在通过负载平衡转发后，客户端地址如何透传到上游的服务是一个常见的问题。本文将阐明在 BFE 中是如何解决这个问题的。

1. 问题阐明

在通过 BFE 转发后，RS 无奈取得原始的客户端 IP 地址，而只能取得 BFE 实例的 IP 地址。

如图 1 所示，客户端的 IP 地址为 1.2.3.4，在通过 BFE 转发后，BFE 和 RS 建设了新的 TCP 连贯，RS 只能看到 BFE 的地址 10.1.0.1。

很多利用都须要获取申请原始的客户端 IP 地址。须要提供机制将原始的客户端 IP 地址传递到 RS。

图 1 通过 BFE 转发后客户端地址的变动

2. BFE 的客户端地址透传计划

BFE 在扩大模块 mod_header 中默认提供了捎带客户端 IP 地址和端口的性能。只有在 BFE 启动时配置加载 mod_header，在转发后申请中就会蕴含这两个信息。

在通过 BFE 转发后，在 HTTP 申请的头部会减少 2 个字段：

• X-Real-Ip：用于传递原始的客户端 IP 地址
• X-Real-Port：用于传递原始的客户端端口

注：

• mod_header 的实现位于
  https://github.com/bfenetwork…
• mod_header 的阐明文档位于
  https://github.com/bfenetwork…

3. 为什么不应用 x -forward-for

已经有一个敌人在《深刻了解 BFE》的 Github 讨论区中提了一个问题：为什么不应用 X -Forwarded-For 来传递客户端 IP 地址呢？

BFE 应用独立定义的“X-Real-Ip”是为了防止“X-Forwarded-For”被伪造。

如果申请在达到 BFE 时曾经蕴含了“X-Real-Ip”字段，BFE 会将这个字段的值重写为BFE 所见的客户端 IP 地址，从而防止这个字段被伪造。

然而 BFE 不能应用相似的“重写”计划来防止 x -forward-for 字段的伪造。

能够看看上面的两种可能的场景：

• 场景一：如果申请中原本没有蕴含 X -Forwarded-For 头部
  BFE 能够增加新的头部，

  X-Forwarded-For: client-ip, bfe 的地址

• 场景二：如果申请中曾经蕴含 X -Forwarded-For 头部，如，

  X-Forwarded-For: client1, proxy1, proxy2, proxy3

  那么 BFE 须要将本人的地址增加到开端

  X-Forwarded-For: client1, proxy1, proxy2, proxy3，BFE 的地址

  在这种状况下，client 的地址可能为伪造。然而，BFE 不能改写 X -Forwarded-For 的值，因为须要保留 X -Forwarded-For 的内容供其它可能的剖析。

4. 其它信息的透传

除了原始的客户端 IP 地址，可能还须要 BFE 向上游服务透传其它信息 ，如本次申请所拜访的服务端 IP 地址（VIP），本次申请所应用的 TLS/SSL 协定版本等。在某些场景中，因为历史的起因，可能也 须要对于透传客户端 IP 地址的头部名称做非凡的设置。

在 mod_header 中，能够对每个租户提供一张配置表，能够针对符合条件的申请，对头部做指定的动作。

图 2 租户的 mod_header 配置表

在配置表中，应用 BFE 的条件表达式来形容匹配的条件。对申请（Request）和响应（Response）的 Header 可能执行的操作包含设置、增加、删除等。针对同一个匹配条件，能够执行多个操作。

为了便于操作，在 mod_header 中还提供了一些 内置的变量，用于在配置图 2 中的 action 时应用。如：

• %bfe_cip，代表客户端 IP (CIP)
• %bfe_vip，代表服务端 IP (VIP)

在上面这个配置的例子中，对于属于“example_product”的申请，如果申请的 Path 前缀为“/header”，则设置名为 X -Bfe-Vip 的 Header，用于向上游服务传递服务端 IP 地址。

{
    "Version": "20190101000000",
    "Config": {
        "example_product": [
            {"cond": "req_path_prefix_in(\"/header\", false)",
                "actions": [
                    {
                        "cmd": "REQ_HEADER_SET",
                        "params": [
                            "X-Bfe-Vip",
                            "%bfe_vip"
                        ]
                    },
                ],
                "last": true
            }
        ]
    }
}

5. BFE 如何从上游取得客户端地址

在理论部署中，在 BFE 的上游常常会应用四层负载平衡，以实现多个 BFE 实例间的流量平衡，并解决 BFE 的高可用。

流量在通过四层负载均衡器的转发后，BFE 同样也无奈间接取得原始的客户端 IP 地址，而只能看到四层负载均衡器的外部地址。

图 3 通过四层负载均衡器后地址发生变化

因为很多四层负载均衡器不能像 BFE 这样批改 HTTP 申请头部（局部的起因是因为这样的性能对于四层负载均衡器来说太简单；局部的起因是因为在 HTTPS 的场景下四层负载均衡器无奈“看见”和批改申请的内容），所以须要应用更底层的机制。

常见的计划有两种：

• 计划 1：应用 TOA（TCP Option Address）
  通过在 TCP Options 中插入客户端地址形式，将客户端地址从四层负载均衡器携带到 BFE。
  LVS 这样的开源负载平衡软件和 F5 这样的商用负载平衡产品都反对开启 TOA。

  如果应用 TOA 计划，在 BFE 所在的服务器，须要装置 TOA 插件。这样 BFE 从 socket 中读取到的客户端 IP 地址就是原始的客户端 IP 地址。
  TOA 的详情能够参考以下文章：
  https://zhuanlan.zhihu.com/p/…
  https://www.jianshu.com/p/e77…

• 计划 2：应用 Proxy Protocol
  Proxy Protocol 是由 HAProxy 创造的。其次要思维是：在发送数据之前，首先发送一个非凡的头信息，用于传递客户端 IP 地址、端口等信息。
  HAProxy 这样的开源负载平衡软件和 F5 这样的商用负载平衡产品都反对开启 Proxy Prococol。
  如果应用 Proxy Prococol 计划，须要批改 BFE 的配置。在 bfe.conf 中，须要将 Layer4LoadBalancer 设置为 ”PROXY”。

  [Server]
  …
  # type of layer-4 load balancer (PROXY/NONE), default NONE
  Layer4LoadBalancer = "PROXY"
  …

  能够参考
  https://github.com/bfenetwork…。
  Proxy Protocol 的详情能够参考以下文章：
  https://www.haproxy.org/downl…
  https://www.jianshu.com/p/cc8…

6. 总结

在向上游服务透传原始客户端 IP 地址等信息方面，BFE 提供了残缺的反对。

在蕴含四层负载均衡器的场景中，能够应用 TOA 或 Proxy Protocol 将原始的客户端 IP 地址从客户端传递给 BFE。

欢送关注“BFE 开源我的项目”微信公众号，取得本我的项目的更多更新。谢谢！