今天我將演示 OpenResty Edge 的另一個功能:透過自定義鍵來限制請求率。

嵌入圖片

有時客戶端傳送請求的速度太快,比如在拒絕服務攻擊下。在這種情況下,我們應該限制請求率,以保護閘道器伺服器和源伺服器。否則,伺服器可能會過載。

為應用新增限制請求率的頁面規則

讓我們進入 OpenResty Edge 的 Admin Web 控制檯。這是我們控制檯的樣本部署。每個使用者都有自己的本地部署。

螢幕截圖

我們可以繼續使用之前的示例應用,test-edge.com。

螢幕截圖

進入該應用程式。

螢幕截圖

我們已經定義了一個頁面規則。

螢幕截圖

這個頁面規則設定了一個反向代理,這個反向代理將請求轉發到一個預先定義的上游,此時並沒有限制請求速率。

螢幕截圖

現在讓我們編輯現有的頁面規則,新增速率限制。

螢幕截圖

新增一個新的動作。

螢幕截圖

你可以在這裡搜尋你想新增的動作。

螢幕截圖

搜尋 “Limit request rate”。

螢幕截圖

選擇這個動作。

螢幕截圖

首先,我們需要指定速率限制的 Key。

螢幕截圖

可以看到有多種 Key 型別可選,比如客戶端的 IP 地址、URI、URI 引數、cookie,以及更多。

現在先選擇預設的 Key 型別,客戶端 IP 地址。意思是針對每個單獨的客戶端 IP 地址進行限制。

螢幕截圖

“Shape at” 速率是一個軟限制。當客戶端試圖傳送比這個速率更快的請求時,閘道器伺服器將延遲這些過度的請求以匹配這個速率。因此,客戶端傳送請求的速度越快,閘道器將為請求新增更長的延遲。

螢幕截圖

這裡我們指定每秒 50 個請求的速率。

螢幕截圖

因為指定了 Key 為客戶端 IP 地址,所以限制將被應用於每個單獨的客戶端 IP 地址。

“Reject at” 速率是一個硬限制。當客戶端傳送請求的速度快到超過這個硬限制時,我們可以採取更積極的行動,比如立即阻止他們,而不用等待。

螢幕截圖

在這裡指定每秒 100 個請求的速率。

螢幕截圖

然後可以選擇不同的攔截動作。

螢幕截圖

比如立即關閉當前連線,返回錯誤頁面,或者返回驗證碼頁面來阻止機器人。

預設的“錯誤頁面”動作,將透過 HTTP 返回一個錯誤頁面。

螢幕截圖

此處使用預設的 HTTP 狀態程式碼,503,表示服務不可用。

螢幕截圖

儲存修改。

螢幕截圖

像往常一樣,我們需要釋出來推送這個新改動。

螢幕截圖

點選這個按鈕。

螢幕截圖

釋出!

螢幕截圖

改動已經同步到所有的閘道器伺服器。

螢幕截圖

現在,新的頁面規則已經被推送到所有的閘道器叢集和伺服器。

我們的配置變化不需要伺服器過載、重啟或二進位制升級。所以它是非常有效和可擴充套件的。

嵌入圖片

測試

接下來,我們將驗證新速率限制的效果。

在終端上,我們可以透過名為 wrk 的開源工具,非常快速地傳送大量的請求。

wrk -c 50 -d 1s http://test-edge.com/

這裡我們首先使用 50 的併發級別,注意 -c 選項。

螢幕截圖

執行該命令,實際請求率約為每秒 50 個請求。

螢幕截圖

然後我們提高併發級別,使 wrk 傳送請求的速度更快。

注意 128 的併發級別。

螢幕截圖 5

執行!請注意,有很多被拒絕的請求都有錯誤的回應。

截圖 7

這次的請求速率很高,只是因為伺服器拒絕那些過度請求的速度非常快。

截圖 8

限制 SSL 握手的速率

除了限制請求速率,OpenResty Edge 還可以限制 HTTPS 請求的 SSL 或 TLS 握手的速率。

螢幕截圖

在這個頁面,我們可以配置限制 SSL 握手的速率。

螢幕截圖

讓我們開啟開關,看看配置引數。

螢幕截圖

這些引數與請求速率限制功能相同。

螢幕截圖

如果你喜歡這個教程,請訂閱這個部落格網站和我們的 YouTube 頻道B 站頻道。謝謝!

關於作者

章亦春是開源 OpenResty® 專案創始人兼 OpenResty Inc. 公司 CEO 和創始人。

章亦春(Github ID: agentzh),生於中國江蘇,現定居美國灣區。他是中國早期開源技術和文化的倡導者和領軍人物,曾供職於多家國際知名的高科技企業,如 Cloudflare、雅虎、阿里巴巴, 是 “邊緣計算“、”動態追蹤 “和 “機器程式設計 “的先驅,擁有超過 22 年的程式設計及 16 年的開源經驗。作為擁有超過 4000 萬全球域名使用者的開源專案的領導者。他基於其 OpenResty® 開源專案打造的高科技企業 OpenResty Inc. 位於美國矽谷中心。其主打的兩個產品 OpenResty XRay(利用動態追蹤技術的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最適合微服務和分散式流量的全能型閘道器軟體),廣受全球眾多上市及大型企業青睞。在 OpenResty 以外,章亦春為多個開源專案貢獻了累計超過百萬行程式碼,其中包括,Linux 核心、Nginx、LuaJITGDBSystemTapLLVM、Perl 等,並編寫過 60 多個開源軟體庫。

關注我們

如果您喜歡本文,歡迎關注我們 OpenResty Inc. 公司的部落格網站 。也歡迎掃碼關注我們的微信公眾號:

我們的微信公眾號

翻譯

我們提供了英文版原文和中譯版(本文) 。我們也歡迎讀者提供其他語言的翻譯版本,只要是全文翻譯不帶省略,我們都將會考慮採用,非常感謝!