Kongプラグインのレート制限

クズども · 掲載地 2019/02/15 14:54:45

Kongゲートウェイのレート制限プラグイン。

年、月、日、時、分、秒に基づいて現在の制限ルールを設定し、複数の制限が同時に適用されます。

例えば、1日に10回以上、1分に3回までです。

1分間に3回以上の訪問がある場合は、4回目のエラーが報告されます。

1日に訪問回数が10回を超えると、11回目にエラーが報告されます。

シナリオ:APIインターフェースを1分間に3回しかリクエストできない単一のIPに制限する必要があります。プラグインを有効にすると、通常はIP経由でKongゲートウェイにアクセスするのに問題はありませんが、Kongの上層にはnginxがロードされているため、kongで取得したIPは常にnginxマシンのプライベートIPとなります。つまり、すべてのIPは1分間に3回しかAPIインターフェースにアクセスできず、1つのIPが1分間に3回もインターフェースにアクセスすることはありません。

下図に示すように、インターフェースが1分間に3回リクエストされている限り、すべての訪問者は拒否されます。

リクエストと対応情報を記録するhttp-logプラグインをインストールし、デバッグできるようにしました。

Kongがclient_ip住所を正常に取得できていないため、どうすればこの問題を解決できますか?

解決

Kongの設定ファイルを修正し、

/etc/kong/kong.conf文件，增加trusted_ips = 0.0.0.0/0,::/0

real_ip_header = X-転送-For(転送-フォー)

最後ですリスタート・コング、コマンド:コング再起動

trusted_ips

正しいX-Forwarded-*ヘッダーを送信することが既知の信頼できるIPアドレスのブロックを定義します。信頼されたIPからの要求により、KongはヘッダーをX-Forwarded-*に転送します。信頼できないリクエストは、Kong に独自の X-Forwarded-* ヘッダーを挿入させます。

この性質はset_real_ip_fromNginx構成における指令も設定します。同じタイプの値(CIDRブロック)を受け付けますが、カンマ区切られたリストも受け入れます。

すべてを信頼する /! \IPを0.0.0.0/0,::/0に設定してください。

unix: が特別な値を指定している場合、すべてのUNIXドメインソケットは信頼されます。

参考文献:https://docs.konghq.com/0.14.x/configuration/#trusted_ips

修正が完了すると、Kongは以下の図のようにクライアントのIPアドレスを正しく取得できます。

(終わり)

Kongプラグインのレート制限

関連記事