Kubernetes-Ingress中real-ip-header配置问题解析与解决方案

在Kubernetes环境中使用Nginx Ingress Controller时，获取真实客户端IP地址是一个常见需求。本文将深入分析一个典型场景下的IP地址获取问题及其解决方案。

问题背景

在一个典型的AWS云架构中，流量路径为：CloudFront → AWS NLB → Kubernetes Ingress。在这种架构下，管理员发现访问日志中记录的remote_addr始终显示为CloudFront的IP地址，而非终端用户的真实IP。

问题分析

通过检查日志，可以确认X-Forwarded-For头部确实包含了正确的终端用户IP地址。管理员尝试了以下配置但未解决问题：

1. 将configmap中的real-ip-header设置为X-Forwarded-For
2. 尝试使用CloudFront特有的CloudFront-Viewer-Address头部

问题的根本原因在于Nginx的real_ip模块工作机制。该模块不仅需要指定从哪个头部获取IP地址，还需要定义哪些上游代理是可信的（即可以从中获取X-Forwarded-For等头部信息）。

解决方案

最终解决方案是在配置中添加以下指令：

set_real_ip_from 0.0.0.0/0

这个配置的作用是：

1. 允许从任何IP地址（0.0.0.0/0表示所有IP）获取X-Forwarded-For等头部信息
2. 默认情况下，Nginx只会从特定范围的IP地址（通常是直接上游）获取这些头部信息
3. 在AWS NLB场景下，NLB的私有IP地址会被视为上游，而X-Forwarded-For头部中包含的是CloudFront的IP

最佳实践建议

1. 在生产环境中，建议不要使用0.0.0.0/0这样宽松的配置，而应该明确指定可信的IP范围
2. 对于AWS架构，可以设置为VPC的CIDR范围或NLB的特定IP
3. 同时配置real_ip_header和set_real_ip_from才能确保正确获取客户端真实IP
4. 对于多层代理架构，需要确保每一层都正确传递和信任X-Forwarded-For头部

总结

在复杂的云架构中获取真实客户端IP需要理解整个流量路径和Nginx的相关配置。set_real_ip_from指令与real_ip_header配合使用是关键。通过合理配置这些参数，可以确保在各种代理架构下都能正确记录和识别终端用户的真实IP地址。