k8s nginx應用獲取客戶端訪問真實IP

通常，當 kubernetes 集群內的客戶端連線到服務的時候，是支援服務的 pod 可以獲取到客戶端的 ip 位址的，但是，當通過節點埠接收到連線時，由於對資料報執行了源網路位址轉換（snat），因此資料報的源 ip 位址會發生變化，後端的 pod 無法看到實際的客戶端 ip，對於某些應用來說是個問題，比如，nginx 的請求日誌就無法獲取準確的客戶端訪問 ip 了，比如下面我們的應用：

kind: deployment

metadata:

name: nginx

spec:

replicas: 3

selector:

matchlabels:

template:

metadata:

labels:

spec:

containers:

- name: nginx

image: nginx:1.7.9

ports:

- containerport: 80

---apiversion: v1

kind: service

metadata:

name: nginx

spec:

selector:

type: nodeport

ports:

- protocol: tcp

port: 80

targetport: 80

直接建立後可以檢視 nginx 服務被自動分配了乙個 32761 的 nodeport 埠：

$ kubectl get svc

name type cluster-ip external-ip port(s) age

kubernetes clusterip 10.96.0.1 443/tcp 28d

nginx nodeport 10.106.190.194 80:32761/tcp 48m

$ kubectl get pods -o wide

name ready status restarts age ip node nominated node readiness gates

nginx-54f57cf6bf-nwtjp 1/1 running 0 3m 10.244.3.15 ydzs-node3 nginx-54f57cf6bf-ptvgs 1/1 running 0 2m59s 10.244.2.13 ydzs-node2 nginx-54f57cf6bf-xhs8g 1/1 running 0 2m59s 10.244.1.16 ydzs-node1

$ kubectl logs -f nginx-54f57cf6bf-xhs8g

這個是因為我們 master 節點上並沒有對應的 pod，所以通過 master 節點去訪問應用的時候必然需要額外的網路跳轉才能到達其他節點上 pod，在跳轉過程中由於對資料報進行了 snat，所以看到的是 master 節點的 ip。這個時候我們可以在 service 設定externaltrafficpolicy來減少網路跳數：

spec:

externaltrafficpolicy: local

如果 service 中配置了externaltrafficpolicy=local，並且通過服務的節點埠來開啟外部連線，則 service 會**到本地執行的 pod，如果本地沒有本地 pod 存在，則連線將掛起，比如我們這裡設定上該字段更新，這個時候我們去通過 master 節點的 nodeport 訪問應用是訪問不到的，因為 master 節點上並沒有對應的 pod 執行，所以需要確保負載均衡器將連線**給至少具有乙個 pod 的節點。

但是需要注意的是使用這個引數有乙個缺點，通常情況下，請求都是均勻分布在所有 pod 上的，但是使用了這個配置的話，情況就有可能不一樣了。比如我們有兩個節點上執行了 3 個 pod，假如節點 a 執行乙個 pod，節點 b 執行兩個 pod，如果負載均衡器在兩個節點間均衡分布連線，則節點 a 上的 pod 將接收到所有請求的 50%，但節點 b 上的兩個 pod 每個就只接收 25% 。

由於增加了externaltrafficpolicy: local這個配置後，接收請求的節點和目標 pod 都在乙個節點上，所以沒有額外的網路跳轉（不執行 snat），所以就可以拿到正確的客戶端 ip，如下所示我們把 pod 都固定到 master 節點上：

k8s nginx應用獲取客戶端訪問真實IP

獲取客戶端MAC

獲取客戶端資訊

獲取客戶端ip

k8s nginx應用 獲取客戶端訪問真實IP

獲取客戶端MAC

獲取客戶端資訊

獲取客戶端ip

相關推薦

k8s nginx應用獲取客戶端訪問真實IP