全部產品
Search
文件中心

Alibaba Cloud Service Mesh:為入口網關配置全域限流

更新時間:Jun 30, 2024

在面臨高流量衝擊、服務過載、資源耗盡或惡意攻擊的情況下,通過對入口網關的特定路由配置全域限流,可以實現對流量的精準控制,從而保護後端服務的穩定性,降低成本並提升使用者體驗。

前提條件

  • 已添加Kubernetes託管版叢集到ASM執行個體,且ASM執行個體為1.18.0.131及以上。具體操作,請參見添加叢集到ASM執行個體

  • 已為Kubernetes叢集中的default命名空間開啟自動注入。具體操作,請參見啟用自動注入

  • 已建立名為ingressgateway的入口網關,並開啟80連接埠。具體操作,請參見建立入口網關

準備工作

一、部署限流服務

  1. 使用以下內容,建立ratelimit-svc.yaml。

    展開查看ratelimit-svc.yaml

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: redis
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: redis
      labels:
        app: redis
    spec:
      ports:
      - name: redis
        port: 6379
      selector:
        app: redis
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: redis
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: redis
      template:
       metadata:
          labels:
            app: redis
            sidecar.istio.io/inject: "false"
       spec:
          containers:
          - image: redis:alpine
            imagePullPolicy: Always
            name: redis
            ports:
            - name: redis
              containerPort: 6379
          restartPolicy: Always
          serviceAccountName: redis
    ---
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: ratelimit-config
    data:
      config.yaml: |
        {}
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: ratelimit
      labels:
        app: ratelimit
    spec:
      ports:
      - name: http-port
        port: 8080
        targetPort: 8080
        protocol: TCP
      - name: grpc-port
        port: 8081
        targetPort: 8081
        protocol: TCP
      - name: http-debug
        port: 6070
        targetPort: 6070
        protocol: TCP
      selector:
        app: ratelimit
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: ratelimit
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: ratelimit
      strategy:
        type: Recreate
      template:
        metadata:
          labels:
            app: ratelimit
            sidecar.istio.io/inject: "false"
        spec:
          containers:
            # Latest image from https://hub.docker.com/r/envoyproxy/ratelimit/tags
          - image: envoyproxy/ratelimit:e059638d 
            imagePullPolicy: Always
            name: ratelimit
            command: ["/bin/ratelimit"]
            env:
            - name: LOG_LEVEL
              value: debug
            - name: REDIS_SOCKET_TYPE
              value: tcp
            - name: REDIS_URL
              value: redis.default.svc.cluster.local:6379
            - name: USE_STATSD
              value: "false"
            - name: RUNTIME_ROOT
              value: /data
            - name: RUNTIME_SUBDIRECTORY
              value: ratelimit
            - name: RUNTIME_WATCH_ROOT
              value: "false"
            - name: RUNTIME_IGNOREDOTFILES
              value: "true"
            ports:
            - containerPort: 8080
            - containerPort: 8081
            - containerPort: 6070
            volumeMounts:
            - name: config-volume
              # $RUNTIME_ROOT/$RUNTIME_SUBDIRECTORY/$RUNTIME_APPDIRECTORY/config.yaml
              mountPath: /data/ratelimit/config
          volumes:
          - name: config-volume
            configMap:
              name: ratelimit-config
  2. 在ACK叢集對應的KubeConfig環境下,執行以下命令,在叢集中建立限流服務和限流服務依賴的Redis服務。

    關於如何通過kubectl串連叢集,請參考擷取叢集KubeConfig並通過kubectl工具串連叢集

    kubectl apply -f ratelimit-svc.yaml

二、部署bookinfo樣本應用

  1. Github的Istio專案庫中下載bookinfo應用的YAML檔案bookinfo.yaml。

  2. 在ACK叢集對應的KubeConfig環境下,執行以下命令,將bookinfo應用部署到ASM執行個體的叢集中。

    kubectl apply -f bookinfo.yaml
  3. 使用以下內容,建立bookinfo-gateway.yaml。

    展開查看bookinfo-gateway.yaml

    apiVersion: networking.istio.io/v1beta1
    kind: Gateway
    metadata:
      name: bookinfo-gateway
      namespace: default
    spec:
      selector:
        istio: ingressgateway
      servers:
        - hosts:
            - bf2.example.com
          port:
            name: http
            number: 80
            protocol: http
    ---
    apiVersion: networking.istio.io/v1beta1
    kind: VirtualService
    metadata:
      name: bookinfo
      namespace: default
    spec:
      gateways:
        - bookinfo-gateway
      hosts:
        - bf2.example.com
      http:
        - match:
            - uri:
                exact: /productpage
            - uri:
                prefix: /static
            - uri:
                exact: /login
            - uri:
                exact: /logout
            - uri:
                prefix: /api/v1/products
          name: productpage-route-name1
          route:
            - destination:
                host: productpage
                port:
                  number: 9080
  4. 在ASM執行個體對應的KubeConfig環境下,執行以下命令,建立入口網關ingressgateway對bookinfo應用的路由規則。

    該路由規則的名稱為productpage-route-name1,匹配請求網域名稱bf2.example.com。關於如何通過kubectl串連ASM執行個體,請參考通過控制面kubectl訪問Istio資源

    kubectl apply -f bookinfo-gateway.yaml

情境一:對入口網關的特定路由配置全域限流

bf2.example.com:80這個網域名稱和連接埠組合下的productpage-route-name1路由配置限流規則。productpage-route-name1是準備工作中建立的虛擬服務booinfo中的一條路由項,匹配了請求的/productpage/static/login/logout等路徑並將匹配的請求轉寄到productpage服務。配置限流規則後,發往上述路徑的請求都將收到流量速率的限制。

  1. 使用以下內容,建立global-ratelimit-gw.yaml。

    展開查看global-ratelimit-gw.yaml

    apiVersion: istio.alibabacloud.com/v1beta1
    kind: ASMGlobalRateLimiter
    metadata:
      name: global-test
      namespace: istio-system
    spec:
      workloadSelector:
        labels:
          istio: ingressgateway
      rateLimitService: # 準備工作中部署的限流服務的配置。
        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5
      isGateway: true
      configs:
      - name: productpage
        limit:
          unit: MINUTE
          quota: 1
        match:
          vhost:
            name: bf2.example.com # 該名稱需要和VirtualService下的網域名稱一致。
            port: 80 # 該連接埠號碼需要和ASM網關連接埠匹配。
            route:
              name_match: productpage-route-name1  # 該名稱需要和VirtualService下的路由規則一致。

    部分欄位說明如下。關於欄位的更多資訊,請參見ASMGlobalRateLimiter CRD說明

    欄位

    說明

    workloadSelector

    用於匹配限流生效的工作負載。本樣本全域限流生效於ingressgateway入口網關,設定為istio: ingressgateway

    isGateway

    是否作用於網關。本樣本中設定為true

    rateLimitService

    限流服務的網域名稱、連接埠和連線逾時設定。根據準備工作中部署的限流服務,配置如下:

       host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5

    limit

    需要生效的限流配置參數。其中unit表示限流檢測的時間單位,quota表示單位時間內允許的請求總量。

    本樣本配置unitMINUTEquota1,表示匹配路由上每分鐘只能發送一個請求,超出的請求將被限流。

    vhost

    限流匹配的網域名稱和路由項配置。其中nameport需要分別和應用於網關的虛擬服務中的網域名稱以及入口網關連接埠匹配,route.name_match中填寫的路由名稱需要與虛擬服務中路由項的名稱一致。

  2. 在ASM執行個體對應的KubeConfig環境下,執行以下命令,建立生效於網關上productpage-route-name1路由項的全域限流規則。

    kubectl apply -f global-ratelimit-gw.yaml
  3. 執行以下命令,擷取調諧完成的全域限流規則配置內容。

    kubectl get asmglobalratelimiter global-test -n istio-system -o yaml

    展開查看預期輸出

    apiVersion: istio.alibabacloud.com/v1beta1
    kind: ASMGlobalRateLimiter
    metadata:
      name: global-test
      namespace: istio-system
    spec:
      configs:
      - limit:
          quota: 1
          unit: MINUTE
        match:
          vhost:
            name: bf2.example.com
            port: 80
            route:
              name_match: productpage-route-name1
        name: productpage
      isGateway: true
      rateLimitService:
        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5
      workloadSelector:
        labels:
          app: istio-ingressgateway
    status:
      config.yaml: |
        descriptors:
        - key: generic_key
          rate_limit:
            requests_per_unit: 1
            unit: MINUTE
          value: RateLimit[global-test.istio-system]-Id[597770312]
        domain: ratelimit.default.svc.cluster.local
      message: ok
      status: successful
  4. 將上一步預期輸出的ASMGlobalRateLimiter資源中status欄位的config.yaml內容,粘貼至ratelimit-config.yaml,產生全域限流服務配置。

    ASMGlobalRateLimiter中status欄位下的config.yaml欄位中的字串內容,需原樣粘貼至ConfigMap中data中的同名config.yaml欄位中。

    展開查看ratelimit-config.yaml

    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: ratelimit-config
    data:
      config.yaml: |
        descriptors:
        - key: generic_key
          rate_limit:
            requests_per_unit: 1
            unit: MINUTE
          value: RateLimit[global-test.istio-system]-Id[597770312]
        domain: ratelimit.default.svc.cluster.local
  5. 在ACK叢集對應的KubeConfig環境下,執行以下命令,在叢集中更新全域限流服務配置。

    kubectl apply -f ratelimit-config.yaml
  6. 執行以下命令,連續訪問bookinfo應用兩次。

    請將<ASM網關IP>替換為實際網關IP。關於如何擷取網關IP,請參見擷取入口網關地址

    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v
    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v

    第二次訪問bookinfo應用的預期輸出如下:

    < HTTP/1.1 429 Too Many Requests
    < x-envoy-ratelimited: true
    < x-ratelimit-limit: 1, 1;w=60
    < x-ratelimit-remaining: 0
    < x-ratelimit-reset: 48
    < date: Thu, 26 Oct 2023 04:10:11 GMT
    < server: istio-envoy
    < content-length: 0
    < 
    * Connection #0 to host 116.62.XXX.XXX left intact

    在全域限流配置中,限制1分鐘之內只能有一次訪問bookinfo應用的請求。當連續兩次訪問bookinfo應用時,可以看到第一條請求成功,第二條請求被限流,表明對入口網關的特定路由配置全域限流成功。

情境二:對入口網關的網域名稱和連接埠組合配置全域限流

bf2.example.com:80這個網域名稱和連接埠組合配置全域限流規則。配置限流規則後,發往該網域名稱和連接埠組合的請求都將受到流量速率的限制。

  1. 使用以下內容,建立global-ratelimit-gw.yaml。

    展開查看global-ratelimit-gw.yaml

    apiVersion: istio.alibabacloud.com/v1beta1
    kind: ASMGlobalRateLimiter
    metadata:
      name: global-test
      namespace: istio-system
    spec:
      workloadSelector:
        labels:
          istio: ingressgateway
      rateLimitService: # 準備工作中部署的限流服務的配置。
        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5
      isGateway: true
      configs:
      - name: productpage
        limit:
          unit: MINUTE
          quota: 1
        match:
          vhost:
            name: bf2.example.com # 該名稱需要和VirtualService下的網域名稱一致。
            port: 80 # 該連接埠號碼需要和ASM網關連接埠匹配。

    部分欄位說明如下。關於欄位的更多資訊,請參見ASMGlobalRateLimiter CRD說明

    欄位

    說明

    workloadSelector

    用於匹配限流生效的工作負載。本樣本全域限流生效於ingressgateway入口網關,設定為istio: ingressgateway

    isGateway

    是否作用於網關。本樣本中設定為true

    rateLimitService

    限流服務的網域名稱、連接埠和連線逾時設定。根據準備工作中部署的限流服務,配置如下:

        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5

    limit

    需要生效的限流配置參數。其中unit表示限流檢測的時間單位,quota表示單位時間內允許的請求總量。

    本樣本配置unitMINUTEquota1,表示匹配路由上每分鐘只能發送一個請求,超出的請求將被限流。

    vhost

    限流匹配的網域名稱和路由項配置。其中nameport需要分別和應用於網關的虛擬服務中的網域名稱以及入口網關連接埠匹配。

  2. 在ASM執行個體對應的KubeConfig環境下,執行以下命令,建立生效於網關上productpage-route-name1路由項的全域限流規則。

    kubectl apply -f global-ratelimit-gw.yaml
  3. 執行以下命令,擷取調諧完成的全域限流規則配置內容。

    kubectl get asmglobalratelimiter global-test -n istio-system -o yaml

    展開查看預期輸出

    apiVersion: istio.alibabacloud.com/v1
    kind: ASMGlobalRateLimiter
    metadata:
      name: global-test
      namespace: istio-system
    spec:
      configs:
      - limit:
          quota: 1
          unit: MINUTE
        match:
          vhost:
            name: bf2.example.com
            port: 80
        name: productpage
      isGateway: true
      rateLimitService:
        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5
      workloadSelector:
        labels:
          istio: ingressgateway
    status:
      config.yaml: |
        descriptors:
        - key: generic_key
          rate_limit:
            requests_per_unit: 1
            unit: MINUTE
          value: RateLimit[global-test.istio-system]-Id[2100900480]
        domain: ratelimit.default.svc.cluster.local
      message: ok
      status: successful
  4. 將上一步預期輸出的ASMGlobalRateLimiter資源中status欄位的config.yaml內容,粘貼至ratelimit-config.yaml,產生全域限流服務配置。

    ASMGlobalRateLimiter中status欄位下的config.yaml欄位中的字串內容,需原樣粘貼至ConfigMap中data中的同名config.yaml欄位中。

    展開查看ratelimit-config.yaml

    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: ratelimit-config
    data:
      config.yaml: |
        descriptors:
        - key: generic_key
          rate_limit:
            requests_per_unit: 1
            unit: MINUTE
          value: RateLimit[global-test.istio-system]-Id[2100900480]
        domain: ratelimit.default.svc.cluster.local
  5. 在ACK叢集對應的KubeConfig環境下,執行以下命令,在叢集中更新全域限流服務配置。

    kubectl apply -f ratelimit-config.yaml
  6. 執行以下命令,連續訪問bookinfo應用兩次。

    請將<ASM網關IP>替換為實際網關IP。關於如何擷取網關IP,請參見擷取入口網關地址

    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v
    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v

    第二次訪問bookinfo應用的預期輸出如下:

    < HTTP/1.1 429 Too Many Requests
    < x-envoy-ratelimited: true
    < x-ratelimit-limit: 1, 1;w=60
    < x-ratelimit-remaining: 0
    < x-ratelimit-reset: 48
    < date: Thu, 26 Oct 2023 04:10:11 GMT
    < server: istio-envoy
    < content-length: 0
    < 
    * Connection #0 to host 116.62.XXX.XXX left intact

    在全域限流配置中,對於bf2.example.com:80這一網域名稱連接埠組合,限制1分鐘之內只能有一次請求訪問。當連續兩次訪問該網域名稱連接埠組合時,可以看到第一條請求成功,第二條請求被限流,表明對入口網關網域名稱連接埠組合的全域限流配置成功。

情境三:在入口網關特定虛擬服務路由上,針對包含特定要求標頭和查詢參數的請求配置限流規則

說明

此情境需要ASM執行個體版本為1.19.0及以上。關於升級版本的具體操作,請參見升級ASM執行個體

bf2.example.com:80這個網域名稱和連接埠組合下的productpage-route-name1路由配置限流規則,同時指定限流規則只生效在帶有ratelimit: "true"要求標頭、且請求路徑上帶有查詢參數ratelimit=enabled的請求上,該路由上的其他請求不受限流規則影響。匹配請求的/productpage/static/login/logout等路徑並將匹配的請求轉寄到productpage服務。配置限流規則後,發往上述路徑的請求都將收到流量速率的限制。

  1. 使用以下內容,建立global-ratelimit-gw.yaml。

    展開查看global-ratelimit-gw.yaml

    apiVersion: istio.alibabacloud.com/v1beta1
    kind: ASMGlobalRateLimiter
    metadata:
      name: global-test
      namespace: istio-system
    spec:
      workloadSelector:
        labels:
          app: istio-ingressgateway
      rateLimitService:
        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5
      isGateway: true
      configs:
      - name: productpage
        limit:
          unit: SECOND
          quota: 100000
        match:
          vhost:
            name: bf2.example.com
            port: 80
            route:
              name_match: productpage-route-name1  # 該名稱需要和virtualservice下的route name一致。
        limit_overrides:
        - request_match:
            header_match:
            - name: ratelimit
              exact_match: "true"
            query_match:
            - name: ratelimit
              exact_match: "enabled"
          limit:
            unit: MINUTE
            quota: 1

    部分欄位說明如下。關於欄位的更多資訊,請參見ASMGlobalRateLimiter CRD說明

    欄位

    說明

    workloadSelector

    用於匹配限流生效的工作負載。本樣本全域限流生效於ingressgateway入口網關,設定為istio: ingressgateway

    isGateway

    是否作用於網關。本樣本中設定為true

    rateLimitService

    限流服務的網域名稱、連接埠和連線逾時設定。根據準備工作中部署的限流服務,配置如下:

        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5

    limit

    在虛擬服務路由上生效的限流配置參數。其中unit表示限流檢測的時間單位,quota表示單位時間內允許的請求總量。本樣本配置unitSECONDquota100000,表示匹配路由上每秒允許發送100000個請求。此設定約等於沒有配置限流,只希望滿足指定條件的請求被限流,其餘請求不需要觸發限流。

    vhost

    限流匹配的網域名稱和路由項配置。其中nameport需要分別和應用於網關的虛擬服務中的網域名稱以及入口網關連接埠匹配,route.name_match中填寫的路由名稱需要與虛擬服務中路由項的名稱一致。

    limit_overrides

    限流閾值覆蓋配置。可通過該欄位針對特定的請求指定單獨的限流閾值。在本樣本中:

    • limit_overrides中的request_match欄位被設定為精確匹配含有ratelimit: "true"要求標頭、且請求路徑上帶有查詢參數ratelimit=enabled的請求。

    • limit_overrides中的limit欄位配置unitMINUTEquota1,表示對於滿足request_match指定的條件的請求,每分鐘只允許發送一個。

  2. 在ASM執行個體對應的KubeConfig環境下,執行以下命令,建立生效於網關上productpage-route-name1路由項的全域限流規則。

    kubectl apply -f global-ratelimit-gw.yaml
  3. 執行以下命令,擷取調諧完成的全域限流規則配置內容。

    kubectl get asmglobalratelimiter global-test -n istio-system -o yaml

    展開查看預期輸出

    apiVersion: istio.alibabacloud.com/v1
    kind: ASMGlobalRateLimiter
    metadata:
      name: global-test
      namespace: istio-system
    spec:
      configs:
      - limit:
          quota: 100000
          unit: SECOND
        limit_overrides:
        - limit:
            quota: 1
            unit: MINUTE
          request_match:
            header_match:
            - exact_match: "true"
              name: ratelimit
            query_match:
            - exact_match: enabled
              name: ratelimit
        match:
          vhost:
            name: bf2.example.com
            port: 80
            route:
              name_match: productpage-route-name1
        name: productpage
      isGateway: true
      rateLimitService:
        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5
      workloadSelector:
        labels:
          app: istio-ingressgateway
    status:
      config.yaml: |
        descriptors:
        - descriptors:
          - descriptors:
            - key: query_match
              rate_limit:
                requests_per_unit: 1
                unit: MINUTE
              value: RateLimit[global-test.istio-system]-Id[1102463266]
            key: header_match
            value: RateLimit[global-test.istio-system]-Id[1102463266]
          key: generic_key
          rate_limit:
            requests_per_unit: 100000
            unit: SECOND
          value: RateLimit[global-test.istio-system]-Id[1102463266]
        domain: ratelimit.default.svc.cluster.local
      message: ok
      status: successful
  4. 將上一步預期輸出的ASMGlobalRateLimiter資源中status欄位的config.yaml內容,粘貼至ratelimit-config.yaml,產生全域限流服務配置。

    ASMGlobalRateLimiter中status欄位下的config.yaml欄位中的字串內容,需原樣粘貼至ConfigMap中data中的同名config.yaml欄位中。

    展開查看ratelimit-config.yaml

    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: ratelimit-config
    data:
      config.yaml: |
        descriptors:
        - descriptors:
          - descriptors:
            - key: query_match
              rate_limit:
                requests_per_unit: 1
                unit: MINUTE
              value: RateLimit[global-test.istio-system]-Id[1102463266]
            key: header_match
            value: RateLimit[global-test.istio-system]-Id[1102463266]
          key: generic_key
          rate_limit:
            requests_per_unit: 100000
            unit: SECOND
          value: RateLimit[global-test.istio-system]-Id[1102463266]
        domain: ratelimit.default.svc.cluster.local
  5. 在ACK叢集對應的KubeConfig環境下,執行以下命令,在叢集中更新全域限流服務配置。

    kubectl apply -f ratelimit-config.yaml
  6. 執行以下命令,連續訪問bookinfo應用兩次。

    請將<ASM網關IP>替換為實際網關IP。關於如何擷取網關IP,請參見擷取入口網關地址

    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v
    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v

    第二次訪問bookinfo應用的預期輸出如下:

    < HTTP/1.1 429 Too Many Requests
    < x-envoy-ratelimited: true
    < x-ratelimit-limit: 1, 1;w=60
    < x-ratelimit-remaining: 0
    < x-ratelimit-reset: 48
    < date: Thu, 26 Oct 2023 04:10:11 GMT
    < server: istio-envoy
    < content-length: 0
    < 
    * Connection #0 to host 116.62.XXX.XXX left intact

    在全域限流配置中,限制對於含有ratelimit: "true"要求標頭、且請求路徑上帶有查詢參數ratelimit=enabled的請求,1分鐘之內只能有一次訪問bookinfo應用的請求。當攜帶上述的要求標頭和請求查詢參數連續兩次訪問bookinfo應用時,可以看到第一條請求成功,第二條請求被限流,表明對入口網關的匹配特定請求的全域限流配置成功。

  7. 執行以下命令,請求中不攜帶ratelimit: "true"要求標頭和查詢參數ratelimit=enabled,再次訪問bookinfo應用。

    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v

    可以看到bookinfo應用正常訪問,沒有出現429狀態代碼,說明路由上的其他請求沒有受到全域限流影響。

情境四:在入口網關特定虛擬服務路由上,針對特定用戶端的IP地址進行限流

說明
  • 此情境需要ASM執行個體版本為1.19.0及以上。關於升級版本的具體操作,請參見升級ASM執行個體

  • 要在ASM入口網關上配置針對特定用戶端IP地址進行限流,需要首先保證ASM入口網關的外部流量策略設定為Local。關於建立入口網關的具體操作和配置項說明,請參見建立入口網關

  • 您可以在網關的訪問日誌中,通過downstream_remote_address欄位擷取發往網關的請求的用戶端IP地址。在此樣本中,請根據您需要限流的實際用戶端IP地址進行配置。

bf2.example.com:80這個網域名稱和連接埠組合下的productpage-route-name1虛擬服務路由配置限流規則,同時指定限流規則只生效在來自特定用戶端IP地址的請求上,該路由上的其他請求不受限流規則影響。

  1. 使用以下內容,建立global-ratelimit-gw.yaml。

    展開查看global-ratelimit-gw.yaml

    apiVersion: istio.alibabacloud.com/v1beta1
    kind: ASMGlobalRateLimiter
    metadata:
      name: global-test
      namespace: istio-system
    spec:
      workloadSelector:
        labels:
          app: istio-ingressgateway
      rateLimitService:
        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5
      isGateway: true
      configs:
      - name: productpage
        limit:
          unit: SECOND
          quota: 100000
        match:
          vhost:
            name: bf2.example.com
            port: 80
            route:
              name_match: productpage-route-name1  # 該名稱需要和virtualservice下的route name一致。
        limit_overrides:
        - request_match:
            remote_address:
              address: xxx.xxx.xxx.xxx #用戶端IP地址。
              v4_prefix_mask_len: xx #用戶端IP範圍子網路遮罩。
          limit:
            unit: MINUTE
            quota: 1

    部分欄位說明如下。關於欄位的更多資訊,請參見ASMGlobalRateLimiter CRD說明

    欄位

    說明

    workloadSelector

    用於匹配限流生效的工作負載。本樣本全域限流生效於ingressgateway入口網關,設定為istio: ingressgateway

    isGateway

    是否作用於網關。本樣本中設定為true

    rateLimitService

    限流服務的網域名稱、連接埠和連線逾時設定。根據準備工作中部署的限流服務,配置如下:

        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5

    limit

    在虛擬服務路由上生效的限流配置參數。其中unit表示限流檢測的時間單位,quota表示單位時間內允許的請求總量。

    本樣本配置unitSECONDquota100000,表示匹配路由上每秒允許發送100000個請求。此設定約等於沒有配置限流,只希望滿足指定條件的請求被限流,其餘請求不需要觸發限流。

    vhost

    限流匹配的網域名稱和路由項配置。其中nameport需要分別和應用於網關的虛擬服務中的網域名稱以及入口網關連接埠匹配,route.name_match中填寫的路由名稱需要與虛擬服務中路由項的名稱一致。

    limit_overrides

    限流閾值覆蓋配置。可通過該欄位針對特定的請求指定單獨的限流閾值。在本樣本中:

    • request_match欄位中,通過remote_address.address匹配請求的用戶端源IP,通過remote_addess.v4_prefix_mask_len匹配用戶端源IP的位址範圍子網路遮罩(可選)。

    • limit_overrides欄位中的limit欄位配置unitMINUTEquota1,表示對於滿足request_match指定的條件的請求,每分鐘只允許發送一個。

  2. 在ASM執行個體對應的KubeConfig環境下,執行以下命令,建立生效於網關上productpage-route-name1路由項的全域限流規則。

    kubectl apply -f global-ratelimit-gw.yaml
  3. 執行以下命令,擷取調諧完成的全域限流規則配置內容。

    kubectl get asmglobalratelimiter global-test -n istio-system -o yaml

    展開查看預期輸出

    apiVersion: istio.alibabacloud.com/v1
    kind: ASMGlobalRateLimiter
    metadata:
      name: global-test
      namespace: istio-system
    spec:
      configs:
      - limit:
          quota: 100000
          unit: SECOND
        limit_overrides:
        - limit:
            quota: 1
            unit: MINUTE
          request_match:
            remote_address:
              address: 106.11.XX.XX
              v4_prefix_mask_len: 24
        match:
          vhost:
            name: bf2.example.com
            port: 80
            route:
              name_match: productpage-route-name1
        name: productpage
      isGateway: true
      rateLimitService:
        host: ratelimit.default.svc.cluster.local
        port: 8081
        timeout:
          seconds: 5
      workloadSelector:
        labels:
          app: istio-ingressgateway
    status:
      config.yaml: |
        descriptors:
        - descriptors:
          - key: masked_remote_address
            rate_limit:
              requests_per_unit: 1
              unit: MINUTE
            value: xxxxxx
          key: generic_key
          rate_limit:
            requests_per_unit: 100000
            unit: SECOND
          value: RateLimit[global-test.istio-system]-Id[1102463266]
        domain: ratelimit.default.svc.cluster.local
      message: ok
      status: successful
  4. 將上一步預期輸出的ASMGlobalRateLimiter資源中status欄位的config.yaml內容,粘貼至ratelimit-config.yaml,產生全域限流服務配置。

    ASMGlobalRateLimiter中status欄位下的config.yaml欄位中的字串內容,需原樣粘貼至ConfigMap中data中的同名config.yaml欄位中。

    展開查看ratelimit-config.yaml

    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: ratelimit-config
    data:
      config.yaml: |
        descriptors:
        - descriptors:
          - key: masked_remote_address
            rate_limit:
              requests_per_unit: 1
              unit: MINUTE
            value: xxxxxx
          key: generic_key
          rate_limit:
            requests_per_unit: 100000
            unit: SECOND
          value: RateLimit[global-test.istio-system]-Id[1102463266]
        domain: ratelimit.default.svc.cluster.local
  5. 在ACK叢集對應的KubeConfig環境下,執行以下命令,在叢集中更新全域限流服務配置。

    kubectl apply -f ratelimit-config.yaml
  6. 執行以下命令,連續訪問bookinfo應用兩次。

    請將<ASM網關IP>替換為實際網關IP。關於如何擷取網關IP,請參見擷取入口網關地址

    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v
    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v

    第二次訪問bookinfo應用的預期輸出如下:

    < HTTP/1.1 429 Too Many Requests
    < x-envoy-ratelimited: true
    < x-ratelimit-limit: 1, 1;w=60
    < x-ratelimit-remaining: 0
    < x-ratelimit-reset: 48
    < date: Thu, 26 Oct 2023 04:10:11 GMT
    < server: istio-envoy
    < content-length: 0
    < 
    * Connection #0 to host 116.62.XXX.XXX left intact

    在全域限流配置中,限制來自特定IP地址(或位址範圍)的請求,1分鐘之內只能有一次訪問bookinfo應用的請求。當使用特定IP地址的用戶端訪問網關時,可以看到第一條請求成功,第二條請求被限流,表明對入口網關的全域限流配置成功。

  7. 執行以下命令,使用不同IP地址的用戶端,再次訪問bookinfo應用。

    curl -H 'host: bf2.example.com'  http://<ASM網關IP>/productpage -v

    可以看到bookinfo應用正常訪問,沒有出現429狀態代碼,說明路由上的其他請求沒有受到全域限流影響。

相關文檔