如何将StorageGRID 配置为使用基于IP的第三方第7层负载平衡器

本文适用场景 StorageGRID 11.4.0或更高版本如果使用一个或多个外部第7层负载平衡器(如NGINX或HAProxy)以及 基于IP的S3分段或组策略、 StorageGRID必须确定实际发件人的IP地址。

在S3存储分段或组策略中、策略条件密钥 aws:SourceIp 和策略变量 ${aws:SourceIp}将与S3请求发送方的IP地址进行比较。

如果使用外部(第三方)第7层负载平衡器将请求路由到存储节点、则StorageGRID需要确定实际发送方的IP地址。它通过查看负载平衡器插入到请求中的X-Forwarded-for (XFF)标头来执行此操作。
由于直接发送到存储节点的请求中的X-Forwarded-for标头很容易受到复制、因此StorageGRID需要确保每个请求都由 受信任的 第7层负载平衡器路由。如果StorageGRID无法信任请求源、则会忽略 X-Forwarded-for 标头。
在StorageGRID 11.4或更高版本中、添加了一个新的网格管理API、以允许配置受信任的外部第7层负载平衡器列表。此新API为专用API、未来的StorageGRID版本可能会有所更改。