AWS WAF中突发事件的处理

Question

有一个用例，我们需要在ECS上为我们的API实现速率限制。最初，我们使用了北草坪会议大楼，但由于要求使用速率限制，使用户不能损害我们的AWS资源。资源流动

WAF <-> ALB <->ECS

我们已经对WAF实行了利率限制，但是它对我们不起作用，因为下面的警告来自WAF上的AWS文档

以下警告适用于基于AWS速率的规则：

AWS WAF每30秒检查一次请求速率，每次对前5分钟的请求进行计数。因此，IP地址有可能在AWS WAF检测并阻止它之前以太高的速率发送30秒的请求。AWS WAF可以阻塞多达10,000个IP地址。如果超过10,000个IP地址同时发送高速率的请求，AWS WAF只会阻止10,000个请求。

我们的用户批量端口请求，就像4K请求一样，在10秒内提交，这绕过了WAF规则。

我们不能使用AWS网关，因为我们的响应也可以超过10 MB，集成超时也是30秒，但是我们的响应可以上升到某个时间，1分钟。

除了基于应用的速率限制之外，还有什么其他的方法可以在这里使用吗？

Answer 1

我建议采取以下办法：

1. 将CloudFront放在ALB
2. 的前面，配置WAF，在CloudFront上限制了对ALB的访问，只有
3. 才能对CloudFront (GET、HEAD和OPTIONS请求)进行缓存(

)。

这样，如果对应用程序的GET请求出现尖峰，CloudFront将直接从缓存发送响应。该请求不会击中ALB，也不会击中您的ECS服务。