<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 25 November 2015 at 05:40, Ajay Kalambur (akalambu) <span dir="ltr"><<a href="mailto:akalambu@cisco.com" target="_blank">akalambu@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">



<div style="word-wrap:break-word;color:rgb(0,0,0);font-size:14px;font-family:Calibri,sans-serif">
<div>Hi</div>
<div>Have a deployment where keystone sits behind a ha proxy node. Now authentication requests are made to a vip. Problem is when there is an authentication failure we cannot track the remote ip that failed login as all authentication failures show the VIP
 ip since ha proxy fwds the request to a backend keystone server</div>
<div><br>
</div>
<div>How do we use a load balancer like ha proxy and also track the remote failed ip for authentication failures</div>
<div>We get all authentication failures showing up with remote ip as vip ip</div></div></blockquote><div><br></div><div>It's probably best to enable the forwardfor option [1] and ensure that your Keystone logs record that information. This is relatively trivial if Keystone is using Apache/wsgi, but I can't recall whether the eventlet server logs the info.</div><div><br></div><div>[1] <a href="https://cbonte.github.io/haproxy-dconv/configuration-1.5.html#4-option%20forwardfor">https://cbonte.github.io/haproxy-dconv/configuration-1.5.html#4-option%20forwardfor</a> </div></div>
</div></div>