Server Load Balancer:クライアント IP アドレスを保持し、バックエンドサーバーに渡すように ALB を有効にする

NGINX サーバーを構成する

この例では、CentOS 7.9 オペレーティングシステムと NGINX 1.20.1 を使用しています。 使用する環境に基づいて構成を調整してください。

1. NGINX サーバーで nginx -V | grep http_realip_module コマンドを実行して、http_realip_module モジュールが NGINX サーバーにインストールされているかどうかを確認します。 NGINX サーバーは、http_realip_module モジュールを使用して X-Forwarded-For の値を解析します。

   出力に --with-http_realip_module が含まれている場合、http_realip_module が NGINX サーバーにインストールされていることを示しており、次の手順に進むことができます。

   http_realip_module がインストールされていることを示す出力例

   nginx version: nginx/1.20.1
   built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
   built with OpenSSL 1.1.1k  FIPS 25 Mar 2021
   TLS SNI support enabled
   configure arguments: --prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/lib/nginx/tmp/client_body --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --pid-path=/run/nginx.pid --lock-path=/run/lock/subsys/nginx --user=nginx --group=nginx --with-compat --with-debug --with-file-aio --with-google_perftools_module --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_degradation_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_mp4_module --with-http_perl_module=dynamic --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-http_xslt_module=dynamic --with-mail=dynamic --with-mail_ssl_module --with-pcre --with-pcre-jit --with-stream=dynamic --with-stream_ssl_module --with-stream_ssl_preread_module --with-threads --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic' --with-ld-opt='-Wl,-z,relro -specs=/usr/lib/rpm/redhat/redhat-hardened-ld -Wl,-E'
   

   説明

   • 2011 年にリリースされた NGINX 1.0.4 以降は、http_realip_module モジュールをサポートしています。 NGINX のバージョンが 1.0.4 より前の場合は、データをバックアップし、新しいバージョンにアップグレードすることをお勧めします。

   • http_realip_module モジュールが NGINX サーバーにインストールされていない場合は、NGINX を再コンパイルおよびインストールしてから、http_realip_module をインストールします。 YUM などのパッケージマネージャーを使用して NGINX をインストールおよび管理することをお勧めします。 パケットマネージャーはプロセスを簡素化します。

2. NGINX 構成ファイルを変更して保存します。 次のコードブロックは例を示しています。 nginx -t コマンドを実行して、構成ファイルのパスをクエリします。デフォルトでは /etc/nginx/nginx.conf です。 パスは、使用する環境によって異なる場合があります。

   http {
     # X-Forwarded-For の値を記録するために使用される変数 $http_x_forwarded_for を設定します。
     log_format  main  '$remote_addr- $remote_user [$time_local] "$request" '
                         '$status $body_bytes_sent "$http_referer" '
                         '"$http_user_agent" "$http_x_forwarded_for"';
     
     # ...
   }
   

3. sudo nginx -s reload コマンドを実行して、NGINX 構成ファイルを再読み込みします。

Apache サーバーを構成する

この例では、CentOS 7.9 オペレーティングシステムと Apache 2.4.6 を使用しています。使用する環境に基づいて構成を調整してください。

1. Apache サーバーで httpd -M | grep remoteip_module コマンドを実行して、remoteip_module モジュールが Apache サーバーにインストールされているかどうかを確認します。 Apache は remoteip_module を使用して X-Forwarded-For の値を解析します。

   出力に remoteip_module (shared) が含まれている場合、モジュールが Apache サーバーにインストールされていることを示しており、次の手順に進むことができます。

   説明

   • 2012 年にリリースされた Apache 2.4.0 以降は、remoteip_module モジュールをサポートしています。 Apache のバージョンが 2.4.0 より前の場合は、データをバックアップし、新しいバージョンにアップグレードすることをお勧めします。

   • remoteip_module モジュールが Apache サーバーにインストールされていない場合は、Apache を再コンパイルおよびインストールしてから、remoteip_module をインストールします。 YUM などのパッケージマネージャーを使用して Apache をインストールおよび管理することをお勧めします。 パケットマネージャーはプロセスを簡素化します。

2. Apache 構成ファイルを変更して保存します。 次のコードブロックは例を示しています。 構成ファイルのデフォルトパスは /etc/httpd/conf/httpd.conf です。 パスは、使用する環境によって異なる場合があります。

   # ...
   <IfModule log_config_module>
   	# X-Forwarded-For に関する情報を記録するために使用される LogFormat ディレクティブ %{X-Forwarded-For}i を追加します。
     LogFormat "%{X-Forwarded-For}i %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
     LogFormat "%{X-Forwarded-For}i %h %l %u %t \"%r\" %>s %b" common
   	#...
   </IfModule>
   # ...

3. sudo systemctl restart httpd コマンドを実行して、Apache を再起動します。

IIS サーバーを構成する

この例では、Windows Server 2016 オペレーティングシステムを使用しています。 使用する環境に基づいて構成を調整してください。

1. F5XForwardedFor ファイル をダウンロードして解凍します。

2. F5XFFHttpModule.dll ファイルと F5XFFHttpModule.ini ファイルを x86\ ディレクトリまたは x64 ディレクトリから IIS サーバーのディレクトリにコピーします。 IIS プロセスにディレクトリに対する読み取りおよび書き込み権限があることを確認してください。

3. [サーバーマネージャー] で [IIS マネージャー] を開きます。

4. IIS サーバーを選択し、[モジュール] をダブルクリックします。

   

5. [ネイティブモジュールの構成] をクリックし、表示されるダイアログボックスで [登録] をクリックします。

   

6. ダウンロードした .dll ファイルを追加します。

   1. ファイル名を入力し、パスを選択して、[OK] をクリックします。

   2. 登録するモジュールが自動的に選択されます。 [OK] をクリックします。

7. IIS マネージャーのホームページに戻り、[ログ] をダブルクリックします。 X-Forwarded-For に関する情報を記録するログ形式を構成します。

   1. [フィールドの選択] をクリックします。

      

   2. 左下隅にある [フィールドの追加] をクリックし、次のフィールドを追加して、[OK] をクリックします。

      

   3. 右側のアクションペインで [適用] をクリックします。

8. IIS サーバーを再起動し、構成が有効になるまで待ちます。

NGINX サーバー

NGINX サーバーを使用している場合は、NGINX ログを確認して、バックエンドサーバーがクライアント IP アドレスを取得できるかどうかを判断できます。

NGINX ログのデフォルトパスは /var/log/nginx/access.log です。

各ログエントリで、$http_x_forwarded_for 変数の左端の IP アドレスがクライアント IP アドレスです。

Apache サーバー

Apache サーバーを使用している場合は、Apache ログを確認して、バックエンドサーバーがクライアント IP アドレスを取得できるかどうかを判断できます。

Apache ログのデフォルトパスは /var/log/httpd/access_log です。

各ログエントリで、%{X-Forwarded-For}i 変数の左端の IP アドレスがクライアント IP アドレスです。

IIS サーバー

IIS サーバーを使用している場合は、IIS ログを確認して、バックエンドサーバーがクライアント IP アドレスを取得できるかどうかを判断できます。

ログファイルへのパスは、ログモジュールにあります。

各ログエントリで、X-Forwarded-For の左端の IP アドレスがクライアント IP アドレスです。