OpenResty Edge の試用を申請する

本日は、OpenResty Edge のもう一つの機能をご紹介します:カスタムキーを使用したリクエストレート制限です。

嵌入图片

クライアントが非常に速いペースでリクエストを送信することがあります。例えば、サービス拒否攻撃の場合などです。このような状況では、ゲートウェイサーバーとオリジンサーバーを保護するために、リクエストレートを制限する必要があります。そうしないと、サーバーが過負荷になる可能性があります。

アプリケーションにリクエストレート制限のページルールを追加する

OpenResty Edge の管理者用 Web コンソールにアクセスしましょう。これは私たちのコンソールのサンプルデプロイメントです。各ユーザーは独自のローカルデプロイメントを持っています。

スクリーンショット

以前の例で使用した test-edge.com アプリケーションを引き続き使用できます。

スクリーンショット

そのアプリケーションに入ります。

スクリーンショット

すでにページルールが 1 つ定義されています。

屏幕截图

このページルールは、事前に定義されたアップストリームにリクエストを転送するリバースプロキシを設定しています。現時点ではリクエストレートの制限はありません。

スクリーンショット

では、既存のページルールを編集して、レート制限を追加しましょう。

スクリーンショット

新しいアクションを追加します。

スクリーンショット

ここで追加したいアクションを検索できます。

スクリーンショット

「Limit request rate」を検索します。

スクリーンショット

このアクションを選択します。

スクリーンショット

まず、レート制限のキーを指定する必要があります。

屏幕截图

クライアントの IP アドレス、URI、URI パラメータ、cookie など、さまざまなキータイプが選択可能です。

ここでは、デフォルトのキータイプであるクライアント IP アドレスを選択します。これは、個々のクライアント IP アドレスごとに制限を適用することを意味します。

屏幕截图

「Shape at」レートはソフトリミットです。クライアントがこのレートよりも速くリクエストを送信しようとすると、ゲートウェイサーバーはこれらの過剰なリクエストを遅延させてこのレートに合わせます。したがって、クライアントがリクエストを送信する速度が速いほど、ゲートウェイはリクエストにより長い遅延を追加します。

スクリーンショット

ここでは、毎秒 50 リクエストのレートを指定します。

スクリーンショット

キーをクライアント IP アドレスとして指定したため、制限は個々のクライアント IP アドレスごとに適用されます。

「Reject at」レートはハードリミットです。クライアントがこのハードリミットを超える速度でリクエストを送信する場合、待機せずに即座にブロックするなど、より積極的なアクションを取ることができます。

スクリーンショット

ここでは、毎秒 100 リクエストのレートを指定します。

スクリーンショット

次に、異なるブロックアクションを選択できます。

屏幕截图

例えば、現在の接続を即座に閉じる、エラーページを返す、またはボットを防ぐためのキャプチャページを返すなどです。

デフォルトの「エラーページ」アクションは、HTTP を介してエラーページを返します。

屏幕截图

ここではデフォルトの HTTP ステータスコード 503 を使用します。これはサービス利用不可を示します。

スクリーンショット

変更を保存します。

屏幕截图

いつものように、この新しい変更をプッシュするにはリリースする必要があります。

スクリーンショット

このボタンをクリックします。

スクリーンショット

リリースします!

屏幕截图

変更がすべてのゲートウェイサーバーに同期されました。

スクリーンショット

これで、新しいページルールがすべてのゲートウェイクラスターとサーバーにプッシュされました。

私たちの設定変更には、サーバーのリロード、再起動、またはバイナリアップグレードは必要ありません。そのため、非常に効率的でスケーラブルです。

嵌入图片

OpenResty Edge ですべてのアプリケーションを管理する

テスト

次に、新しいレート制限の効果を検証します。

ターミナル上で、wrk というオープンソースツールを使用して、非常に高速に大量のリクエストを送信できます。

wrk -c 50 -d 1s http://test-edge.com/

ここでは、まず並行レベル 50 を使用します。-c オプションに注目してください。

スクリーンショット

このコマンドを実行すると、実際のリクエストレートは約毎秒 50 リクエストになります。

スクリーンショット

次に、並行レベルを上げて、wrk がより速くリクエストを送信するようにします。

並行レベル 128 に注目してください。

屏幕截图 5

実行します!多くの拒否されたリクエストにエラー応答があることに注意してください。

スクリーンショット 7

今回のリクエストレートが高いのは、サーバーが過剰なリクエストを非常に速く拒否しているためです。

截图 8

SSL ハンドシェイクのレート制限

リクエストレートの制限に加えて、OpenResty Edge は HTTPS リクエストの SSL または TLS ハンドシェイクのレートも制限できます。

屏幕截图

このページでは、SSL ハンドシェイクのレート制限を設定できます。

スクリーンショット

スイッチをオンにして、設定パラメータを見てみましょう。

屏幕截图

これらのパラメータは、リクエストレート制限機能と同じです。

屏幕截图

OpenResty Edge について

OpenResty Edge は、マイクロサービスと分散トラフィックアーキテクチャ向けに設計された多機能ゲートウェイソフトウェアで、当社が独自に開発しました。トラフィック管理、プライベート CDN 構築、API ゲートウェイ、セキュリティ保護などの機能を統合し、現代のアプリケーションの構築、管理、保護を容易にします。OpenResty Edge は業界をリードする性能と拡張性を持ち、高並発・高負荷シナリオの厳しい要求を満たすことができます。K8s などのコンテナアプリケーショントラフィックのスケジューリングをサポートし、大量のドメイン名を管理できるため、大規模ウェブサイトや複雑なアプリケーションのニーズを容易に満たすことができます。

OpenResty Edge の試用を申請する

著者について

章亦春(Zhang Yichun)は、オープンソースの OpenResty® プロジェクトの創始者であり、OpenResty Inc. の CEO および創業者です。

章亦春(GitHub ID: agentzh)は中国江蘇省生まれで、現在は米国ベイエリアに在住しております。彼は中国における初期のオープンソース技術と文化の提唱者およびリーダーの一人であり、Cloudflare、Yahoo!、Alibaba など、国際的に有名なハイテク企業に勤務した経験があります。「エッジコンピューティング」、「動的トレーシング」、「機械プログラミング」 の先駆者であり、22 年以上のプログラミング経験と 16 年以上のオープンソース経験を持っております。世界中で 4000 万以上のドメイン名を持つユーザーを抱えるオープンソースプロジェクトのリーダーとして、彼は OpenResty® オープンソースプロジェクトをベースに、米国シリコンバレーの中心部にハイテク企業 OpenResty Inc. を設立いたしました。同社の主力製品である OpenResty XRay動的トレーシング技術を利用した非侵襲的な障害分析および排除ツール)と OpenResty Edge(マイクロサービスおよび分散トラフィックに最適化された多機能ゲートウェイソフトウェア)は、世界中の多くの上場企業および大企業から高い評価を得ております。OpenResty 以外にも、章亦春は Linux カーネル、Nginx、LuaJITGDBSystemTapLLVM、Perl など、複数のオープンソースプロジェクトに累計 100 万行以上のコードを寄与し、60 以上のオープンソースソフトウェアライブラリを執筆しております。

翻訳

英文版の原文と日本語訳版(本文)をご用意しております。読者の皆様による他の言語への翻訳版も歓迎いたします。全文翻訳で省略がなければ、採用を検討させていただきます。心より感謝申し上げます!