True クライアント構成

True Client の構成

NSX Advanced Load Balancer 22.1.3 以降、真の Client IP はユーザーインターフェイスを使用してを有効化および構成できます。

真の Client IP をユーザーインターフェイスで有効化するには、次の手順を実行します。

[テンプレート] > [プロファイル] > [アプリケーション] の順に移動します。
[HTTP] タイプの [アプリケーションプロファイル] を作成または編集します。
[真のクライアント IP を有効にする] チェックボックスをオンにします。
[インデックスの方向] を選択して、クライアント IP インデックスをどの方向からカウントする必要があるかを定義します。
指定したヘッダーの値から選択するエントリのインデックスを入力します。デフォルト値は 1 で、値が 1 の場合は [インデックスの方向] で指定した方向のユーザー指定ヘッダーから 1 つ目の IP 値が選択されます。[ヘッダー内のインデックス] 値を増やすと、そのインデックス値に対応する IP アドレスが選択されます。たとえば、[ヘッダー内のインデックス] が 3 の場合、指定した方向から 3 つ目の IP アドレスが選択されます。
[真のクライアント IP を検索するヘッダー] で、[追加] をクリックして IP アドレスのリストを入力します。IP アドレスが入力されておらず、[真のクライアント IP を有効にする] チェックボックスがオンになっている場合、[X-Forwarded-For ヘッダー] があれば使用されます。
他のフィールドを構成し、[保存] をクリックします。

CLI を使用して、真のクライアント IP を NSX Advanced Load Balancer で構成するには、次の手順に従います。

True クライアント IP アドレスの有効化

目的のカスタム HTTP プロファイルで use_true_client_ip フィールドを有効化します。

NSX Advanced Load Balancer シェルにログインして CLI にアクセスします。
次のコマンドを使用して、カスタム HTTP プロファイルを構成します。
```
configure applicationprofile <name of the custom http profile>
```
次のコマンドを使用して、True Client IP を有効にします。
```
http_profile use_true_client_ip.
```

パラメータの構成

true_client_ip パラメータと、次のパラメータを使用します。

Headers（オプション）。クライアント IP アドレスを取得する必要がある目的の HTTP ヘッダーを定義します。指定しない場合、デフォルトで「X-Forwarded-For」が構成されます。
Direction（オプション）。指定されたヘッダー値の IP アドレスをカウントする方向を定義します。デフォルトでは、この値は Left です。
Index_in_header（オプション）。指定されたヘッダーの値で、構成した方向での位置を定義します。デフォルトでは、この値は 1 です。

True_Client_IP のパラメータ（ヘッダー名、方向、ヘッダーのインデックス）は、次に示すように定義します。

true_client_ip headers <name of the header> <direction> <index in the header>

注：

真のクライアント IP インデックスの有効な範囲は 1 ~ 1000 です。

必要に応じてパラメータを構成したら、構成を保存します。

使用事例

次の機能は、実際のクライアント IP アドレスを使用するように構成できます。

HTTP ポリシー
- HTTP セキュリティ/要求/応答ポリシーの一致をクライアント IP アドレスに基づいて構成できます。
DataScripts: クライアント IP ベースの API、レート制限 API

True Client IP を有効にすると、次の機能が影響を受けます。

アプリケーションログ: アプリケーションログのクライアント IP アドレス (v4 および v6)
分析ポリシー
- クライアント IP アドレスに対するクライアントログフィルタの一致
- RUM/クライアントインサイトサンプリング - RUMスクリプトを挿入するときに確認するクライアントIPアドレス
クライアント IP アドレスに基づくレート制限
クライアント IP アドレスに基づく圧縮フィルタ
SSO ポリシーのクライアント IP アドレスに基づいて一致
WAF ポリシーのクライアント IP アドレスに基づく許可リスト
WAF:Modsec ルール
ボット管理ポリシーのクライアント IP アドレスに基づく許可リスト
IP レピュテーション
位置情報ベースの機能
DOS 分析レポートの True クライアント IP アドレス

アップグレード

デフォルトでは、[真のクライアント IP] は無効化されています。したがって、NSX Advanced Load Balancer をアップグレードしている間、クライアント IP アドレスが参照されるインスタンスすべてで送信元 IP アドレスを参照するため、動作に変更がないのは明確です。

[真のクライアント IP] を後で有効化すると、クライアント IP アドレスを参照するインスタンスすべてで真のクライアント IP を参照します。このような場所で特に送信元 IP アドレスを使用するには、構成を明示的に変更します。

例


True クライアントの IP アドレス構成	ヘッダーパラメータ	方向パラメータ	インデックス数パラメータ	要求の詳細	動作
有効	X-Forwarded-For	左へ	3	X-Forwarded-For:1.1.1、2.2.2.2.2、3.3.3.3、4.4.4.4.4	クライアント IP = 3.3.3.3Source IP=from layer-3 header
有効	X-Forwarded-For	左へ	4	X-Forwarded-For:1.1.1、2.2.2.2.2、3.3.3.3、4.4.4.4.4	クライアント IP = 4.4.4.4Source IP=from layer-3 header
有効	X-Forwarded-For	左へ	5	X-Forwarded-For:1.1.1、2.2.2.2.2、3.3.3.3、4.4.4.4.4	クライアント IP = 4.4.4.4Source IP=from layer-3 header
有効	X-Forwarded-For	左へ	4	X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3,4.4.4.4X-Forwarded-For: 10.10.10.10, 172.16.1.1,192.168.1.1	クライアント IP = 4.4.4.4Source IP=from layer-3 header
有効	真のクライアント IP	左へ	4	X-Forwarded-For:1.1.1、2.2.22、3.3.3.3、4.4.4.4.4	クライアント IP = 送信元 IP = レイヤー 3 ヘッダーから
有効	真のクライアント IP	左へ	4	X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3,4.4.4.4True-Client-IP: 10.10.10.10, 172.16.1.1, 192.168.1.1	クライアント IP = 192.168.1.1Source IP=from layer-3 header
	未構成 (デフォルト)	左へ	3	X-Forwarded-For: 1.1.1、2.2.2.2、3.3.3.3、4.4.4.4.4	クライアント IP = 3.3.3.3Source IP=from layer-3 header
	X-Forwarded-For	未構成 (デフォルト)	3	X-Forwarded-For: 1.1.1、2.2.2.2、3.3.3.3、4.4.4.4.4	クライアント IP = 3.3.3.3Source IP=from layer-3 header
	X-Forwarded-For	左へ	2	X-Forwarded-For: 1.1.1,2-2,3.3.3.3,4.4.4.4	クライアント IP = 送信元 IP = from layer-3header
	X-Forwarded-For	左へ	2	X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3, 4.4.4.4	クライアント IP = 2.2.2.2 送信元 IP = from layer-3 header
	真のクライアント IP	左へ	2	X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3, 4.4.4.4	クライアント IP = 送信元 IP = from layer-3header