ASMGlobalRateLimiter CRD说明

ASM通过ASMGlobalRateLimiter实现全局限流的声明式配置。本文介绍ASMGlobalRateLimiter的字段说明。

配置示例

示例一:服务端限流

说明

本示例需要实例版本≥1.25.6.74。

以下示例限制了 httpbin 应用 1 分钟内只能被访问一次。

展开查看YAML内容

apiVersion: istio.alibabacloud.com/v1
kind: ASMGlobalRateLimiter
metadata:
  name: global-test
spec:
  configs:
  - limit:
      quota: 1
      unit: MINUTE
    target_services:
    - name: httpbin
      port: 8000
    name: default
  applyToTraffic: sidecar_inbound
  rateLimitService:
    host: ratelimit.default.svc.cluster.local # 向该服务查询当前请求是否需要限流
    port: 8081
    timeout:
      seconds: 5
  workloadSelector:
    labels:
      app: httpbin

示例二:客户端限流

说明

本示例需要实例版本≥1.25.6.74。

以下示例限制了 sleep 应用 1 分钟内只能访问一次 httpbin 服务。

展开查看YAML内容

apiVersion: istio.alibabacloud.com/v1
kind: ASMGlobalRateLimiter
metadata:
  name: global-test
spec:
  configs:
  - limit:
      quota: 1
      unit: MINUTE
    target_services:
    - name: httpbin
      port: 8000
    name: default
  applyToTraffic: sidecar_outbound
  rateLimitService:
    host: ratelimit.default.svc.cluster.local # 向该服务查询当前请求是否需要限流
    port: 8081
    timeout:
      seconds: 5
  workloadSelector:
    labels:
      app: sleep

示例三:waypoint 限流

本示例仅适用于Ambient模式,且需要实例版本≥1.25.6.74

该示例配置了应用在名为default的 waypoint 的限流规则,当请求携带x-user请求头时,会根据不同的值分配 bucket,限制每分钟只能访问 1 次,当不携带该请求头时,则限制每分钟访问 20 次。

展开查看YAML内容

apiVersion: istio.alibabacloud.com/v1
kind: ASMGlobalRateLimiter
metadata:
  name: global-test
spec:
  configs:
  - limit_overrides:
    - limit:
        quota: 1
        unit: MINUTE
      request_match:
        header_match:
        - distinct: true
          name: x-user
    limit:
      quota: 20
      unit: MINUTE
    target_services:
    - name: httpbin
      port: 8000
    name: default
  applyToTraffic: waypoint
  rateLimitService:
    host: ratelimit.default.svc.cluster.local # 向该服务查询当前请求是否需要限流
    port: 8081
    timeout:
      seconds: 5
  workloadSelector:
    labels:
      gateway.networking.k8s.io/gateway-name: default

spec

字段

类型

是否必选

说明

workloadSelector

map<string, string>

通过一个或多个标签,指明限流配置生效的一组特定的工作负载。标签搜索的范围限制在资源所在的配置命名空间。更多信息,请参见Workload Selector

isGateway

bool

限流配置生效的工作负载是否为网关,默认为false。

rateLimitService

RateLimitServiceConfig

限流服务配置。

configs

GlobalRateLimiterConfig[]

全局限流配置,可配置多条。

applyToTraffic

string

限流策略应用的流量类型。可选参数:

  • sidecar_inbound:sidecar入向流量,即挂载了sidecar的应用作为服务端接收的流量。

  • sidecar_outbound:sidecar出向流量,即挂载了sidecar的应用作为客户端发送的流量。

  • waypoint:Ambient模式下,通过Waypoint处理的流量。

  • gateway:网关流量。

默认值为sidecar_inbound

说明

该字段仅支持ASM 1.25及以上版本。

RateLimitServiceConfig

字段

类型

是否必选

说明

host

string

限流服务Service的集群域名。

port

int

限流服务的Service gRPC端口。

timeout

Duration

网格代理连接限流服务的超时时间。例如seconds: 1nanos: 1000。nanos表示纳秒。

GlobalRateLimiterConfig

字段

类型

是否必选

说明

name

string

单条限流配置的名称。

match

RatelimitMatch

匹配条件。

limit

GlobalServiceLimitConfig

限流阈值配置。

limit_overrides

GlobalRateLimitOverrideConfig[]

限流阈值覆盖配置。可通过该字段针对特定的请求指定单独的限流阈值。支持配置多个覆盖配置。

说明

仅支持ASM 1.19.0及以上版本。

target_services

TargetServiceRef[]

限流策略作用的服务。

说明

该字段仅支持ASM 1.25及以上版本。

TargetServiceRef

说明

此类型字段仅支持ASM 1.25及以上版本。

字段

类型

是否必须

说明

kind

string

限流策略作用的服务 kind。可选值:

  • Service

  • ServiceEntry

  • VirtualService

默认为Service

name

string

限流策略作用的服务名称。

namespace

string

限流策略作用的服务所处的命名空间。默认为您定义的限流策略所处命名空间。

port

int32

限流策略作用的服务端口。

section_name

string

服务的额外属性,当前只对VirtualService生效。

  • VirtualService:取值为VirtualService中定义的 route 名称。

示例一

以下示例定义了 default 命名空间的 httpbin Service 的 8000 端口上。

target_services:
- kind: Service
  namespace: default
  name: httpbin
  port: 8000

示例二

当前实例中存在如下 ServiceEntry。

apiVersion: networking.istio.io/v1
kind: ServiceEntry
metadata:
  name: se-httpbin-external
spec:
  hosts:
  - httpbin.test.com
  location: MESH_EXTERNAL
  ports:
  - name: http
    number: 80
    protocol: HTTP
  - name: https
    number: 443
    protocol: HTTPS
  resolution: DNS

以下策略将生效于该 ServiceEntry 的 80 端口上。

target_services:
- kind: ServiceEntry
  namespace: default
  name: se-httpbin-external
  port: 80

示例三

当前实例中存在以下 VirtualService。

apiVersion: networking.istio.io/v1
kind: VirtualService
metadata:
  name: vs-httpbin
spec:
  hosts:
  - httpbin.test.com
  http:
  - name: default
    route:
    - destination:
        host: httpbin
        port:
          number: 8000

以下策略将生效与 VirtualService 中定义的 http 名为 default 的路由规则上。

target_services:
- kind: VirtualService
  namespace: default
  name: vs-httpbin
  section_name: default

RatelimitMatch

字段

类型

是否必选

说明

vhost

VirtualHostMatch

VirtualHost匹配条件。

GlobalServiceLimitConfig

字段

类型

是否必选

说明

unit

string

限流计量时间单位。取值:

  • MINUTE:分

  • SECOND:秒

quota

int

单位时间内允许的请求总量。

GlobalRateLimitOverrideConfig

字段

类型

是否必选

说明

request_match

RequestMatcher

限流阈值覆盖配置指定的请求匹配条件。只有匹配条件的请求会应用覆盖配置中的限流阈值。

limit

GlobalServiceLimitConfig

限流阈值覆盖配置指定的请求限流阈值。

VirtualHostMatch

字段

类型

是否必选

说明

name

string

匹配的VirtualHost名称。

port

int

匹配的请求端口。

route

RouteMatch

匹配的请求接口对应的路由名称。

RouteMatch

字段

类型

是否必选

说明

name_match

string

匹配的路由名称,对应VirtualService下的单条路由名称。

header_match

HeaderMatcher[]

匹配服务请求的Header,支持配置多个。

说明

ASM 1.19.0及以上版本,该字段被标注为废弃(Deprecated),请使用GlobalRateLimitOverrideConfig对请求进行匹配。

RequestMatcher

说明

RequestMatcher中的多个字段可以同时使用。同时使用时,请求必须同时符合每个字段的匹配条件才会被匹配。

字段

类型

是否必选

说明

header_match

HeaderMatcher[]

匹配请求的header,支持配置多个。

remote_address

RemoteAddressMatcher

匹配请求的源IP。

query_match

QueryParameterMatcher[]

匹配请求的查询参数(query params),支持配置多个。

RemoteAddressMatcher

字段

类型

是否必选

说明

address

string

匹配的请求源的IP地址。

v4_prefix_mask_len

uint32

如果需要匹配IPv4地址范围,在此字段填写IPv4地址子网掩码长度,并在address处填写IPv4地址。将会匹配address在掩码后的地址范围。

v6_prefix_mask_len

uint32

如果需要匹配IPv6地址范围,在此字段填写IPv6地址子网掩码长度,并在address处填写IPv6地址。将会匹配address在掩码后的地址范围。

HeaderMatcher

字段

类型

是否必选

说明

name

string

Header名称。

任选其一

regex_match

string

正则表达式匹配。

exact_match

string

精确匹配。

prefix_match

string

前缀匹配,以什么开头进行匹配。

suffix_match

string

后缀匹配,以什么结尾进行匹配。

present_match

bool

  • 配置为true,表示存在Header即可,无需关注Header Value的取值。

  • 配置为false,表示不存在Header。

invert_match

bool

默认为false。

  • 配置为true,表示上述匹配结果取反。

  • 配置为false,表示遵循上述匹配结果。

QueryParameterMatcher

字段

类型

是否必选

说明

name

string

查询参数的名称。

任选其一

exact_match

string

精确匹配查询参数的内容。

prefix_match

string

前缀匹配查询参数的内容。

suffix_match

string

后缀匹配查询参数的内容。

regex_match

string

正则表达式匹配查询参数的内容。

contains_match

string

包含匹配查询参数的内容,即要求查询参数的内容必须包含某个子串。

present_match

bool

  • 配置为true,表示进行存在性匹配,即存在指定的查询参数即可,不关注内容。

  • 不能配置false,配置为false等同于不配置,需要指定其它匹配条件。

ignore_case

bool

是否在匹配查询参数时忽略大小写。

相关文档

使用ASMGlobalRateLimiter对应用服务入口流量配置全局限流