Настройка балансировщика нагрузки nginx на ip_hash по заголовку вместо IP-адреса

На чтение 3 мин Опубликовано 26.09.2024

Содержание

Вопрос или проблема
Ответ или решение
Шаги для настройки:
Дополнительные замечания:
Ответ на вопрос о других балансировщиках:

Вопрос или проблема

Я настроил балансировщик нагрузки NGINX за обратным прокси.

В результате все входящие запросы имеют один и тот же IP-адрес (адрес обратного прокси).

Все эти запросы содержат заголовок “X-Forwarded-For”, в котором указан IP-адрес клиента, инициировавшего запрос.

Можно ли настроить NGINX так, чтобы ip_hash выполнялся не по IP-адресу входящего запроса, а по содержимому этого заголовка “X-Forwarded-For”?

Если это невозможно сделать с помощью NGINX, можно ли это сделать с другим балансировщиком нагрузки (apache и т.д.)?

Примечание: У меня нет контроля над настройками обратного прокси.

Вам следует попробовать функцию Real IP.

Она должна брать IP-адрес из значения X-Forwarded-For и делать его доступным в переменной $remote_addr (заменяя IP-адрес обратного прокси). Кроме того, другие директивы, которые используют $remote_addr, должны использовать обновленное значение.

Например:

set_real_ip_from  x.x.x.x;
real_ip_header    X-Forwarded-For;

где x.x.x.x — это IP-адрес обратного прокси, полученный NGINX.

Ответ или решение

Чтобы настроить NGINX в качестве балансировщика нагрузки с использованием хэширования IP на основе заголовка X-Forwarded-For, вам нужно использовать модуль ngx_http_realip_module. Он позволяет NGINX извлекать реальный IP-адрес клиента из заголовка X-Forwarded-For, а затем использовать этот адрес для хэширования.

Шаги для настройки:

Убедитесь, что модуль realip доступен:
В большинстве стандартных установок NGINX модуль ngx_http_realip_module включен по умолчанию. Вы можете подтвердить это, выполнив команду:
```
nginx -V 2>&1 | grep --with-http_realip_module
```
Если он включен, вы увидите соответствующий параметр.

Настройте конфигурацию NGINX:
Откройте файл конфигурации NGINX, который обычно располагается по пути /etc/nginx/nginx.conf или в одном из файлов в директории /etc/nginx/conf.d/.

Вставьте следующие строки в секцию http:

http {
   ...
   # Указываем IP-адрес обратного прокси
   set_real_ip_from x.x.x.x;  # Замените x.x.x.x на IP-адрес вашего обратного прокси
   real_ip_header X-Forwarded-For;

   upstream backend {
       ip_hash;  # Используем хэширование на основе IP
       server backend1.example.com;
       server backend2.example.com;
   }

   server {
       listen 80;

       location / {
           proxy_pass http://backend;
           # Остальные настройки proxy здесь
       }
   }
}

Перезагрузите NGINX:
После внесения изменений в конфигурацию вам нужно перезагрузить NGINX, чтобы изменения вступили в силу:
```
sudo systemctl restart nginx
```

Дополнительные замечания:

Убедитесь, что вы заменили x.x.x.x на фактический IP-адрес вашего обратного прокси, чтобы NGINX знал, откуда можно доверять заголовку X-Forwarded-For.
Если у вас несколько обратных прокси, вам может потребоваться добавить дополнительные строки set_real_ip_from для каждого IP-адреса.
Также проверьте, правильно ли настроены ваши приложения на бэкенде для обработки запросов с измененным заголовком и IP-адресом.

Ответ на вопрос о других балансировщиках:

Если вы по каким-то причинам не можете использовать NGINX или хотите рассмотреть другие варианты, то подобное поведение также возможно с использованием Apache HTTP Server с модулем mod_rpaf или mod_remoteip, где можно настраивать получение реального IP-адреса клиента из заголовка.

Таким образом, с помощью описанных настроек вы сможете добиться работы механизма ip_hash на основе X-Forwarded-For в NGINX, что позволит вам более эффективно распределять нагрузки на ваши бэкенд-сервера.