Uç Kullanıcının Genel IP Adresinin Doğru Bildirilmesi (NGINX tabanlı Ingress denetleyicisi)¶

Bu talimatlar, bir denetleyici bir yük dengeleyicinin arkasına yerleştirildiğinde istemcinin (uç kullanıcının) kaynak IP adresini belirlemek için gereken Wallarm Ingress controller yapılandırmasını açıklar.

Varsayılan olarak, Ingress denetleyicisi doğrudan İnternet'e açık olduğunu ve bağlanan istemcilerin IP adreslerinin gerçek IP'leri olduğunu varsayar. Ancak, istekler Ingress denetleyicisine gönderilmeden önce bir yük dengeleyiciden (ör. AWS ELB veya Google Network Load Balancer) geçirilebilir.

Denetleyici bir yük dengeleyicinin arkasına yerleştirildiğinde, Ingress denetleyicisi yük dengeleyicinin IP'sini gerçek uç kullanıcı IP'si olarak kabul eder; bu da bazı Wallarm özelliklerinin hatalı çalışmasına yol açabilir. Doğru uç kullanıcı IP adreslerini Ingress denetleyicisine bildirmek için lütfen denetleyiciyi aşağıda açıklandığı şekilde yapılandırın.

Adım 1: Ağ katmanında gerçek istemci IP'sinin iletilmesini etkinleştirin¶

Bu özellik büyük ölçüde kullanılan bulut platformuna bağlıdır; çoğu durumda, values.yaml dosyasındaki controller.service.externalTrafficPolicy özelliğini Local değerine ayarlayarak etkinleştirilebilir:

controller:
  service:
    externalTrafficPolicy: "Local"

Adım 2: Ingress denetleyicisinin X-FORWARDED-FOR HTTP istek başlığından değeri almasını etkinleştirin¶

Genellikle, yük dengeleyiciler, orijinal istemci IP adresini içeren X-Forwarded-For HTTP başlığını ekler. Kesin başlık adını yük dengeleyicinizin dokümantasyonunda bulabilirsiniz.

Wallarm Ingress controller, values.yaml aşağıdaki gibi yapılandırılmışsa gerçek uç kullanıcı IP adresini bu başlıktan alabilir:

controller:
  config:
    enable-real-ip: "true"
    forwarded-for-header: "X-Forwarded-For"

enable-real-ip parametresi hakkında dokümantasyon
forwarded-for-header parametresinde, orijinal istemci IP adresini içeren yük dengeleyici başlığının adını belirtin

Other recommendations

Wallarm’s version of the Kubernetes Ingress controller is based on the community-supported NGINX Ingress controller for Kubernetes, so the majority of recommendations found in the official Ingress controller documentation and on the public Internet are also applicable to Wallarm’s Ingress controller.