部署大使应用编程接口网关以防止DDoS的最佳实践

Question

我需要在我的所有服务前设置大使API网关。大使将执行多项操作，如速率限制、日志记录、DDoS保护等。

尤其是从DDoS保护的角度来看，在主应用程序Kubernetes集群之外托管大使API网关是否是最佳实践？或者托管在单独的名称空间中，并有配额限制？

在同一个k8s集群中托管应用程序接口网关可能会导致集群因不想要的流量而不堪重负，但如果我将API网关托管在单独的k8s集群应用程序上，则可以从这种情况下节省k8s集群。

另外，大使API网关可以部署在非K8S基础设施和HA模式下吗？

Answer 1

据我所知有两件事

大使应用编程接口网关和边缘堆栈

大使是开源的，而边缘堆栈是付费版本。

您可以在VM和linux上安装边缘堆栈，但对于API网关，只有YAML和helm可用。

您可以设置速率限制来保存DDos。

在同一个k8s集群中托管应用程序接口网关的

可能会因为不需要的流量而导致集群不堪重负，但如果我在单独的k8s集群应用程序上托管应用程序接口网关，则可以从这种情况下节省k8s集群。

在这种情况下您是对的，但是如果您使用的是K8s，那么您可以使用节点亲和性来修复特定节点上的API网关的pod，或者将其作为守护进程集运行。设置关联和反关联可能有助于分离PODs或应用程序和API网关。