端口和管理端口,但是我們發現在使用IP Restriction插件時,kong只能獲取到nginx代理的地址。
server {
server_name kong_proxy;
listen 0.0.0.0:8888;
location /proxy/ {
proxy_pass http://127.0.0.1:8000/;
}
location /admin/ {
auth_basic "kong admin basic auth";
auth_basic_user_file htpasswd;
proxy_pass http://127.0.0.1:8001/;
}
}
解決方案
Kong本身支持從header中獲取原始IP,我們需要更改配置開啟功能。
1. 首先在nginx中配置proxy_set_header添加原始IP到請求頭中
location /proxy/ {
proxy_pass http://127.0.0.1:8000/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
除了傳遞原始IP外,還包括Host傳遞域名,Proto傳遞協議名以備萬一
2. 更改Kong的配置
# 獲取原始IP的請求頭名稱(默認從X-Real-IP中獲取,我們也可以更改為X-Forwarded-For等)
# real_ip_header = X-Real-IP
# 配置要信任的原始IP地址列表,這里配置為全部信任
trusted_ips = 0.0.0.0/0,::/0
如果我們使用容器,可以通過環境變量來配置:
-e "KONG_TRUSTED_IPS=0.0.0.0/0,::/0" \
-e "KONG_REAL_IP_HEADER=X-Forwarded-For"