MSE微服务引擎 存在这些问题,但我们的网关限流主要是用来防止外部流量的攻击。?
MSE微服务引擎 存在这些问题,但我们的网关限流主要是用来防止外部流量的攻击。
1、比如可以用热点参数来配置ClientIP QPS阈值,也可以配置header中token参数QPS阈值,以此来达到单IP和单用户对某一个接口每天或者每小时请求数的限制
2、还有一个好处对于预算有限的公司,可以只考虑在网关接入AHAS或者MSE就能达到上述的效果.我们的业务没有秒杀或者流量突增的场景,基本不需要对接口的QPS和并发进行限制,即使要限制,也会配置一个比较宽泛的值,用来防止DDOS攻击
写回答
-
了解,流量防护功能的整体设计都是围绕整体系统的稳定性的哈,从稳定性相关的场景出发我们推荐了分层配置的漏斗模型。
对于防护外部流量攻击的需求,建议网关侧配置路由级别的热点参数,应用侧配置接口级别的热点参数,层层防护来起到较好的效果(仅在网关配置也会有一些问题,例如外部流量可以通过对多个接口的访问来攻击一个应用)
对于某一个接口每天或者每小时请求数限制这类业务相关的需求推荐使用网关插件或是编码的方式来实现。
另外对于DDOS攻击,流量防护拒绝流量的位置决定了它是不能起到较好的效果的,推荐使用WAF的能力来防护,此回答整理自钉群“MSE微服务引擎用户交流群(二群,答疑查看群公告底部指引)”2023-11-30 21:32:59赞同 展开评论 打赏 -
面对过去,不要迷离;面对未来,不必彷徨;活在今天,你只要把自己完全展示给别人看。你的用例中,主要是希望通过限流来防止外部流量的攻击,特别是针对单IP和单用户对某一个接口每天或每小时请求数的限制。此外,你提到你们公司预算有限,并且没有秒杀或流量突增的场景,所以需要一种成本效益高的解决方案。
在这种情况下,你可以考虑以下几种方法:
- 使用MSE微服务引擎的WAF功能:虽然WAF主要关注安全性问题,但是一些高级的WAF可以提供一些基础的流量管理功能,比如基于IP地址的访问频率控制。这可以帮助你在一定程度上实现对外部流量的控制。
- 自定义路由级别的限流策略:如果你发现现有的网关级别限流不满足你的需求,你可能需要通过编写自定义代码或者配置来实现更复杂的限流逻辑。例如,你可以根据请求头中的特定参数(如token)来计算QPS阈值,然后在路由级别进行限流。
- 利用开源项目:对于预算有限的情况,你可以考虑使用开源项目来解决这个问题。例如,Sentinel是一个非常流行的Java领域的轻量级流量控制组件,它提供了丰富的流量控制和熔断降级功能。尽管AHAS已经迁移至MSE,但是Sentinel仍然可以作为一个独立的项目使用,并且社区活跃,文档齐全,易于集成到你的应用中。
- 联系技术支持:如果以上方法不能满足你的需求,你可以直接联系阿里云的技术支持团队寻求帮助。他们能够提供更具体的指导和解决方案。
2023-11-30 13:34:01赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
