如何配置 StorageGRID 以使用第三方第 7 层负载平衡器

如果您使用的是一个或多个外部第 7 层负载平衡器（例如 NGINX 或 HAProxy ）以及基于 IP 的 S3 分段或组策略，则本文适用于 StorageGRID 11.4.0 或更高版本。

注意：不建议仅使用 IP 地址限制来进行 StorageGRID 生产。使用基于 IP 的存储分段或组策略时，您还应使用 S3 访问密钥控件，而不是匿名访问。

在 S3 存储分段或组策略中，策略条件密钥 aws:SourceIp 和策略变量 ${aws:SourceIp}将与 S3 请求的发送方的 IP 地址进行比较。
如果使用外部（第三方）第 7 层负载平衡器将请求路由到存储节点，则 StorageGRID 需要确定实际发件人的 IP 地址。为此，它会查看负载平衡器插入到请求中的 X-Forwarded-for （ XFF ）标头。
由于直接发送到存储节点的请求很容易欺骗 X-forwarded-for 标头，因此 StorageGRID 需要确保每个请求都由可信的第 7 层负载平衡器路由。如果 StorageGRID 无法信任请求源，则会忽略 X-Forwarded-for 标头。
在 StorageGRID 11.4 中，添加了一个新的网格管理 API ，用于配置受信任的外部第 7 层负载平衡器列表。此新 API 为私有 API ，在未来的 StorageGRID 版本中可能会发生更改。