Higress网关实现真实IP获取与IP白名单配置实践

背景介绍

在云原生微服务架构中，API网关作为流量入口，其安全防护能力尤为重要。阿里云开源的Higress作为新一代云原生网关，提供了丰富的安全插件，其中IP限制功能是基础且重要的安全防护手段。但在实际使用过程中，由于网络架构的复杂性，网关往往无法直接获取客户端的真实IP地址，导致IP白名单功能失效。

问题现象

用户在使用Higress网关的IP限制插件时，发现配置的白名单IP无法生效。经排查发现，网关日志中记录的客户端IP实际上是Kubernetes节点内网IP，而非真实的客户端公网IP。这种情况通常发生在网关前端部署了负载均衡器(如阿里云CLB)的场景下。

技术原理分析

在典型的云环境架构中，客户端请求通常需要经过以下路径：

1. 客户端 → 2. 云负载均衡(CLB) → 3. Kubernetes节点 → 4. Higress网关

默认情况下，当请求经过负载均衡器转发后，后端服务只能看到负载均衡器的IP地址。要获取原始客户端IP，需要以下两个关键配置：

1. 负载均衡器开启Proxy Protocol：Proxy Protocol是HAProxy开发的一种协议，它能够在TCP连接建立时，在数据流前插入客户端的原始IP和端口信息。

2. 网关启用Proxy Protocol支持：Higress网关需要明确配置以识别和解析Proxy Protocol信息，才能正确提取客户端真实IP。

完整解决方案

第一步：配置负载均衡器

在阿里云CLB控制台中：

1. 找到对应的80和443监听端口配置
2. 开启"获取真实客户端IP"功能
3. 同时启用Proxy Protocol协议支持

第二步：配置Higress网关

在Higress控制台或通过YAML配置：

1. 进入网关全局配置
2. 启用Proxy Protocol支持
3. 确保配置已正确应用到所有网关实例

第三步：配置IP白名单插件

使用Higress的WasmPlugin资源配置IP限制规则：

apiVersion: extensions.higress.io/v1alpha1
kind: WasmPlugin
metadata:
  name: ip-restriction
spec:
  matchRules:
  - config:
      allow:
      - 202.128.128.0/24
      ip_source_type: origin-source
    ingress:
    - your-ingress-name
  url: oci://higress-registry.cn-hangzhou.cr.aliyuncs.com/plugins/ip-restriction:1.0.0

关键参数说明：

• allow: 指定允许访问的IP段
• ip_source_type: 设置为"origin-source"表示使用原始客户端IP
• ingress: 指定应用此规则的路由名称

验证与测试

配置完成后，可通过以下方式验证：

1. 从白名单IP范围发起请求，应能正常访问
2. 从非白名单IP范围发起请求，应收到403禁止访问响应
3. 检查Higress网关日志，确认记录的客户端IP与预期一致

最佳实践建议

1. 多层防护：除了网关层的IP白名单，建议在负载均衡层也配置访问控制，实现纵深防御。

2. 日志监控：定期检查网关日志，确保IP识别机制持续有效。

3. 灰度发布：对于生产环境，建议先在小范围路由上测试IP限制功能，确认无误后再全量应用。

4. 动态更新：对于频繁变更的IP白名单，可以考虑通过API动态更新配置，而无需重启网关。

总结

通过正确配置Proxy Protocol和Higress网关，可以确保在复杂网络架构中准确获取客户端真实IP，使IP白名单等安全功能发挥应有作用。这一方案不仅适用于阿里云环境，对于其他云平台或自建Kubernetes集群中的Higress部署同样具有参考价值。