首页
/ Higress网关实现真实IP获取与IP白名单配置实践

Higress网关实现真实IP获取与IP白名单配置实践

2025-06-09 11:52:39作者:殷蕙予

背景介绍

在云原生微服务架构中,API网关作为流量入口,其安全防护能力尤为重要。阿里云开源的Higress作为新一代云原生网关,提供了丰富的安全插件,其中IP限制功能是基础且重要的安全防护手段。但在实际使用过程中,由于网络架构的复杂性,网关往往无法直接获取客户端的真实IP地址,导致IP白名单功能失效。

问题现象

用户在使用Higress网关的IP限制插件时,发现配置的白名单IP无法生效。经排查发现,网关日志中记录的客户端IP实际上是Kubernetes节点内网IP,而非真实的客户端公网IP。这种情况通常发生在网关前端部署了负载均衡器(如阿里云CLB)的场景下。

技术原理分析

在典型的云环境架构中,客户端请求通常需要经过以下路径:

  1. 客户端 → 2. 云负载均衡(CLB) → 3. Kubernetes节点 → 4. Higress网关

默认情况下,当请求经过负载均衡器转发后,后端服务只能看到负载均衡器的IP地址。要获取原始客户端IP,需要以下两个关键配置:

  1. 负载均衡器开启Proxy Protocol:Proxy Protocol是HAProxy开发的一种协议,它能够在TCP连接建立时,在数据流前插入客户端的原始IP和端口信息。

  2. 网关启用Proxy Protocol支持:Higress网关需要明确配置以识别和解析Proxy Protocol信息,才能正确提取客户端真实IP。

完整解决方案

第一步:配置负载均衡器

在阿里云CLB控制台中:

  1. 找到对应的80和443监听端口配置
  2. 开启"获取真实客户端IP"功能
  3. 同时启用Proxy Protocol协议支持

第二步:配置Higress网关

在Higress控制台或通过YAML配置:

  1. 进入网关全局配置
  2. 启用Proxy Protocol支持
  3. 确保配置已正确应用到所有网关实例

第三步:配置IP白名单插件

使用Higress的WasmPlugin资源配置IP限制规则:

apiVersion: extensions.higress.io/v1alpha1
kind: WasmPlugin
metadata:
  name: ip-restriction
spec:
  matchRules:
  - config:
      allow:
      - 202.128.128.0/24
      ip_source_type: origin-source
    ingress:
    - your-ingress-name
  url: oci://higress-registry.cn-hangzhou.cr.aliyuncs.com/plugins/ip-restriction:1.0.0

关键参数说明:

  • allow: 指定允许访问的IP段
  • ip_source_type: 设置为"origin-source"表示使用原始客户端IP
  • ingress: 指定应用此规则的路由名称

验证与测试

配置完成后,可通过以下方式验证:

  1. 从白名单IP范围发起请求,应能正常访问
  2. 从非白名单IP范围发起请求,应收到403禁止访问响应
  3. 检查Higress网关日志,确认记录的客户端IP与预期一致

最佳实践建议

  1. 多层防护:除了网关层的IP白名单,建议在负载均衡层也配置访问控制,实现纵深防御。

  2. 日志监控:定期检查网关日志,确保IP识别机制持续有效。

  3. 灰度发布:对于生产环境,建议先在小范围路由上测试IP限制功能,确认无误后再全量应用。

  4. 动态更新:对于频繁变更的IP白名单,可以考虑通过API动态更新配置,而无需重启网关。

总结

通过正确配置Proxy Protocol和Higress网关,可以确保在复杂网络架构中准确获取客户端真实IP,使IP白名单等安全功能发挥应有作用。这一方案不仅适用于阿里云环境,对于其他云平台或自建Kubernetes集群中的Higress部署同样具有参考价值。

登录后查看全文
热门项目推荐
相关项目推荐