我们正在使用一个硬件负载均衡器,它将用户请求发送到4个应用服务器(varnish – > apache),按照最小负载的基础。 我们的要求是阻止某些IP(不是全部范围),如果需要的话。 但是,即使我们可以从varnishncsa日志中获得客户端IP,并且如果我们编写了一个acl块并阻止了某个Ip,它也不会有效地阻止它,并且用户stream量正在达到apache。 但是,如果我们使用服务器主机名而不是负载均衡器url来访问url,那么这个acl块是行得通的。 所以我们可以得出这样的结论:由于LB每个请求发送两个IP(1.自己的NAT Ip和2.客户端IP在X-forwarded-for报头格式中),清漆无法阻塞。 我们正在使用清漆3。
我们的查询是 – 如果清漆只在varnishncsa日志中显示客户端IP,为什么不给这个IP优先,而不是LB NAT ip。
当stream量通过LB到达时,是否有其他机制阻止客户IP清除?