Мы используем Google Cloud Run в нашем кластере K8s на GCP, который работает на Knative и Anthos, однако кажется, что балансировщик нагрузки не изменяет x-forwarded-for (и этого не ожидается, поскольку это балансировщик нагрузки TCP), и Istio не делает то же самое.
У вас такая же проблема или она ограничена нашим развертыванием? Я понимаю, что Istio поддерживает это в рамках своей предстоящей топологии сети шлюза., но не в текущей версии gcp.
Я думаю, вы правы, оценивая, что текущая настройка Cloud Run для Anthos (непреднамеренно) не позволяет вам видеть исходный IP-адрес пользователя.
Как вы сказали, созданный шлюз для Istio / Knative в этом случае представляет собой Cloud Network Load Balancer (TCP), и этот LB не сохраняет IP-адрес клиента в соединении, когда трафик направляется на модули Kubernetes (из-за того, как Kubernetes сеть работает с iptables и т. д.). Вот почему вы видите заголовок x-forwarded-for, но он содержит внутренние переходы (например, 10.x.x.x).
Я слежу за нашей командой по этому поводу. Вроде раньше этого не замечали.
externalTrafficPolicy до Local фактически решает проблему, однако было бы здорово узнать, имеет ли такое изменение какие-либо побочные эффекты, поскольку оно пропускает функцию кластера и рискует потенциально несбалансированным распределением трафика.
- person KimDai; 22.06.2020
