nginx(ingress)基于用户请求头限速

已于 2024-04-10 17:21:34 修改
阅读量259 收藏
点赞数
文章标签: nginx 运维
于 2023-10-16 20:58:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42891715/article/details/133868992
版权

1. 背景说明

公司每次一搞活动,总是有大量的羊毛客来撸羊毛,后端的java和数据库真是苦不堪言,而且活动开始的时候,正真的用户很难抢到,用户很质疑活动的真实性,投诉也挺多的,确实挺伤脑筋的,都被一些机器人脚本给抢了,12306买票大家应该都懂了.

2.  解决思路(包含过程)

开发修改逻辑限制一些会员的刷单行(此处省略1万字),当然站在运维的角度肯定也是希望这样去做的,但是站在开发的角度,肯定是不希望变的太复杂,这里就不扯这么多,这个本身是说不清楚的,既然是站在运维的角度,我们就从运维的角度出发去思考如何解决问题吧.

曾经尝试的方法

基于URL来进行限速:  缺点好人坏人不分,虽然能限制但是粒度太粗 不是特别合适

基于源IP地址进行限速: 缺点NAT出口的IP很容易被误杀,因为我们的业务是有很多会用到NAT的,再加上羊毛客只要IP够多,也没办法精准封杀, 所以不适用

基于请求头进行限速: 我们的用户登陆以后肯定会有一个token,而且这个token肯定是唯一的,这样即使这个用户更换IP我们的token不变的情况下,就能精准识别到这是一个异常的用户(当然这并不能涵盖所有场景,比方说你们的token一但用户更换IP就会重新登录)

3. 解决办法 

1. nginx的配置

http段新增一个配置:

limit_req_zone $limit zone=one:10m rate=1r/s;  #zone是名字,可以自己定义, rate定义的速率1请求/秒

2. 配置MAP

map $http_x_http_token $limit {

default "";

"~.+" $http_x_http_token;

}

3. ingress的配置

先修改ingress的configmap 增加

http-snippet: |

map $http_x_http_token $limit {

default "";

"~.+" $http_x_http_token;

}

limit_req_zone $limit zone=one:20m rate=1r/s;

增加ingress限速规则(创建单独的location) 在annotations:下增加

nginx.ingress.kubernetes.io/configuration-snippet: |

limit_req zone=one nodelay

Deny大叔
关注
Nginx限流配置
飞龙在天
07-16 766
nginx支持每秒请求数限制,并发数限制和限速
kubernetes负载均衡资源-Ingress
最新发布
weixin_42816196的博客
03-27 1017
Ingress其实就是Kubernetes中的一种资源,它主要是用来定义流量转发规则。但Ingress资源自身并不能实现流量的转发和调度,它仅仅是一组流量路由的规则集合,这些规则要真正发挥作用还需要使用到Ingress控制器,由Ingress控制器读取对应的Ingress规则,然后完成流量的路由或转发。Ingress的底层知识是通过Nginx进行封装。配置规则也是跟Nginx类似Ingress日定义Nginx配置annotations:局部: Server {} 认证;限速;等等。
CC00357.CloudKubernetes——|KuberNetes&运维.V73|——|IngressNginx.v09|速率限制|
yanqi_vip
04-01 396
一、IngressNginx速率限制概述 ### --- 限制单个IP ~~~ 限制单个IP的连接数或者每秒的并发数 ### --- 官网地址: ~~~ https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#whitelist-source-r...
Http Token
转错的弯,走错的路
05-11 783
{   "code" : 0,   "msg" : "成功",   "data" : {     "access_token" : "4afacff4cc699f70e1ff89d7debe6be1b8e242d94f1c18cf675432fec3e2706f",     "expires_in" : 7200   } }
ingress nginx日志时间精确到毫秒
nangonghen的博客
05-18 2299
ingress nginx访问日志的时间精度为毫秒
k8s-ingress个性化配置
huahua1999的博客
04-17 3152
本质上ingress就是一个nginx,而nginx上有很多配置, ingress支持一些个性化定义配置,以下即为将超时信息设置为60秒,关键注解为annotaions https://github.com/kubernetes/ingress-nginx/blob/main/docs/user-guide/nginx-configuration/annotations.md apiVersion: networking.k8s.io/v1 kind: Ingress metadata
阿里云slb 7层代理ingress获取真实客户端ip的方法
噜噜噜的博客
04-02 4093
起因:ingress 设置ip白名单之后,发现白名单里的ip 403拒绝,后续通过追踪ingress的日志发现 真实的ip 是slb的保留ip 也就是上层代理的ip。这样是无法获取到真实用户的ip的。 nginx里的解决方案: 使用X-Forwarded-For的方式获取客户端的真实IP地址。 需要添加的配置字段和信息为: set_real_ip_from IP_address real...
15. 基于Ingress实现k8s七层调度和负载均衡: 使用Nginx作为Ingress控制器
Kubernetes使用负载均衡器来管理流量,以便将请求路由到集群中运行的应用程序的实例。 Kubernetes中的负载均衡可以分为四层负载均衡和七层负载均衡。四层负载均衡是基于IP地址和端口号的负载均衡,而七层负载均衡则...
LVS+Nginx负载均衡限速实战
ecloud_developer的博客
11-08 696
概要:对基于LVS+Nginx的负载均衡进行流量限速,保证对每个客户提供承诺的带宽值。 1 简介 负载均衡的基本功能为根据配置规则进行流量分发,提高整个系统并发度和可靠性。负载均衡整机系统规格是确定的,特别是像带宽这种受限于硬件网卡的规格,当多个客户的负载均衡器在同一负载均衡设备上面运行时会出现资源争抢的问题。为了保证对每个客户提供承诺的带宽值,需要对每个负载均衡器进行流量限速处理。 2 LVS+Nginx负载均衡流量模型 本文中所述负载均衡使用LVS+Nginx实现,LVS完成四层流量转
K8S 生态周报| NGINX Ingress Controller又添新特性
k8s 生态
07-27 311
「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s 生态」 ( https://zhuanlan.zhihu.com/con...
Linux TC Ingress输入方向流量控制
03-11
Linux中的QoS分为入口(Ingress)部分和出口(Egress)部分,入口部分主要用于进行入口流量限速(policing),出口部分主要 用于队列调度(queuing scheduling)。 大多数排队规则(qdisc)都是用于输出方向的,输入方向只有一个排队规则,即ingress qdisc。ingress qdisc本身的功能很有限, 但可用于重定向incoming packets。通过Ingress qdisc把输入方向的数据包重定向到虚拟设备ifb,而ifb的输出方向可以配置 多种qdisc,就可以达到对输入方向的流量做队列调度的目的。
Kubernetes Ingress-nginx高级用法
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
03-20 4190
1、什么是ingress ngress(在kubernetes v1.1时添加)暴露从集群外到集群内服务的HTTP或HTTPS路由。定义在ingress资源上的规则控制流量的路由。 internet | [ Ingress ] --|-----|-- [ Services ] 一个ingress可以配置用于提供外部可访问的服务url、负载均衡流量、SSL终端和提供虚拟主机名配置。ingress controller负责实现(通常使用负载均衡器(loa.
Nginx通过geo模块设置白名单
weixin_34138056的博客
06-25 600
原配置: http {...... limit_conn_zone $binary_remote_addr zone=one:10m; limit_req_zone $binary_remote_addr zone=fifa:10m rate=5r/s; ......server {......limit_conn one 5;limit_req ...
Openvswitch手册(6): QoS
刘超的通俗云计算
11-04 1503
这一节我们看QoS,Qos的设置往往是和flow中的policy一起使用的 Open vSwitch QoS capabilities 1 Interface rate limiting2 Port QoS policy QoS: Interface rate limiting A rate and burst can be assigned to an Interface
Ingress Nginx 常用规则使用
qq_24794401的博客
01-19 3090
前提本文使用 Ingress Nginx Version 0.24.1本文所讲的配置规则,都配置在annotations(局部配置) 中,Ingress Nginx Deploymen...
Nginx进行限速处理
pestd‘s blog
04-02 6787
限速使用 limit_zone, limit_conn 以及 limit_rate 进行配置 首先在 http 段配置一个 limit_zone,然后在需要的地方使用 limit_conn 和 limit_rate 进行限速设置,如下一个简单的例子 http { limit_zone one $binary_remote_addr 10m; server { location /fi
使用ingress qdisc和ifb进行qos
eydwyz的专栏
11-26 1770
The Intermediate Functional Block device is the successor to the IMQ iptables module that was never integrated. Advantage over current IMQ; cleaner in particular in SMP; with a _lot_ less code. Old Du
使用Nginx配置过滤爬虫请求头信息
本文主要介绍了如何使用Nginx来识别并限制特定爬虫对网站的访问,通过配置请求头中的User-Agent字段实现过滤。 在Web开发中,爬虫是一种自动抓取网页信息的程序,它们通常通过模拟浏览器发送HTTP请求来获取数据。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值