因为没有网关,我的服务器被 DDoS了

IDC小宇Q78664972 7个月前 (03-20) 好文精选 198 0
广东服务器大促销查看详情

大家好,我是鸭血粉丝,想起来之前生产发生的事故,阿粉我的内心到现在都还很忐忑不安,今天我们来学习一个 Kong 以及跟你们聊聊做好网关限流控制的重要性。

背景

事情是这样的,阿粉记得那是一个阳光明媚的早上,窗外一片祥和,整个世界充满了和谐。谁知九点半的时候突然微信报警消息如狂风暴雨般袭来,让人猝不及防,原来是线上的一个接口流量突然暴增,而且居高不下,导致部分业务瘫痪,无法使用。

因为没有网关,我的服务器被 DDoS了-第1张图片-新之洲IDC资讯

按照正常的用户量,平常的上班时间不会出现如此大的流量,而且还是在这么短的时间里,对比了下往常的数据,发现访问量飙升几十倍,为了不影响正常的用户,紧急联系运维扩容服务器,稳定业务。然后紧急分析问题,一开始以为是客户端的 APP 升级出现了问题,导致死循环了,但是问了下终端负责人,并没有发布新的 APK。然后事情都这里想必大家都猜到原因了,没错,那就是我们被 DDoS 了。

关于什么是 DDoS,我想大家都是有经验的开发人员,应该都知道,不知道的朋友可以在公众号后台回复【安全】,获取一份 Web 安全相关电子书。

那么遇到这种情况,我们除了扩容服务器还有哪些解决方案呢?

知乎上有一篇问答,里面提到有下面几种方式

  1. 高防服务器

  2. 黑名单

  3. DDoS 清洗

  4. CDN 加速

这几种方案都有相应的特性,不过阿粉我在这里想给大家介绍另一种方案,简单,快速,但是对用户不友好,那就是采用网关限流。当然不同的业务有不同的特性,需要选择适合自己的方式,如果是金融证券企业的话还是请第三方专业的公司去做防护。

API 网关 Kong

介绍

Next-Generation API Platform for Multi-Cloud and Hybrid Organizations. Connect all your microservices and APIs with the industry’s most performant, scalable and flexible API platform.

在 Kong 的官网赫然的写了上面的一句话,翻译起来有点别扭,我就不直译了,大家自己看英文更能理解。简单来说 Kong 就是下一代的 API 网关,用起来就对了。

因为没有网关,我的服务器被 DDoS了-第2张图片-新之洲IDC资讯

Kong 是在客户端和服务端之间的 API 网关,Kong 作为网关可以统一转发请求,并且因为 Kong 是基于 Nginx 的,所以本身支持水平扩展;另外 Kong 可以对请求做统一的限流,认证和授权管理,而且这些功能都是基于插件式,即插即用,根据自身业务的特性,可以选择合适的插件来控制相关业务。如果已有的插件不适合,还可以自己开发相应的插件,不过插件的开发是基于 lua 的。

安装步骤

安装数据库

因为 Kong 的底层存储是采用 PostgreSQL 9.5+ 或者 Cassandra 3.x.x 的,所以我们在安装 Kong 之前需要先安装数据库,阿粉这里采用的是 PostgreSQL 9.5,并且服务器是 CentOS7 的版本。

  1. 使用 yum 安装依次执行如下命令

~$ yum install https://download.postgresql.org/pub/repos/yum/9.5/redhat/rhel-7-x86_64/pgdg-centos95-9.5-3.noarch.rpm
~$ yum install postgresql95
~$ yum install postgresql95-server

在提示安装y/n的时候,输入y即可。

  1. 安装过程很快,没什么难度,就不赘述,主要是安装过后的配置大家需要注意一下,安装完毕过后,我们初始化一下数据库,输入/usr/pgsql-9.5/bin/postgresql95-setup initdb

  2. 初始化完毕过后,我们设置一下服务,然后启动即可,输入如下命令。

~$ systemctl enable postgresql-9.5
~$ systemctl start postgresql-9.5
  1. 到这一步我们PostgreSQL的安装已经完整了,但是为了后面Kong能正常的运行起来,我们需要做一些配置,这里的配置比较重要,网上各种文章说的也都不清不楚,阿粉在多次探索之后终于搞清了其中的缘由,来全场跟着我整齐划一,先说下我们要做的操作步骤,然后我们再依次完成。
    1) 给超级管理员设置密码:安装完 PostgreSQL 后,会自动帮我们创建一个 Linux 的用户 postgres,而且这个用户默认是PostgreSQL 的超级管理员。
    2) 创建 Kong的数据存储环境,包括用户,密码和数据库:因为我们后面需要启动Kong,需要让Kong能访问到数据库,所以需要配置数据库,用户和密码。
    3) 修改PostgreSQL配置文件

  2. 因为没有网关,我的服务器被 DDoS了-第3张图片-新之洲IDC资讯

  3. 我们首先使用命令su - postgres , 然后输入 psql,进入PostgreSQL的命令行模式,如下图


  4. 因为没有网关,我的服务器被 DDoS了-第4张图片-新之洲IDC资讯

  5. 进入命令行模式过后,我们先后完成上面 1 和 2 的步骤,先修改密码,输入\password postgres如下图,连续输入两次你需要设定的密码,例如postgres123一定要记住,后面需要用到这个密码登录的。

  6. 因为没有网关,我的服务器被 DDoS了-第5张图片-新之洲IDC资讯

  7. 修改完密码过后,我们进行第二步操作,创建用户,密码和数据库,输入语句CREATE USER kong WITH PASSWORD 'kong123'; 我这里因为之前已经创建过这个用户了,所以提示已经存在,正常是显示CREATE ROLE


  8. 因为没有网关,我的服务器被 DDoS了-第6张图片-新之洲IDC资讯

  9. 然后再输入CREATE DATABASE kong OWNER kong;创建数据库,并且把这个数据库授权给kong用户,输入GRANT ALL PRIVILEGES ON DATABASE kong to kong;同样的,我这边已经创建kong数据库了,所以显示错误,正常是可以创建成功的。

  10. 因为没有网关,我的服务器被 DDoS了-第7张图片-新之洲IDC资讯

  11. 到这里,我们在检查一下是否都创建成功,通过输入命令\du\l来看下


  12. 因为没有网关,我的服务器被 DDoS了-第8张图片-新之洲IDC资讯

  13. 如果能看到用户和数据库都有的话,那就说明创建成功了,如果没有说明没有设置成功,按照上面的操作再仔细来一遍。

  14. 现在我们再来修改配置文件,我们先退出命令模式,使用命令\q然后再输入exit 即可推到 Linux 的正常模式。我们输入命令 vim /var/lib/pgsql/9.5/data/pg_hba.conf来编辑pg_hba.conf文件,将最后的几行设置成如图所示,也就是将默认的peer修改成md5

  15. 因为没有网关,我的服务器被 DDoS了-第9张图片-新之洲IDC资讯

  16. 保存退出,使用systemctl restart postgresql-9.5重启服务,这时我们在使用postgres用户去登录一下看看

  17. 因为没有网关,我的服务器被 DDoS了-第10张图片-新之洲IDC资讯

  18. 这里需要我们输入密码了,这里的密码就是我们上面步骤 1 设定了 postgres123,输入即可,如果提示psql: FATAL: password authentication failed for user"postgres"说明密码不对,如果正常进去,那我们再退出来用设置的kong用户再去登录看看。输入psql -U kong -W再输入之前kong的密码,如何能正常的如下图进去说明整个配置都正确。


  19. 因为没有网关,我的服务器被 DDoS了-第11张图片-新之洲IDC资讯

如果提示psql: FATAL: Peer authentication failed for user"kong"可能检查你的配置文件是否修改,以及修改后是否重启。

  1. 最后我们修改一下postgresql.conf文件,设置支持远程访问,vim /var/lib/pgsql/9.5/data/postgresql.conf,将listen_addresses修改为下图一致,然后保存退出,重启即可。

  2. 因为没有网关,我的服务器被 DDoS了-第12张图片-新之洲IDC资讯

到这里,数据库的部分就已经完成了,总结一个小点,peer模式的postgres用户不用密码可以登入,md5模式下需要密码才能登入。因为Kong是有密码的远程登录,所以我们要配置密码以及支持远程访问。

下面就可以安装Kong了。

安装 Kong

  1. 下载 rpm 文件:wget https://bintray.com/kong/kong-rpm/download_file?file_path=centos/7/kong-2.0.2.el7.amd64.rpm

  2. 执行命令

~$ sudo yum install epel-release
~$ sudo yum install kong-2.0.2.el7.amd64.rpm --nogpgcheck

有提示输入y就好了

  1. 修改kong配置文件,先拷贝一份配置文件cp kong.conf.default kong.conf然后编辑一下对应的数据库,用户名和密码,这里的用户名和密码就是上面配置的kongkong123

  2. 因为没有网关,我的服务器被 DDoS了-第13张图片-新之洲IDC资讯

  3. 调整一下kong admin api 的访问地址,后面会用到

  4. 因为没有网关,我的服务器被 DDoS了-第14张图片-新之洲IDC资讯

  5. 输入kong start启动kong

  6. 如果出现下面提示,则输入kong migrations bootstrap然后再次启动kong

Error: /usr/local/share/lua/5.1/kong/cmd/utils/migrations.lua:16: Database needs bootstrapping or is older than Kong 1.0.

To start a new installation from scratch, run 'kong migrations bootstrap'.

To migrate from a version older than 1.0, migrated to Kong 1.5.0 first.
If you still have 'apis' entities, you can convert them to Routes and Services
using the 'kong migrations migrate-apis' command in Kong 1.5.0.

  Run with --v (verbose) or --vv (debug) for more details
  1. 检验是否安装成功,输入curl http://127.0.0.1:8001如有下面的信息输出表示安装成功

  2. 因为没有网关,我的服务器被 DDoS了-第15张图片-新之洲IDC资讯

至此我们Kong也安装好了,下面为了日后使用方便,我们还需要安装一个管理页面,Kong的管理页面工具网上有好几个,比如KongaKong admin ui等,阿粉这里也大家介绍的是Kong admin ui

安装 Kong Admin UI

我们打开 GitHub 地址 https://github.com/pocketdigi/kong-admin-ui,可以看到提供四种部署方式,

因为没有网关,我的服务器被 DDoS了-第16张图片-新之洲IDC资讯

第一种是可以直接使用不用部分,第二种和第三种都是下载使用Nginx部署,第四种是采用docker进行部署。作为有经验的开发人员,阿粉还是采用docker 进行安装。直接一行命令搞定即可。Docker 的安装不是本文的重点,感兴趣的可以自行 Google。

安装完成后打开 8899 端口可以看到如下界面,在 Api url 里面填入 KongApi信息即可,如http://127.0.0.1:8001然后点击进入。

因为没有网关,我的服务器被 DDoS了-第17张图片-新之洲IDC资讯

进入界面如下:

因为没有网关,我的服务器被 DDoS了-第18张图片-新之洲IDC资讯

至此,整个Kong环境的搭建就已经完成了,剩下的就是使用了,流量控制,授权访问等更多特性,大家可以自行去尝试,想想如果当时阿粉就知道了Kong是不是就可以避免那一次的事故。


文章来源微信公众号:纯洁的微笑 https://mp.weixin.qq.com/s/9FLafg7RGHNWmpgMUm0U5A

版权声明:部分文章内容、图片来源于互联网获取,如有侵权请联系删除,发送邮件:server889#qq.com 请将#改为@,我们将第一时间审核处理!

相关推荐

网友评论

  • (*)

最新评论