1.背景
F5负载均衡设备,很多场景下需要采用旁挂的方式部署。为了保证访问到源站的数据流的request和response的TCP路径一致,f5采用了snat机制。但是这样导致源站上看到的来源IP都是snat地址,而看不到真实的访问源地址。
2.http访问
对于HTTP应用可以直接在VS中开启X-Forwarded规则
3.https访问
由于HTTPS应用到达F5的数据都是密文,F5只能看到网络层的地址,4—7层的内容无法看到,所以F5也无法像http应用一样将客户端地址插入到X_forward_for字段;
目前HTTPS应用的加解密工作都是由服务器自身完成的,为了保证F5能够看到4—7层的数据,需要将加解密工作交给F5来做:
1)根证书和KEY文件导入F5设备,F5代替服务器同用户端建立SSL通道;
2)F5将加密数据解密后通过X_forward_for功能插入用户端源IP
3)业务部门将服务器上的443端口更改为80端口即取消证书加解密工作
此过程在原有服务器上进行证书撤销操作,会影响到应用中断,建议重新搭建2台提供相同业务的80