获取客户端源IP的方法 - API7.ai

在某些情况下，出于特定的业务或安全需求，我们需要获取客户端的真实IP地址。然而，由于流量在到达实际服务之前通常会经过多个网络、负载均衡器或代理服务，原始客户端IP可能会在此过程中丢失，导致服务只能识别前一个网络的IP地址。这种情况可能会对业务逻辑或安全策略产生不利影响。

为了应对这种挑战，我们需要结合多种技术手段来获取客户端IP，有时甚至需要多种方法同时使用。

通过NAT管理客户端IP

在一些用户自建或租用的IDC（互联网数据中心）基础设施中，服务通常部署在网关后面的局域网中。当客户端从外部网络访问服务时，流量会通过网关进行路由。

类似的情况也可能出现在云服务中。公有云平台提供的VPC（虚拟私有云）网络是一个独立的局域网，与其他VPC和互联网隔离。为了实现外部互联网访问，通常需要通过网关连接外部服务。

这些网关设备（如路由器或防火墙）通常提供DNAT（目标网络地址转换）功能，通过将公共IP地址上的特定端口流量转发到内部IP地址上的特定端口来实现流量转发。然而，由于网关会修改IP包头中的源地址，内部服务只能识别网关的IP地址，而无法识别实际客户端的IP地址。

传统的DNAT功能较为基础，通常运行在网络的第3层，缺乏对深层数据包的处理能力。此外，这些设备或软件在处理大量连接时可能会遇到性能瓶颈，扩展性较差。因此，为了解决这些限制，我们通常会采用负载均衡技术。

负载均衡根据工作层级主要分为两种：第4层（TCP数据流）和第7层（应用层流量，如HTTP）。

与IP网关不同，负载均衡不会修改IP数据包的包头，而是以透明方式转发流量。这意味着负载均衡可以确保源IP地址正确传递到后端服务。

第7层负载平衡具有更强大的流量处理能力，可以直接在HTTP协议层传递源IP地址。常见的方法是使用 X-Forwarded-For（XFF）HTTP头字段。负载均衡组件会从IP数据包中提取源IP，并将其写入HTTP请求头的XFF字段中。

由于HTTPS流量的加密特性，负载均衡组件无法直接修改其HTTP头。在这种情况下，可以采用以下方法：

负载均衡技术的代表性实现包括云服务中的ELB（弹性负载均衡）、硬件设备如F5 BIG-IP，以及基于软件的解决方案如NGINX和Linux虚拟服务器（LVS）。

CDN（内容分发网络）服务在加速用户访问的同时，也可以作为第7层反向代理的一部分。CDN通常支持TLS终止功能，并能够将客户端IP传递给后端服务。

例如，AWS CloudFront CDN支持通过XFF头字段传递客户端IP，与第7层负载均衡的实现方式类似。这种功能可以确保后端服务能够获取到真实的客户端IP地址。

在API网关中，APISIX和API7 Enterprise提供了多种方式来获取客户端IP：

代理协议：支持通过代理协议从负载均衡器中提取客户端IP。
real-ip插件：类似于NGINX的 ngx_http_realip_module，该插件可以从源头获取客户端IP，并将其传递到下游服务，同时用于日志记录。

APISIX和API7 Enterprise的real-ip插件功能更为强大，支持动态启用或禁用，并扩展了客户端IP的来源范围，超越了传统的HTTP头和代理协议。它还可以利用查询参数或POST表单字段等扩展变量来获取客户端IP。

通过结合NAT、负载均衡、CDN和API网关等多种技术，我们可以在服务的各个组件中有效传递客户端IP，满足业务和安全需求。这种多层次的技术组合为现代复杂网络环境中的IP获取提供了可靠的解决方案。

原文链接: https://api7.ai/blog/retrieve-client-source-ip