Ist es möglich, eingehende IP-Adressen im Google Container Engine-Cluster zu finden?

Question

Mein nginx-Zugriffsprotokoll, das in einem GKE-Kubernetes-Cluster bereitgestellt wird (mit dem LoadBalancer-Kubernetes-Dienst), zeigt interne IPs anstelle der realen Besucher-IP an.

Gibt es eine Möglichkeit, echte IPs überall zu finden? vielleicht eine Logdatei von GKE/Kubernetes?

Answer 1

Im Moment macht der Dienst type: LoadBalancer einen Doppelsprung. Die externe Anforderung wird unter allen Knoten des Clusters ausgeglichen, und dann werden die tatsächlichen Service-Backends von Kube-Proxy ausgeglichen.

Kube-Proxy NATs die Anfrage. Z.B. Eine Clientanforderung von 1.2.3.4 an Ihren externen Load Balancer unter 100.99.98.97 wird im Knoten mit NAT zu 10.128.0.1->10.100.0.123 (private IP des Knotens zur Cluster-IP des Pods) verknüpft. Die "src ip", die Sie im Backend sehen, ist also die private IP des Knotens.

Es gibt eine feature planned mit einer entsprechenden design proposal für die Erhaltung von Client-IPs von LoadBalancer-Diensten.

Answer 2

Sie könnten die real IP module für Nginx verwenden.

Fahren Sie mit internen GKE Netz als set_real_ip_from Richtlinie und Sie werden das echte Client-IP in Ihren Protokollen finden Sie unter:

set_real_ip_from 192.168.1.0/24;

Normalerweise würden Sie auf die nginx-Konfiguration hinzufügen:

1. Die Loadbalancer IP
   dh die IP, die Sie in Ihren Protokollen anstelle des echten Client siehe IP derzeit

2. Das Kubernetes-Netzwerk
   dh das Subnetz Ihre P ods sind in dem "Docker Subnetz"