在nginx的11個(gè)步驟中， real_ip 模塊是放到最前面執(zhí)行的妻怎，因?yàn)楹罄m(xù)的limit等限速模塊都依賴于 $remote_addr 變量去限速雏亚。而remote_addr 默認(rèn)是取 HTTP 頭>部中的 X-REAL-IP 的。

在一個(gè)外網(wǎng)域名的 nginx log 中可以看到助隧，$remote_addr和 $http_x_forwarded_for 一個(gè)是內(nèi)網(wǎng)ip一個(gè)是公網(wǎng)ip 唆香， 分別是 10.73.116.171 和 35.158.36.118 嫌变。
可以看出 remote_addr 是一個(gè)內(nèi)網(wǎng)ip，如果拿這個(gè)內(nèi)網(wǎng)ip去限速或者什么就悲劇了躬它，因?yàn)檫@是elb 的內(nèi)網(wǎng)ip腾啥。

在aws 的官方給出了解釋?zhuān)琣ws 在HTTP/HTTPS 是使用 X-Forwarded-For 去捕獲客戶端ip。 https://aws.amazon.com/cn/premiumsupport/knowledge-center/elb-capture-client-ip-addresses/

• 對(duì)于具有 HTTP/HTTPS 偵聽(tīng)器的 Application Load Balancers 和 Classic Load Balancer 冯吓，必須使用 X-Forwarded-For 標(biāo)頭來(lái)捕獲客戶端 IP 地址倘待。然后>，您必須輸出訪問(wèn)日志中的這些客戶端 IP 地址组贺。

• 對(duì)于具有 TCP/SSL 偵聽(tīng)器的 Classic Load Balancer凸舵，您必須在 Classic Load Balancer 和目標(biāo)應(yīng)用程序上啟用代理協(xié)議支持。確保兩端都配置代理協(xié)議支>持失尖，否則您的應(yīng)用程序可能會(huì)遇到問(wèn)題啊奄。您還可以使用 AWS CLI 啟用代理協(xié)議支持。

aws 的 tcp lb 比較坑掀潮。
其 TCP 負(fù)載均衡其實(shí)是把客戶端的請(qǐng)求截?cái)喙娇洌缓笞约喊l(fā)送一個(gè)請(qǐng)求給后端，拿到后端返回的數(shù)據(jù)之后再返回給 客戶端仪吧，這樣后端看到的是 負(fù)載均衡器的IP庄新，>看不到客戶端的真實(shí)IP了 (如果用基于HTTP的Load Balancer，會(huì)自動(dòng)在HTTP頭記錄 X-Forwarded-For , 后端自然很容易獲取到源IP )薯鼠。其實(shí)這和LVS FULLNAT 模式有點(diǎn)像择诈，LVS FULLNAT的解決辦法是把真實(shí)IP寫(xiě)在TCP option里面，然后后端用toa模塊拿到出皇。

具有TCP/SSL偵聽(tīng)器的Classic Load Balance

然而aws 給出了一個(gè)解決方案羞芍。叫做 Proxy Protocol 《衤酰可以對(duì)TCP 負(fù)載均衡器開(kāi)啟Proxy Protocol涩金，它會(huì)在請(qǐng)求的第一行寫(xiě)入 源IP、源端口等信息暇仲，以 \r\n 結(jié)尾步做，格式如下：

PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + “\r\n”

這個(gè)首先需要設(shè)置一下開(kāi)啟一下 Proxy Proticol 。這個(gè)配置一般在平臺(tái)上點(diǎn)擊開(kāi)啟即可奈附。
然后就需要配置全度。

 listen 80 proxy_protocol;
 set_real_ip_from  10.0.0.0/8;
 real_ip_header  proxy_protocol;

即可。
其中的set_real_ip_from 和 real_ip_header 都是來(lái)自Nginx的real_ip 模塊的斥滤。

具有 HTTP/HTTPS 偵聽(tīng)器的 Application Load Balancers 和 Classic Load Balancer

對(duì) http/https 的偵聽(tīng)器就簡(jiǎn)單了将鸵。既然aws官網(wǎng)都說(shuō)了，客戶端的真實(shí)ip在 X-Forwarded-For 里佑颇，那就直接 real_ip_header 就完了顶掉。

 set_real_ip_from   10.0.0.0/8;
 real_ip_header       X-Forwarded-For;

nginx如何獲得客戶端ip

這里講一下 nginx 是如何獲取到客戶端ip的。首先nginx會(huì)提供兩個(gè)默認(rèn)的變量挑胸，分別為 binary_remote_addr , remote_addr 這樣的變量痒筒。其值是真實(shí)的IP，這樣在以后的連接限制(limit_conn,limit_req模塊才有意義)茬贵。

如何拿到真實(shí)的用戶IP

而 remote_addr 和 binary_remote_addr 本身的值是直接和nginx連接的客戶端的ip地址簿透，可能是lvs的ip，前端調(diào)度器的ip（如果是full nat解藻，且有toa的話老充，真實(shí)的客戶端ip其實(shí)已經(jīng)被lvs封裝好了，這時(shí)的remote_addr 就是真實(shí)的客戶端ip地址）螟左。
而 realip 模塊呢啡浊，它的作用就是從http頭部中的X-Forwarded-For 或者 X-Real-IP 的值重新賦值 remote_add 和 binary_remote_addr 。
realip 模塊是 Nginx 的11 個(gè)階段的第一個(gè)模塊胶背。
它提供了兩個(gè)變量 $realip_remote_addr 和 $realip_remote_port 變量虫啥。這個(gè)變量存儲(chǔ)的是 $remote_addr 改變之前的值，如果你就是想要改變之前的 $remote_addr 就可以使用 $realip_remote_addr (直接與nginx相連接的客戶端ip)
除此之外 realip 還提供三個(gè)指令奄妨。

• set_real_ip_from addr|CIDR|unix;
  作用域： http server location
  這個(gè)指令的作用是 來(lái)自某些地方的請(qǐng)求涂籽，我們才作 nginx 的 $remote_addr 變量的替換，一般后面跟的地址是 lvs ip砸抛，前端調(diào)度器的ip评雌。
• real_ip_header field|X-Real-IP|X-Forwarded-For|proxy_protocol;
  作用域：http server location
  這個(gè)指令的作用就是將 什么去替換 $remote_addr 。
  默認(rèn)是 real_ip_header X-Real-IP; （也就是將X-Real-IP中的數(shù)據(jù)去替換）
• real_ip_recursive on|off;
  默認(rèn)是 off 的直焙。當(dāng)打開(kāi)的話景东， 如果 X-Forwarded-For 中的最后一個(gè)ip和第一個(gè)ip一樣的話，會(huì)把這個(gè)重復(fù)ip給 pass 掉奔誓。（其實(shí)就是自己訪問(wèn)自己的時(shí)候斤吐，把自己的ip砍掉）