阿里云SLB下Tomcat获取正确客户端IP及协议的配置方法

2019 年 06 月 20 日

4463 次浏览

1420字数

### 问题描述：
使用阿里云SLB启用https，发现后端的Tomcat并不能获取到正确的协议与客户端访问的真实IP，Tomcat的配置方式参照nginx下面的配置方法，详见[《HTTPS环境下Nginx反向代理Tomcat的正确配置方法》][1]这篇文章。

### 原因分析
由于阿里云SLB使用的IP地址都是100.x.x.xk开头的，这段IP均为保留IP，并不在Tomcat的可信代理IP列表中，Tomcat官方的[这篇][2]文档中有如下描述

>Regular expression (using java.util.regex) that a proxy's IP address must match to be considered an internal proxy. Internal proxies that appear in the remoteIpHeader will be trusted and will not appear in the proxiesHeader value. If not specified the default value of `10\.\d{1,3}\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3}|169\.254\.\d{1,3}\.\d{1,3}|127\.\d{1,3}\.\d{1,3}\.\d{1,3}|172\.1[6-9]{1}\.\d{1,3}\.\d{1,3}|172\.2[0-9]{1}\.\d{1,3}\.\d{1,3}|172\.3[0-1]{1}\.\d{1,3}\.\d{1,3}|0:0:0:0:0:0:0:1` will be used.

也就是说，Tomcat默认只信任如下代理的IP，其他IP做代理，需要添加到`internalProxies`才行。
```
10.0.0.0/8
127.0.0.0/8
172.16.0.0/12
169.254.0.0/16
192.168.0.0/16
0:0:0:0:0:0:0:1(ipv6)
```
### 解决方案
 - 在阿里云SLB上勾选如下选项，如图：
![89.jpeg][3]

- 在ECS中的tomcat配置文件中`<Engine>`元素下新增如下配置
```
	<Valve 	className="org.apache.catalina.valves.RemoteIpValve"
			remoteIpHeader="X-Forwarded-For"
			protocolHeader="X-Forwarded-Proto"
			protocolHeaderHttpsValue="https"
			internalProxies="100\.\d{1,3}\.\d{1,3}\.\d{1,3}" />
```

完整配置文件如下

```
<?xml version="1.0" encoding="UTF-8"?>

```

[1]: https://blog.90.vc/archives/44.html
  [2]: https://tomcat.apache.org/tomcat-8.0-doc/config/valve.html#Remote_Host_Filter
  [3]: https://feng-bj.oss-cn-beijing.aliyuncs.com/usr/uploads/2019/06/733768865.jpeg

最后修改：2019 年 06 月 21 日

如果觉得我的文章对你有用，请随意赞赏

阿里云SLB下Tomcat获取正确客户端IP及协议的配置方法

安安 • 2019 年 06 月 20 日

阿里云SLB下Tomcat获取正确客户端IP及协议的配置方法

PHP 7.2.11 安装

浏览器提示“你的连接不是专用连接”无法使用解决方案

关于SSD硬盘的指标DWPD、TBW 、P/E

python 3.8.1 编译报错 Could not import runpy module 问题

ESXI更新到6.7后CVE-2018-3646警告的处理

关于SSD硬盘的指标DWPD、TBW 、P/E

JVM内存模型及内存分配过程

curl方式执行shell脚本时传参数运行

CEPH报错：Module 'restful' has failed dependency: No module named 'pecan'

nginx 处理请求的11个阶段

阿里云SLB下Tomcat获取正确客户端IP及协议的配置方法