首页
/ Kong网关中基于IP地址的速率限制问题解析

Kong网关中基于IP地址的速率限制问题解析

2025-05-02 16:11:36作者:贡沫苏Truman

在Kong网关的实际使用中,开发人员经常会遇到一个典型问题:当配置了IP地址为基础的速率限制功能时,系统并没有按照预期使用真实的客户端IP地址作为限制标识,而是错误地使用了最后一个中间服务器的IP地址。这种情况在Kong 2.8.0和3.7.x版本中都存在。

问题现象分析

当Kong网关配置了以下参数时:

  • trusted_ips设置为0.0.0.0/0和::/0
  • real_ip_header设置为X-Forwarded-For
  • real_ip_recursive设置为on

理论上,系统应该能够正确识别并提取HTTP请求头中的X-Forwarded-For字段值作为客户端的真实IP地址。然而实际测试发现,Kong的PDK方法kong.client.get_forwarded_ip返回的却是最后一个中间服务器的IP地址,而非真实的客户端IP。

通过调试信息可以清楚地看到这一现象:

x-debug-info: {
  "kong_client_get_forwarded_ip":"10.0.70.198",
  "ngx_var_realip_remote_addr":"10.0.70.198",
  "ngx_var_http_x_forwarded_for":"2001:420:c0c8:1009::407"
}

其中,10.0.70.198是中间服务器IP,而2001:420:c0c8:1009::407才是真实的客户端IP。

技术原理探究

深入分析Kong的源代码发现,kong.client.get_forwarded_ip方法实际上是从Nginx变量ngx.var.remote_addr获取IP地址。这种实现方式存在明显缺陷,因为在多层架构中,remote_addr变量只能反映与Kong直接连接的上一跳IP地址,无法正确识别原始客户端IP。

正确的实现应该优先考虑从X-Forwarded-For这样的HTTP头中提取IP地址,特别是在配置了real_ip_header和real_ip_recursive的情况下。这些配置项的本意就是让系统能够识别并信任传递的原始客户端IP信息。

解决方案验证

经过测试,在Kong的最新主分支版本中,这个问题已经得到修复。测试结果表明:

  • kong.client.get_forwarded_ip现在能够正确返回X-Forwarded-For头中的IP地址
  • 系统行为与配置的real_ip_header和real_ip_recursive参数保持一致
  • 速率限制功能现在能够基于真实的客户端IP进行控制

对于仍在使用旧版本的用户,建议升级到最新版本以获得正确的IP识别功能。如果暂时无法升级,可以考虑自定义插件或修改现有插件逻辑,直接从X-Forwarded-For头中提取IP地址作为速率限制的标识符。

最佳实践建议

在实际生产环境中部署Kong网关时,针对IP地址识别和速率限制功能,建议采取以下措施:

  1. 确保使用最新稳定版本的Kong网关
  2. 合理配置trusted_ips范围,避免过度开放信任
  3. 对于多层架构,正确设置real_ip_header和real_ip_recursive参数
  4. 在关键业务场景中,添加调试头信息验证IP识别结果
  5. 定期测试速率限制功能,确保其按预期工作

通过以上措施,可以确保Kong网关的速率限制功能基于正确的客户端IP地址,有效防止滥用行为,同时不影响正常用户的访问体验。

登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起