ingress-nginx-限速

最新推荐文章于 2025-06-24 13:56:09 发布
最新推荐文章于 2025-06-24 13:56:09 发布
阅读量3.1k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: kubernetes ingress-nginx 文章标签: ingress-nginx
原文链接:http://nginx.org/en/docs/http/ngx_http_core_module.html#limit_rate
本文介绍如何使用Kubernetes Ingress控制器的限速注释来限制客户端IP的连接数,防止DDoS攻击,包括并发连接数、每秒及每分钟请求限制,并解释了如何配置速率限制和排除白名单。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

限速
这些注释定义了可由单个客户端IP地址打开的连接的限制。这可用于缓解DDoS攻击。

  • nginx.ingress.kubernetes.io/limit-connections:来自单个IP地址的并发连接数。
  • nginx.ingress.kubernetes.io/limit-rps:每秒可从给定IP接受的连接数。
  • nginx.ingress.kubernetes.io/limit-rpm:每分钟可从给定IP接受的连接数。
  • nginx.ingress.kubernetes.io/limit-rate-after:设置初始金额,在此之后,对客户的进一步传输响应将受到速率限制。
  • nginx.ingress.kubernetes.io/limit-rate:每秒从客户接受的请求率。

您可以指定要通过nginx.ingress.kubernetes.io/limit-whitelist注释从速率限制中排除的客户端IP源范围。该值是逗号分隔的CIDR列表。

如果在单个Ingress规则中指定多个注释limit-rpm,则limit-rps优先。

注释nginx.ingress.kubernetes.io/limit-rate,nginx.ingress.kubernetes.io/limit-rate-after定义对客户端的响应传输速率的限制。速率以每秒字节数指定。零值禁用速率限制。根据请求设置限制,因此如果客户端同时打开两个连接,则总速率将是指定限制的两倍。

例子:

$ cat my-ingress.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
#    nginx.ingress.kubernetes.io/limit-connections: "300"
#    nginx.ingress.kubernetes.io/limit-rps: "300"
#    nginx.ingress.kubernetes.io/limit-rpm: "300"
    nginx.ingress.kubernetes.io/limit-whitelist: "192.168.7.0/24"
spec:
  rules:
  - host: my.test.com
    http:
      paths: 
      - path: /
        backend:
          serviceName: nginx
          servicePort: 80

要为所有Ingress规则全局配置此设置,可以在NGINX ConfigMap中设置limit-rate-after和limit-rate值。如果在入口注释中设置值,则将覆盖全局设置

$ cat ingress-nginx-nginx-0.22.0/deploy/configmap.yaml
kind: ConfigMap
apiVersion: v1
metadata:
  name: nginx-configuration
  namespace: ingress-nginx
  labels:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
data:
  limit-rate-after: "300"
  limit-rate-after: "300"
  #worker-processes: "4"
  #keep-alive: "75"
  #keep-alive-requests: "100"
  #proxy-next-upstream: "http_502 http_503 http_504"

limit-rate
限制向客户端传输的响应速率。速率以每秒字节数指定。零值禁用速率限制。根据请求设置限制,因此如果客户端同时打开两个连接,则总速率将是指定限制的两倍。
参考文献: http://nginx.org/en/docs/http/ngx_http_core_module.html#limit_rate

limit-rate-after
设置初始量,在此之后,对客户端的响应的进一步传输将受到速率限制。
参考文献: http://nginx.org/en/docs/http/ngx_http_core_module.html#limit_rate_after

参考:

https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/nginx-configuration/annotations.md

https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/nginx-configuration/configmap.md

如何在 Kubernetes 中进行 ingress-nginx 配置优化以及HTTP请求速率限制
WeiyiGeek 唯一极客IT知识分享
05-19 2700
公众号关注「WeiyiGeek」将我设为「特别关注」,每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:1.Kubernetes中ingress-nginx优化配置2.Kubernetes 中 ingress-nginx 上的 HTTP 的速率限制请求原文地址:https://blog.weiyigeek.top/2020/5-28-588.html1.K...
Rancher入门到精通-nginx-ingress配置性能优化
隔壁老瓦的专栏
07-07 3024
keep-alive: "75" keep-alive-requests: "100" upstream-keepalive-connections: "10000" upstream-keepalive-requests: "100" upstream-keepalive-timeout: "60" 打开rancher 映射配置 、 配置 查看nginx-ingress 默认是30 优化后 ...
K8S之Ingress-Nginx
weixin_46686835的博客
03-22 2675
K8S之Ingress-Nginx Ingress诞生背景 我们都知道Service的表现形式为IP:Port,工作在TCP/IP层。对于基于HTTP的服务来说,不同的URL地址经常对应到不同的后端服务或者虚拟服务器,这些应用层的转发机制仅通过kubernetes的Service机制是无法实现的。 因此就有了Ingress将不同URL的访问请求转发到后端不同的Service,以实现HTTP层的业务路由机制。 Ingress 是对集群中服务的外部访问进行管理的 API 对象,典型的访问方式是 HTTP和HTT
Ingress-nginx
woturanshihuaidexiao的博客
02-10 717
Ingress-nginx 一、ingress-controller介绍 ingress-controller并不是k8s自带的组件,实际上ingress-controller只是一个统称,用户可以选择不同的ingress-controller实现,目前,由k8s维护的ingress-controller只有google云的GCE与ingress-nginx两个,其他还有很多第三方维护的ingre...
Ingress-Nginx简介和配置样例
最新发布
like a dog
06-24 835
摘要:Ingress-Nginx是Kubernetes官方维护的Ingress控制器,基于Nginx实现HTTP/HTTPS流量管理。核心功能包括多路径路由(如/grafana、/prometheus)、负载均衡、SSL终止等,支持通过注解配置高级特性(路径重写、限速等)。典型配置通过YAML定义路由规则,需配合修改后端服务的外部URL参数(如Grafana的root_url)。其优势在于高性能、灵活的路由策略和丰富的监控集成,适用于多服务暴露、证书统一管理等场景。使用时需注意Nginx性能调优和安全配置,
ingress nginx
weixin_46837396的博客
03-17 4559
一、 ingress nginx 1、两个核心概念: # ingress: kubernetes中的一个对象,作用是`定义请求如何转发到service的规则` # ingress controller: `具体实现反向代理及负载均衡的程序`,对ingress定义的规则进行解析,根据配置的规则来实现请求转发,实现方式有很多,比如Nginx, Contour, Haproxy等等 2、Ingress(以Nginx为例)的工作原理如下: 1. 用户编写Ingress规则,`说明哪个域名对应kubernete
20_2.服务暴露-ingress (ingress-nginx)
sirius
06-16 404
20_2.服务暴露-ingress (ingress-nginx) ingress-nginx https://github.com/kubernetes/ingress-nginx 准备镜像 docker pull quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0 资源配置清单 参考:https://github.com/kubernetes/ingress-nginx/blob/master/deploy/stat
kubernetes微服务之ingress-nginx
weixin_68398469的博客
09-08 2520
Ingress-nginx 是一个广泛使用的 Kubernetes Ingress 控制器,它基于 Nginx 反向代理和负载均衡器来处理进入 Kubernetes 集群的 HTTP 和 HTTPS 流量。Ingress-nginx 提供了一个强大的工具来管理 Kubernetes 集群的入口流量,允许用户通过 Ingress 资源来定义如何将外部请求路由到集群内部的服务。
Kubernetes Ingress-nginx高级用法
专注基础架构领域
01-26 3626
1、什么是ingress ngress(在kubernetesv1.1时添加)暴露从集群外到集群内服务的HTTP或HTTPS路由。定义在ingress资源上的规则控制流量的路由。 internet | [ Ingress ] --|-----|-- [ Services ] 一个ingress可以配置用于提供外部可访问的服务url、负载均衡流量、SSL终端和提供虚拟主机名配置。ingress controller负责实现(通常使用负载均衡器(loadbal.
深度掌握 Nginx Ingress:解锁高级功能,打造 Kubernetes 中的流量掌控艺术
.
01-16 822
在 Kubernetes 的世界里,Nginx Ingress 不仅是流量的门卫,更是一把强大的调控利器。我们已经领略了其基础面貌,现在让我们踏上深度之旅,揭示 Nginx Ingress 的高级功能,助你在 Kubernetes 中创造流量掌控的艺术。通过 Annotations,定制 Nginx Ingress 显示自定义的错误页面,为用户呈现更为精致的错误信息。
kubernetes负载均衡资源-Ingress
weixin_42816196的博客
03-27 1233
Ingress其实就是Kubernetes中的一种资源,它主要是用来定义流量转发规则。但Ingress资源自身并不能实现流量的转发和调度,它仅仅是一组流量路由的规则集合,这些规则要真正发挥作用还需要使用到Ingress控制器,由Ingress控制器读取对应的Ingress规则,然后完成流量的路由或转发。Ingress的底层知识是通过Nginx进行封装。配置规则也是跟Nginx类似Ingress日定义Nginx配置annotations:局部: Server {} 认证;限速;等等。
ingress-nginx-V0.24.1.yaml
04-30
k8s ingress 0.24.1版本的yaml文档,给下载无门的你提供最贴心的服务,希望能够对你有所帮助。
k8s: nginx-ingress-controller 多副本部署实现全局限流
lin2ur的博客
10-12 1667
介绍一种基于ngx_http_auth_request_module模块实现全局限流的方法,它是 Nginx 的官方模块并且nginx-ingress-controller默认包含,因此我们无需对 nginx-ingress-controller 进行任何修改。
云原生中间件-负载均衡之Ingress(ingress-nginx)
weixin_36532747的博客
04-07 447
1    配置前提 集群master带有eip 必须满足 集群安装nginx组件 必须满足 2    确认信息 2.1    ingress-nginx组件检查pod kubectl get pod -A | grep ingress-nginx 2.2    ingress-nginx组件检查deployment kubectl get deployment
ingress-nginx 使用
lswzw的博客
11-13 1411
ingress-nginx 使用
k8s-------ingress-nginx(七层)
2401_84010107的博客
04-17 1301
metadata:spec:port: 80selector:再创建 Ingress 将服务暴露到外部kind: Ingress # 类型metadata:name: nginx-test # 名字spec:rules: # 规则,List,可配置多个域名。
ingress介绍
s7799653的博客
05-20 1935
翻译自官网文档 Kubernetes-Ingress 管理对集群中的服务(通常是HTTP)的外部访问的API对象。Ingress可以提供负载平衡、SSL终端和基于名称的虚拟主机。 术语 为清楚起见,本指南定义了以下术语: Node(节点): kubernetes集群中的一台虚拟机或物理机。 Cluster(集群): 一组与因特网通过隔离的节点,他们是是Kubernetes管理的主要计算资源。 E...
ingress-nginx 的详细解析,涵盖其核心概念、功能、配置方式及常见使用场景
SAJDASD的博客
03-03 1709
是 Kubernetes 中用于管理外部访问集群内服务的 ​,基于广泛使用的 Nginx 反向代理和负载均衡器。它是 Kubernetes Ingress API 的一种实现,允许通过声明式配置将 HTTP/HTTPS 流量路由到集群内的服务。
k8s部署ingress-nginx
qq_40208428的博客
10-20 4965
k8s服务对外暴露有三种方式Nodeport: 服务暴露需要在集群每个节点都开放一个同样的端口,通过来访问,如果服务数量多了,开放的端口就难以管理: 大部分情况下只适用于支持外部负载均衡器的云提供商(AWS,阿里云,华为云等)使用。每个服务都会由云服务提供一个IP作为入口,转发相应的流量,但每个LoadBlancer Service都会产生费用,成本比较高。如果想要在内网环境中使用就需要部署网络负载均衡器,比如MetalLB等组件,它主要提供两个功能:地址分配和外部通知。所以这次我们主要来介绍。
K8S中istio-gateway和ingress的区别
03-12
<think>好的,我现在需要回答用户关于Kubernetes中Istio Gateway与Ingress的区别的问题。首先,我得回忆一下两者的基本概念和作用。 Kubernetes Ingress是原生的资源对象,主要用于管理外部访问集群内部服务的HTTP和HTTPS路由。它需要配合Ingress Controller,比如Nginx或Traefik,来处理实际的流量路由。用户创建Ingress资源后,Ingress Controller会根据规则配置负载均衡器,将外部请求转发到对应的Service。例如,引用[1]提到的Nginx Ingress就是常见的一种实现。 而Istio Gateway属于服务网格Istio的一部分,它更侧重于在网格内部和边缘管理入站和出站流量。Istio Gateway本身不处理流量,需要与VirtualService资源结合使用,定义更复杂的路由规则、流量策略等。根据引用[2],Istio的多集群配置可以让不同集群的服务相互暴露网络,这可能涉及到Gateway的配置。此外,Istio利用Envoy代理,提供了更多的功能,比如高级负载均衡、熔断、遥测等。 接下来,我需要比较两者的主要区别。首先是架构层面,Ingress是Kubernetes内置的,而Gateway是Istio扩展的。然后是功能差异,Istio Gateway配合VirtualService支持更细粒度的路由规则,比如基于Header、权重的分流,以及更强的安全控制如mTLS。而Ingress的功能相对基础,依赖具体的Controller实现。 另外,网络层方面,Ingress通常处理L7的HTTP/S,而Istio Gateway可以处理L4-L7的流量,支持TCP、gRPC等协议。安全性上,Istio整合了Citadel,提供自动的证书管理和服务间认证,而Ingress需要手动配置TLS或借助Cert-Manager等工具,如引用[1]提到的Cert-Manager的使用。 运维和集成方面,Istio作为服务网格的一部分,与监控、追踪工具(如Prometheus、Jaeger)集成更紧密,而Ingress需要额外配置监控。性能上,Envoy代理可能带来一定的延迟,但提供了更强大的功能。 用户可能还关心使用场景,比如是否需要服务网格的高级功能,或者只是简单的路由需求。此外,用户可能需要了解如何选择,比如简单应用用Ingress,复杂微服务架构用Istio Gateway。 最后,根据用户要求生成相关问题,比如两者的性能对比、如何迁移、安全机制差异等。同时确保引用正确,引用[2]提到了Istio的多集群设置,引用[3]提到Ambassador基于Envoy,这可能帮助用户理解其他类似工具。</think>### Kubernetes中Istio Gateway与Ingress的区别 #### 1. **基础概念** - **Kubernetes Ingress** 是Kubernetes原生的资源对象,用于管理外部访问集群内服务的HTTP/HTTPS路由。它依赖于**Ingress Controller**(如Nginx、Traefik)实现流量路由和负载均衡[^1]。 ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress spec: rules: - host: "example.com" http: paths: - pathType: Prefix path: "/app" backend: service: name: app-service port: number: 80 ``` - **Istio Gateway** 是服务网格Istio的组件,用于控制网格边缘的入站/出站流量(L4-L7层),需配合**VirtualService**定义路由规则。例如,支持基于权重的流量分割或请求头路由[^2]。 ```yaml apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: example-gateway spec: selector: istio: ingressgateway servers: - port: number: 80 name: http protocol: HTTP hosts: - "example.com" ``` --- #### 2. **核心区别** | **特性** | **Kubernetes Ingress** | **Istio Gateway** | |------------------|----------------------------------------|----------------------------------------| | **架构定位** | 原生Kubernetes资源,依赖Controller实现 | Istio服务网格组件,与Envoy代理深度集成 | | **协议支持** | 主要HTTP/HTTPS | L4-L7(TCP、HTTP、gRPC等) | | **路由规则** | 基于路径/主机的简单路由 | 支持权重分流、故障注入、重试策略等 | | **安全机制** | 需手动配置TLS证书或使用Cert-Manager| 集成mTLS,自动证书管理 | | **可观测性** | 需额外配置监控工具 | 内置Prometheus、Jaeger等集成 | --- #### 3. **典型场景** - **使用Ingress的场景** - 简单的外部流量路由(如将`example.com/app`映射到服务)。 - 需要快速部署且无需服务网格的复杂功能。 - **使用Istio Gateway的场景** - 微服务架构中需要灰度发布、A/B测试(通过流量权重)。 - 跨集群通信(如引用[2]提到的多集群服务网格)。 - 需要统一的安全策略(如全局限速、全局mTLS)。 --- #### 4. **选择建议** - **选择Ingress**:若只需基础路由、TLS终止,且希望减少组件依赖。 - **选择Istio Gateway**:若已使用服务网格,或需要高级流量管理、安全策略。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值