通过Proxy Protocol协议获取客户端源IP（四层监听器）

本文为您介绍四层监听器如何获取访问负载均衡服务的客户端源IP地址。

场景介绍

负载均衡的四层监听器（TCP/UDP协议）默认具有源地址透传功能，报文经过CLB后客户端源IP地址不会被替换，您可以直接获取到源IP地址。

如果后端服务器组为IP类型，或者客户端IP地址为IPv6地址，而后端服务器为IPv4地址，客户端请求通过负载均衡时，负载均衡会对客户端IP地址进行转换，从而导致后端服务器无法直接获取客户端的源IP地址。
此时，您可以通过启用四层监听器的Proxy Protocol协议功能来获取客户端源IP地址。

配置说明

• 启用四层监听器的Proxy Protocol协议功能前，请确保您的后端服务器支持Proxy Protocol v2协议。nginx 1.13.11及以上版本支持Proxy Protocol v2协议，本文以后端服务器部署的后端服务为Nginx1.20.1为例进行介绍。
• 如果同一CLB实例的多个监听器使用相同的后端服务器组，则必须为该实例下的所有四层监听器均开启Proxy Protocol协议功能。

配置步骤

步骤一：启用Proxy Protocol协议

1. 登录负载均衡控制台。
2. 单击目标CLB实例的名称，进入实例详情页面。
3. 选择“监听器”页签，单击目标监听器右侧的“编辑监听器”按钮，开启Proxy Protocol协议的开关。
4. 连续三次单击“下一步”按钮，然后单击“确定”按钮“，完成操作。

步骤二：启用后端服务的Proxy Protocol

1. 登录后端服务器，具体操作请参见登录Linux实例或登录Windows实例。
2. 执行以下命令，打开Nginx配置文件nginx.conf。
   vi /etc/nginx/nginx.conf
3. 按i进入编辑模式，根据以下内容配置Proxy Protocol v2协议获取客户端源地址的功能。

   http { 
       ...
       server { 
           listen 80 proxy_protocol;
           listen 443 ssl proxy_protocol; 
           ...
       }
   ...
         
   stream { 
       ...
       server { 
           listen 123 proxy_protocol;   // 配置TCP/UDP协议的Proxy Protocol功能
           ... 
       } 
   }
   

4. 按 Esc键退出编辑模式，然后输入 :wq保存退出。
5. 执行以下命令，启动Nginx使配置生效。
   systemctl start nginx.service

步骤三：获取客户端源IP地址

通过cat /var/log/nginx/access.log命令查看访问日志，可以获取客户端的源IP地址。

• 携带IPv4客户端源IP地址的Proxy Protocol v2协议的报文头部格式如下所示：

  /*
   * Proxy Protocol Header:
   * NAT44 Header
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |                                                               |
   * |                           Signature                           |
   * |                                                               |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |  Ver  |  Cmd  |   Af  | Proto |           Length              |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |                       IPv4 Source Address                     |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |                     IPv4 Destination Address                  |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |         Source Port           |        Destination Port       |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   */
  

• 携带IPv6客户端源IP地址的Proxy Protocol v2协议的报文头部格式如下所示：

  /*
   * Proxy Protocol Header:
   * NAT66 Header
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |                                                               |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |                                                               |
   * |                           Signature                           |
   * |                                                               |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |  Ver  |  Cmd  |   Af  | Proto |           Length              |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |                                                               |
   * |                                                               |
   * |                      IPv6 Source Address                      |
   * |                                                               |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |                                                               |
   * |                                                               |
   * |                    IPv6 Destination Address                   |
   * |                                                               |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   * |         Source Port           |        Destination Port       |
   * +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   */