1、模块定位与价值

• 多云接入：在同一 Nginx 实例前端接入来自多云平台的私有链路时，能区分 AWS、GCP、Azure 特有的连接 ID。
• 安全审计：自动记录云平台侧的 Endpoint/VPC ID，有助于联调和安全事件追踪。
• 路由分流：基于不同云平台的私有链路 ID，定制化分发到各自后端或日志系统。

模块在 Stream 层 读取 PROXY Protocol v2 的 TLV（Type-Length-Value）字段，将其映射为 $proxy_protocol_tlv_* 变量供业务使用。

2、支持的云平台与变量

云平台	TLV 字段	对应变量	含义
AWS	AWS VPC Endpoint ID	$proxy_protocol_tlv_aws_vpce_id	私有链路端点 ID（如 vpce-0123456789abcdef0）
GCP	PSC Connection ID	$proxy_protocol_tlv_gcp_conn_id	Private Service Connect 会话标识
Azure	Private Endpoint Link ID	$proxy_protocol_tlv_azure_pel_id	私有终结点链接 ID

前置要求：

1. 上游 LB/网关需支持 PROXY Protocol v2，并将对应云平台 TLV 字段填写完整。
2. 在 Nginx listen … proxy_protocol; 开启后接收协议头。

3、最简配置示例

stream {server {listen 9000 proxy_protocol;# 立即返回 GCP PSC 连接 IDreturn 200 '$proxy_protocol_tlv_gcp_conn_id\n';}
}

• 客户端（或上游负载均衡器）连入时携带 PROXY v2 TLV 中的 gcp_conn_id。
• Nginx 解析后将该 ID 写入 $proxy_protocol_tlv_gcp_conn_id 并直接响应。

4、高级应用

1. 审计日志

   stream {log_format audit '$remote_addr -> $proxy_protocol_addr | ''aws_vpce=$proxy_protocol_tlv_aws_vpce_id ''gcp_conn=$proxy_protocol_tlv_gcp_conn_id ''az_pel=$proxy_protocol_tlv_azure_pel_id';access_log /var/log/nginx/stream_audit.log audit;...
   }
   

   集中记录多云接入链路，方便安全团队关联云端事件。

2. 云平台分流

   stream {map $proxy_protocol_tlv_aws_vpce_id $upstream {default             backend-default:9000;~^vpce-aws-prod-    aws-prod-backend:9000;}server {listen 9000 proxy_protocol;proxy_pass $upstream;}
   }
   

   通过 map 将 AWS PrivateLink 不同 Endpoint 转发至对应集群。

3. 动态下游切换
   结合 keyval，将 $proxy_protocol_tlv_azure_pel_id 与后端列表在线关联，无需 reload 即可拓扑变更。

5、注意事项

• PROXY Protocol 版本：仅支持 v2（TLV 扩展）；v1（纯文本）不包含 TLV。
• TLV 长度限制：云平台 TLV 值长度各异，Nginx 会原样返回，不进行截断。
• 安全隔离：务必搭配 proxy_protocol 校验和其他 ACL，避免恶意伪造 TLV。
• 性能影响：解析仅在握手阶段完成，典型开销 < 200 µs，不影响高并发吞吐。

6、总结

ngx_stream_proxy_protocol_vendor_module 让 Nginx Stream 层具备「看懂云厂商私有链路标识」的能力，为多云场景下的 安全审计、链路分流、故障诊断 提供了轻量级、零侵入的解决方案。无需外部脚本或下层网络设备配合，只要上游输出标准 PROXY v2 TLV，即可在 Nginx 中轻松引用、记录或基于其做自定义转发。