摘要
在非網(wǎng)關型負載均衡器中,通常使用FullNat模式。在這種模式下,客戶端訪問后端服務器的源IP在負載均衡器上會被改變,導致在后端服務器上服務不能正確確定客戶端的真實IP地址。在一些應用場景下,為了實現(xiàn)安全或者大數(shù)據(jù)分析等應用,需要感知客戶端的真實IP。本文介紹了一種FullNat模式下負載均衡的源地址可見方法。
概述
負載均衡有三種模式:DR,NAT,Tunnel。FullNat模式在NAT模式下增加了源IP NAT。FullNat模式的優(yōu)點:解決了NAT對Director和RS要求在同一個vlan的問題,適用更復雜的部署形式不要求配置Director作為網(wǎng)關,Director與RS可以通過三層通訊。缺點:RS看不到客戶端真實IP。
為了解決后端服務器感知客戶端真實IP,本文介紹了如下的方法。
四層源地址可見
四層流量通常是TCP和UDP協(xié)議報文。源地址可見的通常方法是在報文中某些字段攜帶客戶端的真實IP。在后端通過內(nèi)核模塊來獲取客戶端IP。
TCP源地址可見
TCP流量是TOA來實現(xiàn)源地址可見。TOA 名字全稱是 tcp option address,是 FullNat 模式下能夠讓后端服務器獲取客戶端IP的一種實現(xiàn)方式,它的基本原理比較簡單。
客戶端用戶請求數(shù)據(jù)包到達負載均衡器時,負載均衡器在數(shù)據(jù)包的 tcp option 中插入源IP信息。
數(shù)據(jù)包到達后端服務器(裝有 toa 內(nèi)核模塊)后,應用程序正常調(diào)用 getpeername 系統(tǒng)函數(shù)來獲取連接的源端IP地址。
由于在 toa 代碼中 hook(修改)了 inet_getname 函數(shù)(getpeername 系統(tǒng)調(diào)用對應的內(nèi)核處理函數(shù)),該函數(shù)會從 tcp option 中獲取負載均衡器填充的源IP信息。
這樣后端服務器應用程序就獲取到了真實客戶端IP,而且對應用程序來說是透明的。
TCP頭部格式如下:
在option選項部分攜帶客戶端的IP地址。
IPv4 TOA格式
opcode
opsize
port
clientIP
opcode: opcode = 254
opsize: toa 大小 8 字節(jié)
port: 客戶端端口
clientIP: 客戶端 IP(4 字節(jié))
注:opsize 大小包含了自身opsize(2B) + port(2B) + ip(4B)
修改option的時機
負載均衡器需要對每個 tcp 數(shù)據(jù)包都要插入 toa 信息么?如果這樣會影響到 負載均衡器 整體性能的,而且后端服務器也沒必要對每個 tcp 數(shù)據(jù)包進行解析,當然也很影響服務器性能。其實只需要在第 3 次握手 ack 數(shù)據(jù)包中插入 toa 選項即可,后端服務器從 ack 數(shù)據(jù)包中解析并獲取即可。
后端服務器上獲取客戶端IP獲取。
TCP協(xié)議棧中處理三次握手的 ack 數(shù)據(jù)包的函數(shù)是tcp_v4_syn_recv_sock,完成連接的建立,并創(chuàng)建 newsock。在TOA內(nèi)核模塊中修改
1.hook tcp_v4_syn_recv_sock_toa函數(shù),從TCP的skb中獲取tcp option的攜帶的IP信息,保存到socket中
2. Hook inet_getname,應用程序在調(diào)用getpeername時,會使用inet_getname_toa函數(shù)處理,從socket中將保存的ip信息返回
UDP源地址可見
UDP使用UOA來實現(xiàn)源地址可見。UDP報文頭部沒有option字段,通常在IP頭部的option中攜帶客戶端IP。另外UDP是沒有連接的,沒有三層握手,通常是在前面幾個報文中攜帶信息。
七層源地址可見
七層的負載均衡通常通過反向代理來實現(xiàn),如Nginx和Haproxy。七層流量通常是HTTP,通過在HTTP頭中的X-FORWARD-FOR中攜帶客戶端真實IP,后端服務器應用從HTTP頭的該字段中獲取得到。
X-Forwarded-For 是一個 HTTP 擴展頭部。HTTP/1.1(RFC 2616)協(xié)議并沒有對它的定義,它最開始是由 Squid 這個緩存代理軟件引入,用來表示 HTTP 客戶端真實 IP。如今它已經(jīng)成為事實上的標準,被各大 HTTP 代理、負載均衡等轉(zhuǎn)發(fā)服務廣泛使用,并被寫入 RFC 7239(Forwarded HTTP Extension)標準之中。
X-Forwarded-For 請求頭格式非常簡單,就這樣:
X-Forwarded-For: client, proxy1, proxy2
可以看到,XFF 的內(nèi)容由「英文逗號 + 空格」隔開的多個部分組成,最開始的是離服務端最遠的設備 IP,然后是每一級代理設備的 IP。
如果一個 HTTP 請求到達服務器之前,經(jīng)過了三個代理 Proxy1、Proxy2、Proxy3,IP 分別為 IP1、IP2、IP3,用戶真實 IP 為 IP0,那么按照 XFF 標準,服務端最終會收到以下信息:
X-Forwarded-For: IP0, IP1, IP2
下面以NGINX為例,說明配置方法。
在Nginx配置文件中添加:
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
$proxy_add_x_forwarded_for會保存X-Forwarded-For中已有的值,并且追加$remote_addr的值,使用逗號隔開。
如果之前X-Forwarded-For中沒有值,則修改后X-Forwarded-For中只有$remote_addr的值。
例子:
A(client)—>B(Nginx1)—>C(Nginx2)—>D
A為客戶端,B和C為Nginx反向代理,D為服務端
A訪問B時,X-Forwarded-For為空,$remote_addr為A的IP,故B轉(zhuǎn)發(fā)到C時附帶的Header頭X-Forwarded-For即為A的IP;
B訪問C時,X-Forwarded-For為A的IP,$remote_addr為B的IP,此時C轉(zhuǎn)發(fā)到D附帶的Header頭X-Forwarded-For即為A的IP,B的IP;
C訪問D時,D就可以拿C傳來的X-Forwarded-For Header頭來分析源IP。
