Advanced Rate Limiter
ARL (Advanced Rate Limiter) — модуль для контроля и ограничения нагрузки на веб-приложения. Модуль позволяет установить лимит на количество HTTP-запросов за определенный промежуток времени. Все запросы свыше лимита будут блокироваться. Можно установить единый лимит на весь трафик, а также настраивать различные лимиты для сегментирования запросов по определенным параметрам. Запросы для лимитов можно считать по одному или объединять в группы по заданному признаку.
Преимущества и возможности ARL:
- Защита бэкендов от резкого увеличения нагрузки и сохранение их работоспособности.
- Дополнительная защита API с помощью контроля HTTP-параметров.
- Гибкая настройка лимитов в зависимости от параметров трафика.
- Лимит на одиночные запросы или на группу запросов.
- Режим Dry Run для тестирования правил и анализа трафика.
- Логирование работы ARL.
Для настройки ARL используются профили. Профиль состоит из набора правил, которые устанавливают лимиты на запросы определенного типа. По этим правилам ARL анализирует входящие HTTP-запросы и когда количество запросов превышает установленные лимиты, блокирует их.
Профиль ARL подключается к профилю безопасности. Правила ARL применяются к трафику, который уже прошел проверку правил из профиля безопасности. Это позволяет анализировать не весь входящий трафик, а только разрешенный и повышает отказоустойчивость модуля ARL.
Подробнее о подключении к профилю безопасности см. на странице Как начать работать с профилем ARL.
В правиле ARL доступны следующие настройки:
Условия на трафик
Правило ARL может устанавливать лимит на входящие HTTP-запросы для всего трафика и трафика, удовлетворяющего условиям.
Условия определяются следующими параметрами:
IP
— IP-адрес, диапазон адресов или регион адресов клиентов, для которых будет применяться правило.Request path
— путь или часть пути, на который был отправлен запрос.Host
— доменное имя, на которое был отправлен запрос.HTTP method
— метод или набор методов, к которым принадлежит запрос.HTTP header
— параметры в заголовке запроса.Cookie
— строка в cookie-файлах.
Подсчет запросов
Подсчет количества запросов для применения лимита можно вести одним из способов:
- Подсчет каждого запроса в отдельности.
- Объединение запросов в группы по определенному признаку и ограничение количества групп.
Группировать запросы можно:
-
Автоматически — по атрибутам
Request path
,HTTP method
,IP-адрес
,Регион
,Host
. -
По совпадению указанного ключа в атрибутах
Query params
,HTTP header
,HTTP cookie
.Для трафика можно задать гибкие условия совпадения или несовпадения указанных параметров. Строковые совпадения можно находить с учетом или без учета регистра. Значения параметров могут быть одиночными, диапазонами или регулярными выражениями.
Также можно выбрать промежуток времени — от 1 секунды до 60 минут.
Все запросы свыше лимита, полученные в установленный промежуток времени, будут блокироваться. При этом клиенту будет возвращена ошибка 429
.
Для вычисления лимитов и тестирования правил ARL предусмотрен режим Только логирование (Dry Run). В этом режиме запросы блокироваться не будут. Это позволяет оценить возможности бэкендов и подобрать оптимальные значения лимитов.