<div dir="auto">Many thanks, Jeremy</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il Ven 17 Lug 2020, 19:42 Jeremy Stanley <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2020-07-17 18:55:01 +0200 (+0200), Ignazio Cassano wrote:<br>
> Hello all, I have some end users who want to receive on their load<br>
> balanced web servers the client ip address for acl. They also want<br>
> the https connection is terminated on web servers and not on load<br>
> balancer. Can I solve with octavia ? I read haproxy can act as<br>
> transparent only when it is the default router of backends. In our<br>
> use case the default router is not the load balancer. Any help,<br>
> please?<br>
<br>
You'll be hard pressed to find any network load balancer which can<br>
satisfy this combination of requirements without also requiring some<br>
cooperation from the gateway. The ways you typically get the client<br>
IP addresses to your servers are one of:<br>
<br>
1. Use the load balancer as the default router for the servers so<br>
that it doesn't need to alter the IP addresses of the packets (layer<br>
3 forwarding).<br>
<br>
2. Terminate SSL/TLS on the load balancer so that it can insert<br>
X-Forwarded-For headers into the HTTP requests, and then optionally<br>
re-encrypt when sending along to the servers (layer 7 forwarding).<br>
<br>
3. A "direct server return" configuration where the load balancer<br>
masquerades as the clients and only handles the inbound packets to<br>
the servers, while the outbound replies from the servers go directly<br>
to the Internet through their default gateway (asymmetric layer 3<br>
forwarding with destination NAT). This is the only option which<br>
meets the list of requirements you posed and it's exceptionally<br>
messy to implement, since you can't rely on state tracking either on<br>
the load balancer or the default gateway (each of them only sees<br>
half of the connection). This can also thoroughly confuse your<br>
packet filtering depending on where in your network it's applied.<br>
<br>
A bit of quick searching doesn't turn up any available amphorae for<br>
Octavia which support DSR, but even if there were I expect you'd<br>
face challenges adapting Neutron and security groups to handle it.<br>
-- <br>
Jeremy Stanley<br>
</blockquote></div>