我目前正在开展一个项目,希望在负载均衡器级别对每个用户的 IP 地址应用速率限制。这个想法是限制在给定时间单位内超过特定请求限制的任何用户。
注意:我正在使用 Google Cloud Armor。
该架构涉及负载均衡器前面的 CDN。据我了解,使用 CDN 时,我的负载均衡器看到的传入请求的 IP 地址是 CDN 的 IP,而不是原始客户端的 IP。
我已经尝试使用 XFF_IP 进行速率限制,它似乎按预期工作。但是,我不确定如何防止潜在的 XFF 标头欺骗。任何见解或建议都将不胜感激。
我阅读了 Pulumi 的文档,以了解我可以强制执行的不同密钥。已知 XFF_IP 存在故障。
我可以采取什么措施来防止 XFF 标头欺骗并确保准确的速率限制?