如何配置 StorageGRID 以使用基于 IP 的第三方第 7 层负载均衡器

如果您使用的是一个或多个外部第 7 层负载平衡器（如 NGINX 或 HAProxy）以及基于 IP 的 S3 存储桶或组策略，则本文适用于 StorageGRID 11.4.0 或更高版本，StorageGRID 必须确定真实发件人的 IP 地址。

在 S3 存储桶或组策略中，策略条件键 aws:SourceIp 和策略变量 ${aws:SourceIp}与 S3 请求发送者的 IP 地址进行比较。

如果使用外部（第三方）第 7 层负载均衡器将请求路由到存储节点，StorageGRID 需要确定真实发件人的 IP 地址。它通过查看 X-Forwarded-For （XFF）标头来实现这一点，该标头由负载均衡器插入到请求中。
由于在直接发送到存储节点的请求中可以轻松欺骗 X-Forwarded-For 标头，因此 StorageGRID 需要确保每个请求都由 受信任的 第 7 层负载均衡器进行路由。如果 StorageGRID 不能信任请求的来源，它将忽略 X-Forwarded-For 标头。
在 StorageGRID 11.4 或更高版本中，添加了新的网格管理 API，以允许配置受信任的外部第 7 层负载均衡器列表。此新 API 是私有的，可能会在未来的 StorageGRID 版本中发生变化。