Re: Реализация multiple limit_req
Maxim Dounin
mdounin на mdounin.ru
Ср Дек 14 16:24:24 UTC 2011
Hello!
On Wed, Dec 14, 2011 at 07:39:19PM +0400, Валентин Бартенев wrote:
> On Wednesday 14 December 2011 18:22:26 Maxim Dounin wrote:
> > Давай для начала распишем последствия обычного "последовательного"
> > применения лимитов, чтобы было понятно что так нельзя. Или,
> > наоборот, можно, но с какими ограничениями.
> >
> > Что касается принципа, то он мне не нравится: нам либо нужно всё
> > это делать держа локи (deadlock expected), либо имеем race между
> > проверкой и обновлением (и, опять же, локи придётся брать два
> > раза, что тоже не очень хорошо).
> >
>
> В limit_conn у нас также локи берутся дважды, и тут, на первый взгляд,
> всё можно сделать по тому же принципу.
В limit_conn они второй раз берутся, когда мы откатываем лимиты -
либо по завершению запроса, либо по наступанию на лимит. И race'а
там соответственно нет.
> Опять же, всё упирается в то, хотим ли мы считать отклоненные запросы или
> не хотим.
>
> "Счёт" только еще можно разделить на два уровня:
> - обновление времени последнего запроса;
> - увеличение очереди.
>
> Если мы будем просто последовательно проверять лимиты до первого
> срабатывания, то у нас получается ситуация, когда "иссякший" лимит
> стоящий на втором месте будет работать достаточно странно, имея
> причудливую зависимость от предшествующих.
Это понятно, и именно эти "странности" я и предлагаю
проиллюстрировать на конкретных примерах, чтобы сомнений не
оставалось.
E.g. типичная ситуация для хостинга, когда лимиты хочется на
каждый $host (чтобы один атакуемый сайт не мог съесть все
ресурсы), и на ip (чтобы с одного ip-адреса, вздремнув на ^R,
нельзя было съесть все ресурсы):
limit_req <per-host>;
limit_req <per-ip>;
Если атакуют $host, то всё хорошо.
Если ^R, то проблема: легко "выедается" лимит на $host (хотя
запросы реально не обслуживаются), и тем самым нужный хост
фактически блокируется.
В данном конкретном случае - проблема легко решается сменой
порядка применения лимитов: сначала per-ip, потом per-host.
Вопрос: есть ли в реальной жизни задачи, где проблема так *не*
решается?
(С теоретической точки зрения - понятно, что такие задачи есть.
Интересуют сколько-нибудь относящиеся к реальной жизни примеры.)
> Странность заключается в том, что запросы будут отклоняться, когда
> предшествующие вообще не сработали, и не отклоняться, если предшествующие
> сработали на задержание. Иными словами, меньший rate по предшествующим
> лимитам будет приводить к более суровым мерам.
Вот как раз в примере выше - подобное поведение вполне нормально,
при условии правильного порядка лимитов. Мы хотим пускать людей
на сайт, пока не превышен лимит на этот сайт, и мы хотим отсекать
людей с ^R, чтобы они вообще никому никаких проблем не доставляли.
Т.е. конструкция
limit_req <per-ip>;
limit_req <per-host>;
не должна никак считать в per-host лимит запросы, отклонённые на основании
"ip-адресом не вышел". И в то же время должна считать суммарный
лимит для хоста, и отклонять при необходимости запросы за него
выходящие.
Maxim Dounin
Подробная информация о списке рассылки nginx-ru