如何在负载均衡器后面使用 SSL 并仍然获取客户端 IP?

如何在负载均衡器后面使用 SSL 并仍然获取客户端 IP?

请注意,由于网络安全相关问题,我无法在负载均衡器上使用 SSL 终止。

我获取的客户端 IP 当然是负载均衡器的 IP。我知道负载均衡器在没有我的密钥的情况下无法修改 HTTPS 消息,但在使用 SSL 进行负载平衡时,还有其他方法可以获取客户端 IP 地址吗?比如可能只是在 TCP 级别进行负载平衡,或者其他什么?

答案1

简而言之,如果您希望 X-Forwarded-For 正常工作,则必须在负载均衡器处终止 SSL。

否则,在具有“哑”负载均衡器的典型配置中,负载均衡器仅充当 VIP 和真实 IP 之间的中介 - 导致负载均衡器的 IP 显示在日志中。如果负载均衡器无法解密流量,则无法插入标头。

至于平衡 TCP 连接,如果您没有在负载均衡器上终止 SSL,这基本上就是您正在做的事情。

可以将 NetScaler 或某种代理设备配置为通过 IP 记录请求,但如果没有私钥,它将无法确定请求的具体信息,例如 URI 或请求方法。

相关内容