用 Go 写个极简反向代理,把 CC 攻击挡在业务容器之外
最近容器化改造,所有业务都跑在 K8s 里。某天 3 点 15 分,Prometheus 疯狂告警:某个业务 Pod CPU 飙到 200%,原因是 /api/search 接口被刷。传统的 WAF 在集群外,流量已经压到 Ingress 上了,再往上加规则来不及。于是干脆在业务前面再插一层 Go 写的「微型网关」,在流量进容器之前就把它丢掉。
1. 项目结构
tiny-guard/
├── main.go
├── limiter.go
├── go.mod
2. 核心代码
main.go(不到 120 行,可直接 go run):
package mainimport ("log""net/http""net/http/httputil""net/url""sync""time"
)// 滑动窗口计数器
type window struct {mu sync.RWMutexcounter intresetTime int64
}var store = make(map[string]*window)func getIP(r *http.Request) string {// 简单取 X-Forwarded-For 第一个ip := r.Header.Get("X-Forwarded-For")if ip == "" {ip = r.RemoteAddr}return ip
}func allow(ip string) bool {w, ok := store[ip]if !ok {w = &window{}store[ip] = w}w.mu.Lock()defer w.mu.Unlock()now := time.Now().Unix()if now-w.resetTime > 60 {w.counter, w.resetTime = 0, now}w.counter++return w.counter <= 100 // 每分钟 100 次
}func main() {target, _ := url.Parse("http://127.0.0.1:8080 ")proxy := httputil.NewSingleHostReverseProxy(target)http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {ip := getIP(r)if !allow(ip) {http.Error(w, "too fast", http.StatusTooManyRequests)return}proxy.ServeHTTP(w, r)})log.Println("listening :9000")log.Fatal(http.ListenAndServe(":9000", nil))
}
3. 运行测试
go run .
# 另开窗口
ab -n 1000 -c 50 http://localhost:9000/api/search
观察日志,大量 429 Too Many Requests,后端 Pod CPU 立刻降回正常水位。
4. 进阶玩法
- 把
store换成 Redis + TTL,就能在多个网关实例间共享。 - 需要更高并发量?把限流逻辑换成令牌桶即可,代码量不超过 20 行。
- 如果你不想自己维护网关镜像,直接给集群前面挂一个 高防 IP,厂商已经帮你把滑动窗口、令牌桶、人机验证都封装好了,剩下的就是配几条规则、喝杯咖啡等告警解除。
5. 一行部署
docker build -t tiny-guard .
kubectl apply -f k8s/deployment.yaml