Kong网关中基于IP地址的速率限制问题解析

在Kong网关的实际使用中，开发人员经常会遇到一个典型问题：当配置了IP地址为基础的速率限制功能时，系统并没有按照预期使用真实的客户端IP地址作为限制标识，而是错误地使用了最后一个中间服务器的IP地址。这种情况在Kong 2.8.0和3.7.x版本中都存在。

问题现象分析

当Kong网关配置了以下参数时：

• trusted_ips设置为0.0.0.0/0和::/0
• real_ip_header设置为X-Forwarded-For
• real_ip_recursive设置为on

理论上，系统应该能够正确识别并提取HTTP请求头中的X-Forwarded-For字段值作为客户端的真实IP地址。然而实际测试发现，Kong的PDK方法kong.client.get_forwarded_ip返回的却是最后一个中间服务器的IP地址，而非真实的客户端IP。

通过调试信息可以清楚地看到这一现象：

x-debug-info: {
  "kong_client_get_forwarded_ip":"10.0.70.198",
  "ngx_var_realip_remote_addr":"10.0.70.198",
  "ngx_var_http_x_forwarded_for":"2001:420:c0c8:1009::407"
}

其中，10.0.70.198是中间服务器IP，而2001:420:c0c8:1009::407才是真实的客户端IP。

技术原理探究

深入分析Kong的源代码发现，kong.client.get_forwarded_ip方法实际上是从Nginx变量ngx.var.remote_addr获取IP地址。这种实现方式存在明显缺陷，因为在多层架构中，remote_addr变量只能反映与Kong直接连接的上一跳IP地址，无法正确识别原始客户端IP。

正确的实现应该优先考虑从X-Forwarded-For这样的HTTP头中提取IP地址，特别是在配置了real_ip_header和real_ip_recursive的情况下。这些配置项的本意就是让系统能够识别并信任传递的原始客户端IP信息。

解决方案验证

经过测试，在Kong的最新主分支版本中，这个问题已经得到修复。测试结果表明：

• kong.client.get_forwarded_ip现在能够正确返回X-Forwarded-For头中的IP地址
• 系统行为与配置的real_ip_header和real_ip_recursive参数保持一致
• 速率限制功能现在能够基于真实的客户端IP进行控制

对于仍在使用旧版本的用户，建议升级到最新版本以获得正确的IP识别功能。如果暂时无法升级，可以考虑自定义插件或修改现有插件逻辑，直接从X-Forwarded-For头中提取IP地址作为速率限制的标识符。

最佳实践建议

在实际生产环境中部署Kong网关时，针对IP地址识别和速率限制功能，建议采取以下措施：

1. 确保使用最新稳定版本的Kong网关
2. 合理配置trusted_ips范围，避免过度开放信任
3. 对于多层架构，正确设置real_ip_header和real_ip_recursive参数
4. 在关键业务场景中，添加调试头信息验证IP识别结果
5. 定期测试速率限制功能，确保其按预期工作

通过以上措施，可以确保Kong网关的速率限制功能基于正确的客户端IP地址，有效防止滥用行为，同时不影响正常用户的访问体验。