HashiCorp Vault的一个常见要求是如何更好地防范分布式拒绝服务（DDoS）攻击。在Vault 1.5中，我们添加了一个名为"资源配额"的新功能，它允许您通过使用请求速率限制和计数器，以可预测的方式保护Vault环境的稳定性和资源消耗，防止应用程序失控。Vault操作员现在可以使用资源配额来控制应用程序如何从Vault请求资源，方法是使用：速率限制配额（所有版本）：允许操作员指定每秒请求配额。速率限制配额适用于保险库群集中的每个节点，这意味着每个节点都将维护单独的计数器以实施速率限制。如果在保险库群集中的任何节点上达到速率限制配额限制，则将取消所有HTTP状态代码为"429 Too Many requests"的客户端的其他请求。租约计数配额（仅限企业）：允许操作员指定租约计数配额。如果群集中的租约数量达到配置的配额限制，则在租约被吊销或过期之前，将禁止为所有客户端创建额外的租约。资源配额允许您保护您的保险存储环境，使其不受行为不端的应用程序的影响，这些应用程序可能会通过高请求率无意中使保险库群集中的资源饱和。通过取消超过设定速率的需求，我们可以保持保险库的整体运行状况。»资源配额的工作原理要了解这是如何工作的，让我们看一个通过sys/quotes/rate limit/端点设置全局速率限制配额的示例。我们可以使用以下命令写入所需的请求速率：$vault write sys/配额/速率限制/全局速率=500如果速率设置为500，则客户端可以以每秒500的指定速率请求。要了解有关这些选项的更多信息，请参阅我们的文档。为了验证事情是否按预期工作，让我们读回"全局速率"，我们可以执行以下命令：$vault read sys/配额/速率限制/全局速率键值--- -----名称全局速率路径不适用费率500类型费率限制现在，假设您有一个web应用程序，它每隔一段时间从保险库获取一个API密钥（甚至不接近我们的速率限制）。但是，应用程序遇到错误并进入一个奇怪的状态，并开始请求超过我们设置的速率限制的机密。最终，这将保护保险库，并确保我们为其他所有人提供一个健康的集群，即使这个应用程序行为不端。在应用程序端，您将看到一条如下所示的错误消息，当达到速率限制时，我们返回一个HTTP状态代码"429TooManyRequests"。将数据写入kv/webapp/apikey时出错：发出API请求时出错。网址：PUT：8200/v1/kv/webapp/apikey代码：429。错误：请求路径"kv/webapp/apikey"：超出速率限制配额在我们详细的学习指南和文档中，我们有更多的示例用例，跨越了开源和企业。»监视资源配额由于违反速率限制配额规则而被拒绝的请求可能会出现在一些不同的地方。发出请求并超出配额的客户机将收到如上所示的错误消息。但是，操作人员可能还想知道由于速率限制，客户端请求被拒绝，因为这可能导致服务中断和进一步调试情况。当涉及到监视资源配额时，操作有几个选项。如果启用了请求的审核日志记录，则可以检测何时由于违反速率限制配额规则而拒绝请求。请注意，关闭审核日志记录时，默认情况下不会记录由于违反速率限制而被拒绝的请求。下面是审计日志事件在服务器端的显示示例。{"time"："2020-07-17T05:40:54.733026Z"，"type"："请求"，"授权"：{"token_type"："默认值"},"请求"：{"id"："f15a1a00-c4cb-d479-ed74-f91a2ec233ac"，"operation"："更新"，"命名空间"：{"id"："根"},"path"："kv/webapp/apikey"，"数据"：{"数据"：{"pasword"："hmac-sha256:35A720A99D995958996638B5D2D6D9039F78EA7D7BEF2A2CFD1717C083CC"},"选项"：{}},"远程地址"："127.0.0.1"},"error"："请求路径\"kv/webapp/apikey\"：超出速率限制配额"}另一个选择是使用我们增强的遥测资源配额指标来监视、可视化和潜在地警告这些类型的事件。下表概述了新添加的遥测指标，这些指标可用于监测。公制说明单位类型定额费率限额.违反违反速率限制配额的总数定额柜台quota.lease_计数.违反违反租约计数配额的总数定额柜台quota.lease_计数.最大值租约计数配额允许的最大租约总量租赁测量quota.lease_计数.计数器租约计数配额生成的当前租约总数租赁测量有关遥测的更多信息，请参阅我们的文档。»下一步行动有关资源配额的详细信息，请参阅我们的学习指南或文档。另外，如果你喜欢玩这种类型的东西，也许你会有兴趣在HashiCorp工作，因为我们正在招聘！