kong插件rate-limiting的X-Forward-For配置

小渣渣

kong网关rate-limiting限流插件。

根据年、月、日、时、分、秒设置限流规则，多个限制同时生效。

比如：每天不能超过10次调用，每分不能超过3次。

当一分钟内，访问超过3次，第四次就会报错。

当一天内，访问次数超过10次，第十一次就会报错。


场景：我需要对api接口限制单个ip每分钟只能请求3次，当我启用该插件后，正常通过ip访问kong网关是没有任何问题，但是kong的上层还有nginx做负载的，所以，kong获取的ip总是nginx机器的内网ip，这样就成了所有ip每分钟只能访问3次api接口，并不是单个ip每分钟访问3次接口。

如下图，不同ip访问接口，只要每分钟接口被请求了3次，会拒绝所有的访问者。



我安装了http-log插件，用来记录请求和相应的信息，方便，我们调试。



既然kong没有正常获取到client_ip地址，如何纠正这个问题呢？

解决办法

修改kong配置文件，

/etc/kong/kong.conf文件，增加trusted_ips = 0.0.0.0/0,::/0

real_ip_header = X-Forwarded-For


最后，重启kong，命令：kong restart

trusted_ips

定义已知可发送正确X-Forwarded-*标头的可信IP地址块 。来自可信IP的请求使Kong向X-Forwarded-*上游转发其 头部。不可信请求使Kong插入自己的 X-Forwarded-*标头。

此属性还在set_real_ip_fromNginx配置中设置指令。它接受相同类型的值（CIDR块），但是以逗号分隔的列表。

要信任所有 /！\ IP，请将此值设置为0.0.0.0/0,::/0。

如果unix:指定了特殊值，则所有UNIX域套接字都将受信任。

参考文档：https://docs.konghq.com/0.14.x/configuration/#trusted_ips

修改完成后，kong可以正确获取到客户端ip了，如下图：



（完）