开发者社区 > 云原生 > 微服务 > 正文

Higress的 ip访问控制,是任意匹配x-forward-for里面的所有ip吗?

Higress的whitelist-source-range ip访问控制,是任意匹配x-forward-for里面的所有ip吗? 还是说只匹配最后一个,目前我测试的现象是只匹配最后一个。

展开
收起
三分钟热度的鱼 2024-01-24 16:27:03 91 0
2 条回答
写回答
取消 提交回答
  • Higress的whitelist-source-range Annotation是用于匹配x-forward-for头中的所有IP地址,并不仅仅是最后一个IP地址

    当配置了nginx.ingress.kubernetes.io/whitelist-source-range这个Annotation时,它允许你设置一个CIDR列表来指定哪些IP或IP范围可以访问你的服务。这个列表中的每个CIDR表示一个IP地址范围,而x-forward-for头中可能包含多个IP地址,这些IP地址是由客户端通过代理服务器访问时添加的。

    在实际应用中,如果whitelist-source-range配置正确,但仍然只能匹配到x-forward-for头中的最后一个IP,那可能是由于配置错误或者Higress处理请求头的方式导致的。建议检查配置是否正确,并确保没有其他因素影响到了IP白名单的功能。如果问题依旧存在,可以考虑查看Higress的日志或者寻求社区支持来进一步诊断问题。

    2024-01-26 08:48:24
    赞同 展开评论 打赏
  • 针对socket ip的,你看到的xff最后一个也是网关拿到socket ip后append上去再传给后端的。可以参考下这个envoyfilter hcm下有个配置字段 可以配置前面可信任的代理跳数 https://github.com/alibaba/higress/issues/771 这样就会把xff里倒数第二个拿来做真实ip了。https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/filters/network/http_connection_manager/v3/http_connection_manager.proto#envoy-v3-api-msg-extensions-filters-network-http-connection-manager-v3-httpconnectionmanager xff_num_trusted_hops 这个字段。此回答整理自钉群“Higress 社区交流 2 群”

    2024-01-24 17:53:48
    赞同 展开评论 打赏

为微服务建设降本增效,为微服务落地保驾护航。

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载