个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我对此有点缺乏经验,所以寻求一些帮助,了解我如何做到这一点!抱歉,如果不清楚我要做什么。
我有一个基于位置的 Angular 前端。我希望能够通过使用用户公共(public) IP 并使用地理定位服务向我提供他们来自的城市/地区。
从下面的一个答案中,我现在在 SpringBoot 中获得了一个 IP 地址,但不幸的是它是 DigitalOcean Droplet 的 IP 地址。
我正在使用 Spring Security 自定义过滤器来执行此操作。它位于 Angular 应用程序的后面。
我希望我能够使用 HttpServletRequest request.getRemoteAddr() 获取 IP 地址,但我发现一旦 SpringBoot 应用程序部署在 Kubernetes 上,它位于后面一个 NGINX 代理,getRemoteAddr() 给我 Digital Ocean droplet IP。
因此,我希望能够将此客户端 IP 地址作为 X-Forwarded-For header 或什至自定义 X-Client-IP header 转发。如果我将这些操作作为 Spring Security Filter 的一部分执行,我将如何处理?有可能吗?
location / {
proxy_set_header Host $host;
proxy_set_header X-Client-IP $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header X-Forwarded-Proto $scheme;
rewrite .* /index.html break;
}
private static String getClientIpAddr(HttpServletRequest request) {
String ip = request.getHeader("X-Forwarded-For");
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("Proxy-Client-IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("WL-Proxy-Client-IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("HTTP_CLIENT_IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("HTTP_X_FORWARDED_FOR");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("X-Real-IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("X-Client-IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getRemoteAddr();
}
return ip;
}
除了 request.getRemoteAddr()(返回负载均衡器 IP)之外,所有这些都返回 null。
kind: Deployment
apiVersion: apps/v1
metadata:
name: example-webapp-frontend-deployment
spec:
revisionHistoryLimit: 3
minReadySeconds: 30
replicas: 1
strategy:
type: RollingUpdate
rollingUpdate:
maxSurge: 1
maxUnavailable: 0
selector:
matchLabels:
app: example-webapp-frontend
template:
metadata:
labels:
app: example-webapp-frontend
spec:
restartPolicy: Always
containers:
- name: example-webapp-frontend
image: docker-example/example-webapp-frontend:latest
imagePullPolicy: Always
ports:
- containerPort: 80
imagePullSecrets:
- name: docker-creds
---
apiVersion: v1
kind: Service
metadata:
name: example-webapp-frontend-service
spec:
selector:
app: example-webapp-frontend
ports:
- protocol: TCP
targetPort: 80
port: 80
---
kind: Deployment
apiVersion: apps/v1
metadata:
name: example-webapp-bff-deployment
spec:
revisionHistoryLimit: 3
minReadySeconds: 30
replicas: 1
strategy:
type: RollingUpdate
rollingUpdate:
maxSurge: 1
maxUnavailable: 0
selector:
matchLabels:
app: example-webapp-bff
template:
metadata:
labels:
app: example-webapp-bff
spec:
restartPolicy: Always
containers:
- name: example-webapp-bff
image: docker-example/example-webapp-bff:latest
imagePullPolicy: Always
ports:
- containerPort: 9874
imagePullSecrets:
- name: docker-creds
---
apiVersion: v1
kind: Service
metadata:
name: example-webapp-bff-service
spec:
selector:
app: example-webapp-bff
ports:
- protocol: TCP
targetPort: 9874
port: 9874
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
annotations:
kubernetes.io/ingress.class: "nginx"
nginx.ingress.kubernetes.io/proxy-read-timeout: "12h"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
name: webapp-ingress
namespace: default
spec:
tls:
- hosts:
- example.com
secretName: example-tls
rules:
- host: example.com
http:
paths:
- path: /
backend:
serviceName: webapp-frontend-service
servicePort: 80
- host: example.com
http:
paths:
- path: /api/
backend:
serviceName: webapp-bff-service
servicePort: 9874
server.forward-headers-strategy=NATIVE
server.tomcat.remote-ip-header=x-forwarded-for
server.tomcat.internal-proxies="\
10\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}|\
192\\.168\\.\\d{1,3}\\.\\d{1,3}|\
169\\.254\\.\\d{1,3}\\.\\d{1,3}|\
127\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}|\
172\\.1[6-9]{1}\\.\\d{1,3}\\.\\d{1,3}|\
172\\.2[0-9]{1}\\.\\d{1,3}\\.\\d{1,3}|\
172\\.3[0-1]{1}\\.\\d{1,3}\\.\\d{1,3}\
172\\.3[0-1]{1}\\.\\d{1,3}\\.\\d{1,3}\
<digital-ocean-droplet-IP>\
<digital-ocean-droplet-IP>\
<digital-ocean-loadbalancer-IP>"
我有一个集群,它有一个包含两个节点的池。我有一个位于它前面的 Digital Ocean 负载均衡器。目前运行版本1.17.5.,
谁能提供建议?提前致谢。
最佳答案
Spring Boot 包含一个过滤器,可以开箱即用地与反向代理集成,并根据请求适本地设置远程地址。您可能需要配置允许的 IP 以接受 header 。
这是一个例子:
server:
forward-headers-strategy: native
tomcat:
remoteip:
remote-ip-header: x-forwarded-for
#private: 10/8, 192.168/16, 169.254/16, 127/8, 172.16/12
internal-proxies: "\
10\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}|\
192\\.168\\.\\d{1,3}\\.\\d{1,3}|\
169\\.254\\.\\d{1,3}\\.\\d{1,3}|\
127\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}|\
172\\.1[6-9]{1}\\.\\d{1,3}\\.\\d{1,3}|\
172\\.2[0-9]{1}\\.\\d{1,3}\\.\\d{1,3}|\
172\\.3[0-1]{1}\\.\\d{1,3}\\.\\d{1,3}"
不过,重要的是 spring 应用程序接收到正确的 x-forwarded-for header 。由于您在 kubernetes 上进行部署,因此您很可能正在使用 Ingress 将外部请求路由到正确的 kubernetes 服务。Ingress 通常使用 nginx 或 traefik 实现,并且如果 L7 反向代理用作外部负载平衡器和 TLS 终止(如果适用),则必须配置为接受 x-forwarded-for header 。
如果使用 nginx 创建配置映射来配置 nginx
use-forwarded-headers: "true"
proxy-real-ip-cidr: "10.0.0.0/8,..."
当 TLS 未在外部终止时,外部负载均衡器将无法添加 header ,因为加密(L3 负载均衡器)。在这种情况下,唯一的选择是使用 PROXY 协议(protocol),该协议(protocol)将元数据添加到包含真实远程地址的转发 tcp 流中。
nginx 配置示例
use-proxy-protocol: 'true'
请注意,使用代理协议(protocol)和证书管理器通过外部 (kubernetes) LoadBalancer 配置管理 TLS 证书时会出现一些问题。 (参见 https://github.com/kubernetes/kubernetes/issues/66607 和 https://github.com/kubernetes/ingress-nginx/issues/3996)
一旦在所有处设置正确,远程 ip 应该设置正确。
在调试此类设置时,我建议从最外层开始,通过拦截(ngrep、tcpdump)或记录请求并逐步向前推进。
关于spring-boot - Nginx/SpringBoot/Kubernetes - 客户端 IP 的 X-Forwarded-For header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66567559/
24
4
0
SpringBoot-Admin 服务监控 简单介绍 Spring Boot Actuator 是 Spring Boot 自带的一个功能模块, 提供了一组已经开箱即用的生产环境下常用
我想查找通过关键字匹配字段 nameEnglish 或 nameChinese 的模型列表。我花了一个多小时谷歌搜索但我做不到。请帮忙。 Springboot Mongo 入门示例 https://s
(请注意:在调查 this issue 时,我更好地发现了我在此处介绍的问题根源) 我对 Hibernate 和 SpringBoot 非常陌生。我的项目涉及一个搜索引擎,其中索引(javafx 客户
我最近有一个 Web 应用程序从 springboot 升级到 springboot 2。当我将其部署到 Tomcat 8 时,它似乎启动了,但没有完全启动。 在 localhost.2019-09-
我是 Spring boot 的新手...我在运行 Controller 时遇到问题, Description: Field todoService in com.springboot.todoCon
我有一个SpringBoot应用程序,它使用以下配置与PostgreSQL通信,通过AWS Beanstrik部署:。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前,一切都很
实在是不知道标题写什么了 可以在评论区给个建议哈哈哈哈 先用这个作为标题吧 尝试使用 国内给出的 AI 大模型做出一个 可以和 AI 对话的 网站出来 使用 智普AI 只能 在控制
一、介绍 在实际的软件系统开发过程中,由于业务的需求,在代码层面实现数据的脱敏还是远远不够的,往往还需要在数据库层面针对某些关键性的敏感信息,例如:身份证号、银行卡号、手机号、工资等信息进行加密存储
Selenium Selenium是一个用于Web应用程序自动化测试的开源工具套件。它主要用于以下目的: 浏览器自动化:Selenium能够模拟真实用户在不同浏览器(如Chrome、Fire
一、简介 在实际的项目开发过程中,经常需要用到邮件通知功能。例如,通过邮箱注册,邮箱找回密码,邮箱推送报表等等,实际的应用场景非常的多。 早期的时候,为了能实现邮件的自动发送功能,通常会使用 Ja
SpringBoot:基于redis自定义注解实现后端接口防重复提交校验 一、添加依赖 org.springframework.boot spring
SpringBoot:使用Jackson完成全局序列化配置 一、测试准备 com.fasterxml.jackson.core jackson-cor
springboot:整合rocketmq 一、简易消息操作 生产者整合mq 导入依赖 org.springframework.boot
springboot:常用注解 一、spring常用注解 包扫描+组件标注注解 @Component:泛指各种组件 @Controller、@Service、@Repository都可以称为@Comp
我们经常需要在两个系统之间进行一些数据的交互,这时候我们就需要开发数据交互接口。 一般来说,遇到比较多的接口有HTTP接口、WebService接口、FTP文件传输。今天我要来学习一下在SpringB
背景 近期项目上线,甲方要求通过安全检测才能进行验收,故针对扫描结果对系统进行了一系列的安全加固,本文对一些常见的安全问题及防护策略进行介绍,提供对应的解决方案 跨站脚本攻击 XSS常发生于论坛评论等
1.排除 Spring-boot-starter 默认的日志配置 将原本的 spring-boot-starter 改为 org.springframework.boot
springboot:解决跨域问题 一、跨域简介 URL的组成: // 协议 + 域名(子域名 + 主域名) + 端口号 + 资源地址 http://www.baidu.com:8080/ 只要协
一、自定义Starter 的思路: 创建一个Maven工程,创建三个模块 一个模块为demo-app,一个模块为demo-module,一个模块为demo-module-springboot-star
1.pom.xml 4.0.0 org.springframework.boot spring-boot-starter-parent
我是一名优秀的程序员,十分优秀!