保护 API

描述

本文将为你介绍使用限流限速和安全插件保护你的 API。

概念介绍

插件

Plugin 也称之为插件,它是扩展 APISIX 应用层能力的关键机制,也是在使用 APISIX 时最常用的资源对象。插件主要是在 HTTP 请求或响应生命周期期间执行的、针对请求的个性化策略。插件可以与路由、服务或消费者绑定。

保护 API - 图1注意

如果 路由服务插件配置 或消费者都绑定了相同的插件,则只有一份插件配置会生效,插件配置的优先级由高到低顺序是:消费者 > 路由 > 插件配置 > 服务。同时在插件执行过程中也会涉及 6 个阶段,分别是 rewriteaccessbefore_proxyheader_filterbody_filterlog

前提条件

在进行该教程前,请确保你已经公开服务

保护 API

在很多时候,我们的 API 并不是处于一个非常安全的状态,它随时会收到不正常的访问,一旦访问流量突增,可能就会导致你的 API 发生故障,产生不必要的损失。因此你可以通过速率限制保护你的 API 服务,限制非正常的访问请求,保障 API 服务的稳定运行。对此,我们可以使用如下方式进行:

  1. 限制请求速率;
  2. 限制单位时间内的请求数;
  3. 延迟请求;
  4. 拒绝客户端请求;
  5. 限制响应数据的速率。

为了实现上述功能,APISIX 提供了多个限流限速的插件,包括 limit-connlimit-countlimit-req

  • limit-conn 插件主要用于限制客户端对服务的并发请求数。
  • limit-req 插件使用漏桶算法限制对用户服务的请求速率。
  • limit-count 插件主要用于在指定的时间范围内,限制每个客户端总请求个数。

接下来,我们将以 limit-count 插件为例,为你介绍如何通过限流限速插件保护你的 API。

  1. 创建路由。
保护 API - 图2note

您可以这样从 config.yaml 中获取 admin_key 并存入环境变量:

  1. admin_key=$(yq '.deployment.admin.admin_key[0].key' conf/config.yaml | sed 's/"//g')
  1. curl -i http://127.0.0.1:9180/apisix/admin/routes/1 \
  2. -H "X-API-KEY: $admin_key" -X PUT -d '
  3. {
  4. "uri": "/index.html",
  5. "plugins": {
  6. "limit-count": {
  7. "count": 2,
  8. "time_window": 60,
  9. "rejected_code": 503,
  10. "key_type": "var",
  11. "key": "remote_addr"
  12. }
  13. },
  14. "upstream_id": "1"
  15. }'

以上配置中,使用了公开服务中创建的上游创建了一个 ID 为 1 的路由, ,并且启用了 limit-count 插件。该插件仅允许客户端在 60 秒内,访问上游服务 2 次,超过两次,则会返回 503 错误码。

  1. 测试插件。
  1. curl http://127.0.0.1:9080/index.html

使用上述命令连续访问三次后,则会出现如下错误。

  1. <html>
  2. <head><title>503 Service Temporarily Unavailable</title></head>
  3. <body>
  4. <center><h1>503 Service Temporarily Unavailable</h1></center>
  5. <hr><center>openresty</center>
  6. </body>
  7. </html>

返回上述结果,则表示 limit-count 插件已经配置成功。

流量控制插件

APISIX 除了提供限流限速的插件外,还提供了很多其他的关于 traffic 插件来满足实际场景的需求:

  • proxy-cache:该插件提供缓存后端响应数据的能力,它可以和其他插件一起使用。该插件支持基于磁盘和内存的缓存。
  • request-validation:该插件用于提前验证向上游服务转发的请求。
  • proxy-mirror:该插件提供了镜像客户端请求的能力。流量镜像是将线上真实流量拷贝到镜像服务中,以便在不影响线上服务的情况下,对线上流量或请求内容进行具体的分析。
  • api-breaker:该插件实现了 API 熔断功能,从而帮助我们保护上游业务服务。
  • traffic-split:该插件使用户可以逐步引导各个上游之间的流量百分比。,你可以使用该插件实现蓝绿发布,灰度发布。
  • request-id:该插件通过 APISIX 为每一个请求代理添加 unique ID 用于追踪 API 请求。
  • proxy-control:该插件能够动态地控制 NGINX 代理的相关行为。
  • client-control:该插件能够通过设置客户端请求体大小的上限来动态地控制 NGINX 处理客户端的请求。

更多操作

你可以参考监控 API 文档,对 APISIX 进行监控,日志采集,链路追踪等。