如何配置 StorageGRID 以使用第三方第 7 层负载平衡器
适用于
- StorageGRID 设备
- StorageGRID 11.4
说明
- 如果您使用的是一个或多个外部第 7 层负载平衡器(例如 NGINX 或 HAProxy )以及基于 IP 的 S3 分段或组策略,则本文适用于 StorageGRID 11.4.0 或更高版本。
注意:不建议仅使用 IP 地址限制来进行 StorageGRID 生产。使用基于 IP 的存储分段或组策略时,您还应使用 S3 访问密钥控件,而不是匿名访问。
- 在 S3 存储分段或组策略中,策略条件密钥
aws:SourceIp
和策略变量${aws:SourceIp}
将与 S3 请求的发送方的 IP 地址进行比较。 - 如果使用外部(第三方)第 7 层负载平衡器将请求路由到存储节点,则 StorageGRID 需要确定实际发件人的 IP 地址。为此,它会查看负载平衡器插入到请求中的 X-Forwarded-for ( XFF )标头。
- 由于直接发送到存储节点的请求很容易欺骗 X-forwarded-for 标头,因此 StorageGRID 需要确保每个请求都由可信的第 7 层负载平衡器路由。如果 StorageGRID 无法信任请求源,则会忽略 X-Forwarded-for 标头。
- 在 StorageGRID 11.4 中,添加了一个新的网格管理 API ,用于配置受信任的外部第 7 层负载平衡器列表。此新 API 为私有 API ,在未来的 StorageGRID 版本中可能会发生更改。