orange网关传统集群部署模式
1、在orange.conf的 plugins中加入node,表示开启node插件(容器集群节点管理插件)
1 | "plugins": [ |
2、部署多个orange节点,同时在每个节点的dashboard启用node插件
3、每个节点dashboard,集群管理中先注册节点添加自己,然后添加节点依次加入其它节点,需要输入其他节点的 ip 端口(7777) 用户名 和 密码
4、A节点的dashboard修改完配置, 在其他节点的dashboard上点击同步配置进行同步
orange多节点主要是同步各节点的数据,这样的话只要在一个节点做配置,其他节点都能同步到
传统模式在k8s的环境下面临几个问题
- 在无状态的部署下存在一些问题,如下(下图部署两个副本进行测试,注意图中的Address,访问后台时默认处于轮询状态)
- Orange多节点之间以ip进行通信,但orange的dashboard也对添加/修改集群节点的输入框做了限制(只能写ip,所以这里还需要对源码以及数据库字段长度进行调整)
Orange的默认使用
lua_shared_dict缓存数据(其中包括插件的配置数据),所以有以下几个问题- 在
dashboard配置完插件后只在当前节点具有数据可见性,其他节点必须点击同步配置,才可生效新配置。这就导致网关服务默认只能以有状态方式部署 - OpenResty/Nginx 的共享内存区是消耗物理内存的:意味着它存储的数据并不是保存在文件系统中的,而是直接存储在操作系统的内存中。因此,共享内存中的数据是暂时性的,一旦Nginx进程退出或重启,共享内存中的数据就会被清空。所以在容器无法挂载这部分数据,也无法持久化这部分数据。参考:https://blog.openresty.com.cn/cn/how-nginx-shm-consume-ram/
- 在
关于共享内存这里,计划全改成Redis,但是也遇到了几个问题
有些缓存操作是放在
init_by_lua和log_by_lua中的,但是这类模块不允许操作redis。如果操作对应api会报错:API disabled in the context of xx_by_lua。只有在content_by_lua上下文中才能使用resty.redis模块,因为这是在响应体生成之前执行的代码。解决办法:如果一定要在这当中执行redis操作,可以在调用Redis模块之前,使用
ngx.timer.at(delay or 0, function() ... end)将代码延迟到下一个请求周期中执行,这样就可以避免在*_by_lua上下文中使用Redis模块了。但设置被允许的running timers(正在执行回调函数的计时器)的最大数量默认为256,如果超过这个数量,就会抛出**
lua failed to run timer with function defined at ... N lua_max_running_timers are not enough**,其中N是变量,指的是当前正在运行的running timers的最大数量。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20-- 在log_by_lua*上下文中使用ngx.timer.at延迟执行Redis操作
-- * delay=0时,表示立即执行任务,并且只执行一次
-- * delay不为0时,表示在delay秒之后执行一次任务
ngx.timer.at(delay or 0, function()
local redis = require "resty.redis"
local red = redis:new()
local ok, err = red:connect("127.0.0.1", 6379)
if not ok then
ngx.log(ngx.ERR, "failed to connect to Redis: ", err)
return
end
-- 执行Redis操作
local res, err = red:get("mykey")
if not res then
ngx.log(ngx.ERR, "failed to get Redis key: ", err)
return
end
ngx.log(ngx.INFO, "Redis key value: ", res)
red:set_keepalive(10000, 100)
end)orange的全局统计插件中的部分数据如活跃连接数,这里是取自当前网关节点的
ngx.var.connections_active,这是个动态值。与此相似的还有其他数据。这类监控数据不适合定性存储涉及到
lua_shared_dict orange_data的代码地方较多。但orange_data仅供缓存插件配置,可以不做持久化。数据加载流程:网关服务启动 -> 从数据库加载插件数据 -> 缓存至orange_data
开发/改造
针对0.8.1分支进行改造
luarocks依赖版本调整
- orange-master-0.rockspec
lua-resty-kafka -> 0.09-0
luafilesystem -> 1.8.0-1
数据库字段长度调整
1 | alter table cluster_node |
注册节点IP逻辑调整
- 去掉注册节点时的ip限制
- 在
nginx.conf.example中添加env ORANGE_SERVICE;(默认值为orange-headless),后续将使用socket.dns.gethostname() .. "." .. os.getenv("ORANGE_SERVICE")做为注册ip(k8s中,结合statefulset + headless service可将流量打在指定pod) - 在
orange.conf.example中添加node插件
配置分流,及DNS解析
- 配置nginx.conf.example,添加kube-dns,使k8s环境下可以解析对应service name
1 | http { |
- 添加server,按**
Header:oranger-version对dashboard**进行分流
通常情况下,Kubernetes集群中的DNS服务器(kube-dns或CoreDNS)会自动为服务名称添加完整的域名(例如
service.{namespace}.svc.cluster.local)。但是,如果在Nginx配置文件中指定了其他DNS服务器,则需要自行添加完整的服务名称。例如,如果在Nginx配置文件中指定了 第三方 DNS服务器(8.8.8.8),则需要在
proxy_pass指令中使用完整的服务名称,例如http://service.{namespace}.svc.cluster.local:port。
1 | # orange dashboard fronted |
- 获取真实remote ip
1 | http { |
- 解决
426 upgrade required问题:nginx反向代理默认走的http 1.0版本
1 | http { |
调整使用到lua_shared_dict的插件,将其改成Redis
- rate_limiting
- monitor
- waf
- stat
- property_rate_limiting
调整Makefile,改良服务的启动速度
将下载依赖的步骤单独提出来,之后只要
rockspec文件内容不变,就不需要额外下载依赖
- 去除
make dev操作中的luarocks install ...指令 - 新增
make dependency指令
1 | ### dependency: install the dependencies from .rockspec |
property_rate_limiting插件 - 防刷功能添加封禁时长
- 未配置封禁时间,则按429处理 -> 限流
- 配置了封禁时间,则按403处理 -> 指定时间内不可访问
Dockerfile
1 | FROM centos:7 |
Statefulset.yaml
1 | apiVersion: v1 |
测试
多副本
扩容测试
新副本可以在10秒内启动成功
访问测试
多次访问,呈轮询效果
控制台
访问8888端口,根据自定义
header:orange-version,将流量打入指定pod上
节点注册
- 添加自定义header
- 查看全局统计(此处如果传的
header:orange-version为orange-1,则Address呈现为orange-1)
- 分别注册orange-0和orange-1节点
配置同步
- 在orange-0节点配置防刷插件
- 回到orange-1,进行同步
- 同步成功
防刷测试
- 配置dashboard,限制ip :一小时10次,封禁120秒
Jmeter压测
测试从100线程开始
观察2xx和4xx,以及conn active(活跃连接数)
活跃连接数维持在100上下
在单节点抗压测试下,orange是可以有效防止因压力过大导致崩溃的问题的
使用专业工具LOIC进行DDos攻击
测试从100线程开始,等待结果响应再发送下一次。看idle空闲线程始终有剩余,说明没跑满
观察2xx和4xx,以及conn active(活跃连接数)
虽然是100线程,但LOIC的工作原理是向目标服务器发送大量 TCP、UDP 或 HTTP 数据包以中断服务,所以看到的活跃连接数要远高于100
产生的问题
redis压力
随着压力再加大,redis连接开始逐渐崩掉。所以需要考虑压力更大的情况下,单机redis是否能撑得住。如果和业务模块共用一个redis,会不会拖垮整个业务系统
1 | 2023/06/27 18:15:45 [error] 20172#20172: *154221 lua tcp socket connect timed out, when connecting to 192.168.56.100:6379, context: ngx.timer, client: 192.168.56.1, server: 0.0.0.0:80 |
work_connections are not enough
nginx默认worker_connections(单个工作进程可以允许同时建立外部连接的数量) 为 4096,数字越大,能同时处理的连接越多,对应需要的资源也越高
这里修改默认值为512,测试300线程,再进行DDos攻击
活跃连接数已经来到1000
日志开始出现大量512 worker_connections are not enough错误
1 | 2023/06/28 09:47:21 [alert] 7829#7829: *51849 512 worker_connections are not enough, client: 192.168.56.1, server: , request: "GET / HTTP/1.0" |
TODO
其他插件的DDos模拟测试
结论
Orange可以抵挡高并发场景下的冲击
但依靠Orange抵挡专业的DDos攻击,还需要其他的办法
插件开发补充
ngx_lua_waf --- Nginx防火墙
ngx_lua_waf 是一个高性能的轻量级 web 应用防火墙,基于 lua-nginx-module。
它具有以下功能:
- 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击
- 防止svn/备份之类文件泄漏
- 防止ApacheBench之类压力测试工具的攻击
- 屏蔽常见的扫描黑客工具,扫描器
- 屏蔽异常的网络请求
- 屏蔽图片附件类目录php执行权限
- 防止webshell上传
经过 unixhot 的修改和重构,拥有了以下功能:
- 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝
- 支持URL白名单,将不需要过滤的URL进行定义
- 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)
- 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403
- 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)
- 支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403
- 支持URL参数过滤,原理同上
- 支持日志记录,将所有拒绝的操作,记录到日志中去
- 日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示
新增插件 - orange/plugins/bot_detection
详见
orange/plugins/bot_detection/README.md
新增插件 - orange/plugins/sql_injections
详见
orange/plugins/sql_injections/README.md
新增插件 - orange/plugins/xss_code
详见
orange/plugins/xss_code/README.md
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 小五的个人杂货铺!
- 微信
- 支付宝
相关推荐
2023-09-26
kubeconfig文件详解
在node节点上可以执行kubectl命令吗? 12[root@k8s-node1 ~]# kubectl get nodeThe connection to the server localhost:8080 was refused - did you specify the right host or port? localhost:8080 这个端口是k8s api(kube-apiserver非安全端口)的端口,*在master上面可以执行成功其实走的是配置文件。但是在node上连接的是本地的非安全端口。* 其实还有一个对外端口是6443,这个是kube-apiserver监听的,masterip:6443安全端口 12[root@k8s-master ~]# netstat -tpln | grep 6443tcp6 0 0 :::6443 :::* LISTEN 92617/kube-apiserve...
2023-08-24
Nginx日志配置详解
前言Nginx日志对于统计、系统服务排错很有用。Nginx日志主要分为两种:access_log(访问日志)和error_log(错误日志)。通过访问日志我们可以得到用户的IP地址、浏览器的信息,请求的处理时间等信息。错误日志记录了访问出错的信息,可以帮助我们定位错误的原因。本文将详细描述一下如何配置Nginx日志。 设置access_log访问日志主要记录客户端的请求。客户端向Nginx服务器发起的每一次请求都记录在这里。客户端IP,浏览器信息,referer,请求处理时间,请求URL等都可以在访问日志中得到。当然具体要记录哪些信息,你可以通过log_format指令定义。 语法12access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]]; # 设置访问日志access_log off; # 关闭访问日志 path 指定日志的存放位置。 format 指定日志的格式。默认使用预定义的combined。 buffer...
2023-07-14
OpenResty快速入门
OpenResty监听请求OpenResty的很多功能都依赖于其目录下的Lua库,需要在nginx.conf中指定依赖库的目录,并导入依赖: 1)添加对OpenResty的Lua模块的加载 修改/usr/local/openresty/nginx/conf/nginx.conf文件,在其中的http下面,添加下面代码: 1234#lua 模块lua_package_path "/usr/local/openresty/lualib/?.lua;;";#c模块 lua_package_cpath "/usr/local/openresty/lualib/?.so;;"; 2)监听/api/item路径 修改/usr/local/openresty/nginx/conf/nginx.conf文件,在nginx.conf的server下面,添加对/api/item这个路径的监听: 123456location /api/item { # 默认的响应类型 ...