【架构认知】关于提供无状态的网关入口的必要性

已于 2022-07-25 11:13:16 修改
阅读量903 收藏
点赞数
文章标签: 架构 服务器 linux
于 2022-07-25 11:07:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fwhezfwhez/article/details/125968787
版权
本文讨论了因网络攻击导致的大量非法连接问题,提出原架构中CVM直接暴露在公网的风险,并介绍了如何通过将服务入口迁移到LB,实现无状态网关和负载均衡,以应对攻击并降低业务波动。关键改进在于将变更成本降到最低,确保业务稳定性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

之所以专门针对网关入口的必要性来聊,是因为线上出现了,【因为网络攻击,大量面向80端口的连接被创建,在网络攻击故障期间,报出了 too many open file的问题,也就是连接数瓶颈问题】。连接数的增加,体现在【非法客户端到宿主机的nginx的连接】【nginx到业务服务的proxy-pass连接】

这个问题反映出,【业务机器,应该完全绝缘公网,哪怕只开放独立端口,也能被迫建立非法的连接数,导致业务波动】。

架构方式调整

应用上线时,原架构流程为:
![在这里插入图片描述](https://img-blog.csdnimg.cn/4a407c5a0836495883a20b4673fbbee0.png在这里插入图片描述

该类架构,在cvm1的80端口被攻击时,cvm1上的服务,可能出现不稳定的情况。

修改后的架构为
在这里插入图片描述

架构调整后,业务cvm端口一律关闭,也就断掉了业务服务器直连的风险。

将服务的对外入口开关,放在lb上。也就是,目前lb可能被攻击。

当lb被攻击时,通过lb的预警,决策是否下掉一个lb,使用备选lb。

最终,从【cvm】变更,调整为【lb】变更。很显然lb的变更成本是最低的,因为他是无状态。而cvm上可能存在很多有状态的服务。

lb在apisrv服务中,就起到了无状态的网关入口能力,特性为:

  • 无状态,可以任性切换备选节点。
  • 作为应用集群的对外窗口, lb开放公网访问,lb对业务机器,通过内部访问。
fwhezfwhez
关注
API 网关的详细使用
AI天才研究院
11-06 726
《API 网关的详细使用》 关键词: API网关、微服务、路由、负载均衡、服务熔断、性能优化、高可用性、监控与运维 摘要: 本文将深入探讨API网关的概念、核心功能、技术架构、开发与性能优化,并通过项目实践案例,详细解析API网关
电商平台架构设计与部署——微服务架构
AI天才研究院
10-02 3160
随着互联网公司产品的不断升级、用户数量的激增、高并发量的出现以及对运营成本的关注,电商平台逐渐成为最具代表性的互联网业务之一。电商平台产品的规模也越来越庞大,对于稳定高效地支撑起百万级甚至千万级日益增长的用户规模,依靠传统单体应用架构就显得力不从心了。因此,基于微服务架构设计模式的电商平台架构改造具有非常重要的意义。其优点主要包括:降低开发复杂度在一个系统中实现多个功能模块的架构拆分,可以将复杂度进一步降低。
如何为服务选择入口网关
weixin_39970002的博客
10-18 601
如何为服务选择入口网关摘要内部服务间的通信Cluster IPIstio Sidecar Proxy如何从外部网络访问NodePortLoadBalancerIngress采用Ingress, NodePortal和LoadBalancer提供外部流量入口的实现原理如何为服务网格选择入口网关?Istio Gateway应用对API Gateway的需求采用API Gateway + Sidecar Proxy作为服务网格的流量入口 摘要 Kubernetes和Istio提供了NodePort,LoadBal
网关中有无状态是决定性的
ipbaobao的专栏
04-30 1315
 广义的讲,网关在各种网络中都存在,在各层都存在。从物理层的放大器和中继器,到二层的桥接技术,到三层的路由器,到四层的TCP/HTTP代理,到SIP代理,ALG,以及说不清楚层的NAT,防火墙,DPI等,无所不在。 近日,在ipbaobao忽悠做IPv6化的物联网时,即把IPv6延伸到物联网的感知延伸层,对于网关问题出现了激烈的争论。 支持着认为IPv6延伸到物联网,好处多多
网关:Gateway是通往异世界的入口
weixin_42121713的博客
05-30 889
网关解释一 探索队员:网关(gateway)有各种不同的种类呢。 探索队长:是啊。 队员:话说,gateway这个词到底是什么意思啊? 队长:在问别人之前呢…… 队员:我知道,我现在就查字典。唔,字典上说是墙上的像门一样的入口。 队长:没错,入口的里面是什么呢? 队员:里面?是什么呢?天堂? 队长:天堂……怎么说呢,不算对也不算错吧,总之,入口的里面是和外面不一样的世界。 队员:噢…… 队长:通往异世界的入口就是gateway啦。 队员:怎么感觉像问禅一样的…… 队长:哪有。要不我.
Restful无状态请求和网关
入门菜鸟程序员的成长
01-09 487
疑问:为何java集群服务中,网关的存在很有必要?我在后台系统中使用权限等不也可以实现效果吗? 可以这样做,但是这样做非常不推荐! 1.违反RestFul 无状态的特点 简单的来说,无状态是指服务器不需要保存任何数据,所有相关数据均交给客户端存储,http请求每次携带上数据就行。 如果每种后台服务集群 都需要加上对请求的解析,然后进行权限判断,势必会影响业务逻辑和代码冗余,所以将此功...
【SpringCloud微服务全家桶学习笔记-GateWay网关(微服务入口)】
weixin_52762273的博客
03-11 1197
API网关为微服务架构中的服务提供了统一的访问入口,客户端通过API网关访问相关服务。API网关的定义类似于设计模式中的门面模式,它相当于整个微服务架构中的门面,所有客户端的访问都通过它来进行路由及过滤。它实现了请求路由、负载均衡、校验过滤、服务容错、服务聚合等功能。
云原生架构:构建可扩展的云端应用程序
最新发布
AI天才研究院
12-05 629
云原生架构:构建可扩展的云端应用程序 关键词:云原生、容器技术、微服务架构、Kubernetes、服务网格、云原生安全、监控与运维、行业应用、边缘计算 摘要: 本文将深入探讨云原生架构的概
架构设计(8)—高可用架构设计(业务与系统稳定性)
黄规速博客:学如逆水行舟,不进则退
01-14 1万+
高可用架构设计总结: 前言:海恩法则和墨菲定律 海恩法则 · 事故的发生是量的积累的结果。 · 再好的技术、再完美的规章 , 在实际操作层面也无法取代人自身的素质和责任心 。 墨菲定律 · 任何事情都没有表面看起来那么简单 。 · 所有事情的发展都会比你预计的时间长 。 · 会出错的事总会出错。 · 如果你担心某种情况发生,那么它更有可能发生 。 警示我们,在互联网公司里,对生...
Knox原理与代码实例讲解
AI天才研究院
06-05 837
Knox原理与代码实例讲解 1.背景介绍 在现代分布式系统中,安全性和隔离性是非常重要的需求。Apache Knox是一个反向代理服务器,旨在为Apache Hadoop集群提供单一入口点,增强安全性和集中化管理。它位于Hadoop集群与客户端应用程序之间,充当网关和负载均衡器的角色。
服务网格入口网关的解决方案
学无止境
10-18 476
采用API Gateway + Sidecar Proxy作为服务网格的流量入口 在目前难以找到一个同时具备API Gateway和Isito Ingress能力的网关的情况下,一个可行的方案是使用API Gateway和Sidecar Proxy一起为服务网格提供外部流量入口。 由于API Gateway已经具备七层网关的功能,Mesh Ingress中的Sidecar只需要提供VirtualS...
乐优购物学习笔记(13)
魔法革1996
04-09 190
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行
aws python 无状态_无状态服务(stateless service)
weixin_39885690的博客
12-04 355
一、定义无状态服务(stateless service)对单次请求的处理,不依赖其他请求,也就是说,处理一次请求所需的全部信息,要么都包含在这个请求里,要么可以从外部获取到(比如说数据库),服务器本身不存储任何信息有状态服务(stateful service)则相反,它会在自身保存一些数据,先后的请求是有关联的二、优劣有状态服务常常用于实现事务(并不是唯一办法,下文有另外的方案)。举一个常见的例子...
无状态服务 VS 有状态服务
热门推荐
mysee1989的专栏
05-12 1万+
服务器程序来说,究竟是有状态服务,还是无状态服务,其判断依旧是指两个来自相同发起者的请求在服务器端是否具备上下文关系。如果是状态化请求,那么服务器端一般都要保存请求的相关信息,每个请求可以默认地使用以前的请求信息。而对于无状态请求,服务器端所能够处理的过程必须全部来自于请求所携带的信息,以及其他服务器端自身所保存的、并且可以被所有请求所使用的公共信息。         无状态服务器程序,最著
Java实现系统统一对外开放网关入口设计
weixin_30872867的博客
03-24 2564
背景 互联网公司随着业务的发展,系统间或多或少会开放一些对外接口,这些接口都会以API的形式提供给外部。为了方便统一管理,统一鉴权,统一签名认证机制,流量预警等引入了统一网关。API网关是一是对外接口唯一入口。 开放接口的安全性 对外开放的接口,如何保证安全通信,防止数据被恶意篡改等攻击呢?怎么证明是你发的请 求呢? 比较流行的方式一搬是 加密 ...
统一网关Gateway快速入门
这个人很懒什么都没有留下
09-14 658
为了不让任何人都能访问我们的微服务,对用户的身份进行一个验证,如果是内部人员才允许访问,如果不是就拦截禁止访问。一切请求都得通过网关在进入到微服务中。
Istio 入口网关 (Ingress Gateway)
叶康铭的博客
10-06 6994
入口网关(Ingress Gateway)是 Istio 重要的资源对象之一,是用于管理网格边缘入站的流量,通过入口网关就可以很轻松的将网格内部的服务暴露到外部提供访问。 通过例子来理解 apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: nginx-gw spec: selector: app: istio-ingressgateway servers: - port: n.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值