3.2.24. 가상 공격에 대한 보호
DHCP http-request 를 기본 HAProxy 라우터 이미지에 추가하여 DDoS(Distributed-of-service) 공격(예: slowloris) 공격으로부터 배포를 보호합니다.
# and the haproxy stats socket is available at /var/run/haproxy.stats
global
stats socket ./haproxy.stats level admin
defaults
option http-server-close
mode http
timeout http-request 5s
timeout connect 5s 1
timeout server 10s
timeout client 30s- 1
- 시간 제한 http-request 가 최대 5초로 설정됩니다. HAProxy는 전체 HTTP 요청을 보낼 클라이언트 5초 *를 제공합니다. 그렇지 않으면 HAProxy가 *an 오류로 연결을 종료합니다.
또한 환경 변수 ROUTER_SLOWLORIS_TIMEOUT 이 설정되면 클라이언트가 전체 HTTP 요청을 보내야 하는 시간을 제한합니다. 그렇지 않으면 HAProxy가 연결을 종료합니다.
환경 변수를 설정하면 라우터 배포 구성의 일부로 정보를 캡처할 수 있으며 템플릿을 수동으로 수정할 필요가 없지만 HAProxy 설정을 수동으로 추가하려면 라우터 포드를 다시 빌드하고 라우터 템플릿 파일을 유지 관리해야 합니다.
주석을 사용하면 HAProxy 템플릿 라우터에서 다음을 제한하는 기능을 포함하여 기본 사항이 적용됩니다.
- 동시 TCP 연결 수
- 클라이언트가 TCP 연결을 요청할 수 있는 비율
- HTTP 요청을 작성할 수 있는 비율
애플리케이션은 트래픽 패턴이 매우 다를 수 있으므로 경로별로 활성화됩니다.
| 설정 | 설명 |
|---|---|
|
| 설정을 구성할 수 있습니다(예: true 로 설정된 경우). |
|
| 이 경로의 동일한 IP 주소로 만들 수 있는 동시 TCP 연결 수입니다. |
|
| 클라이언트 IP에서 열 수 있는 TCP 연결 수입니다. |
|
| 클라이언트 IP에서 3초 내에 생성할 수 있는 HTTP 요청 수입니다. |
