负载均衡器上完成客户端IP约束51CTO博客 - 众发娱乐

负载均衡器上完成客户端IP约束51CTO博客

2019年04月04日12时58分38秒 | 作者: 彦昌 | 标签: 约束,客户,衔接 | 浏览: 504

许多供给揭露效劳的网站都会遇到单一客户IP许多拜访导致功用受到影响的问题,这些拜访有或许是***流量,也有或许是来自代理效劳器或许NAT设备后端若干客户的拜访。怎么有用地对这些流量进行约束而不影响正常用户运用,不同类别产品在这方面供给不同程度的防护。现以A10负载均衡产品AX为例介绍怎么完成客户端IP约束。本文说到一切衔接为完好TCP衔接或未敞开SYN-Cookie功用时的半衔接。关于SYN-Flooding的防护,负载均衡设备均有较强防护才能,本文不做评论。也能够针对效劳器和虚拟效劳器进行总衔接数或衔接速率约束,也不在本文评论规模。

首要,某个客户端过渡运用资源体现在以下几个方面:

  • 并发衔接数,同一客户IP翻开许多衔接不封闭,消耗效劳器衔接资源
  • 新建衔接速率,同一客户IP每秒新建衔接数量
  • 并发7层恳求数,同一客户IP并发的恳求数量,并发衔接约束了TCP衔接数量,但一个TCP衔接中能够传送许多个HTTP恳求。
  • 7层恳求速率,相同因为一个TCP衔接中有多个7层恳求,单纯TCP衔接约束或许无法有用防护。盛行的CC***便是运用少量TCP衔接发送许多HTTP恳求的。
  • 带宽运用,作为负载均衡设备,以衔接为根底进行处理是更合理的方法。约束了合理的衔接数量和恳求数量后,带宽也相应得到约束。

负载均衡设备一般有满足的并发衔接数和新建衔接处理功用将这些衔接转发给效劳器,但效劳器往往无法接受这些担负,因而客户端IP约束许多时分是为了防止效劳器过载。而单纯针对效劳器的衔接约束维护又会导致一切客户端受影响。根据客户端IP的约束则能够确保未过量运用的用户不受影响,仅仅***流量和过量运用的用户收到约束。

下面介绍其作业原理,触及部分装备指令,但不做完好装备介绍。

  • AX能够界说叫做Class List的IP列表,最多能够界说255个Class List,每个Class List能够包括800万主机IP地址(/32掩码)和64K个网络子网。Class List能够以文件方法存在。
  • Class List的格局如下:

ipaddr /network-mask [glid num | lid num] [age minutes] [; comment-string]

lid为Limiting ID,是在某个战略下界说的约束规矩编号;

glid为Global Limiting ID,是大局下界说的约束规矩编号;

age能够设定这个条目存在多久后删去,只对主机IP地址适用,可对可疑***IP短时间约束。

例如:

1.1.1.1 /32 lid 1
2.2.2.0 /24 lid 2 ; LID 2 applies to every single IP of this subnet
0.0.0.0 /0 lid 10 ; LID 10 applied to every undefined single IP
3.3.3.3 /32 glid 3 ; Use global LID 3

  • lid或glid下界说对应的约束规矩,可界说单个IP并发衔接数量、每100ms新建衔接数量、并发恳求数、每100ms恳求数量、以及超越约束时的可选动作(转发、reset、确定、日志)

conn-limit num
conn-rate-limit num per num-of-100ms
request-limit num
request-rate-limit num per num-of-100ms

over-limit-action [forward | reset] [lockout minutes] [log minutes]

示例:

AX(config-policy)#class-list lid 1
AX(config-policy-policy lid)#request-rate-limit 50 per 1
AX(config-policy-policy lid)#request-limit 60000
AX(config-policy-policy lid)#over-limit reset logging

  • 约束战略模板内会界说所运用的Class List姓名和对应的lid规矩,例如

AX(config)#slb template policy vp_policy
AX(config-policy)#class-list name vp_list
AX(config-policy)#class-list lid 1
AX(config-policy-policy lid)#request-rate-limit 50 per 1
AX(config-policy-policy lid)#request-limit 60000
AX(config-policy-policy lid)#over-limit reset logging

  • 运用约束战略到VIP或许vport或许大局下,下面比如为运用到vport 80下对HTTP恳求数量进行约束

AX(config)#slb virtual server vs1
AX(config-slb virtual server)#port 80 http
AX(config-slb virtual server-slb virtua...)#template policy vp_policy

在拟定约束规矩时,要考虑代理效劳器和NAT设备后端若干客户运用同一IP的问题,选用的约束值由较大值逐步下调。或许先采纳只log不约束的方法取得IP地址,剖析后再逐个拟定详细约束战略。

 

R.S.

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表众发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章