rack-attack gemによるリクエスト制限の失敗と学び

Transcript

1. © SmartHR, Inc. rack-attack gemによる リクエスト制限の失敗と学び @pndcat 2025/12/06 北陸Ruby会議01

2. 自己紹介 • なっちゃん / pndcat • 本業：SmartHRで労務の基本機能を開発 • 社外活動：カンファレンスの運営 ◦

   RubyKaigi ◦ 関ケ原Ruby会議01 ◦ 東京Ruby会議12 2

3. テーマ「みんなの Ruby の使い方」 • 普段、身近に使っている rack-attack gemの 話をします • Rubyでリクエスト制限に興味がある人に届い

   てほしい!! 3

4. 今日扱う「リクエスト制限」とは • 対象 ◦ Rails / Rackミドルウェアでやる範囲 ◦ APIの安定運用を目的としたリクエスト制限 ▪

   ユーザーに正しくAPIを利用してもらうための制限 • 対象外 ◦ インフラレイヤのリクエスト制限 ◦ DoS攻撃を防ぐためのセキュリティ対策 4

5. SmartHRと リクエスト制限 5

6. Rails / Rack のリクエスト制限の代表 • ActionController::RateLimiting • rack-attack 6

7. ActionController::RateLimiting • Rails 8からリクエスト制限が標準機能に • シンプルに実装できる ◦ サッとリクエスト制限を実装したい方におすすめ 7 class

   SessionsController < ApplicationController rate_limit to: 100, within: 1.minute, by: -> { request.domain }, only: create end

8. rack-attack • Rackでリクエスト制限をする定番gem • 柔軟なリクエスト制限を実現できる ◦ throttle (レート制限) も柔軟に定義できる ◦

   怪しい挙動のときだけBANする ◦ 制限に引っかかったときの情報をレスポンスヘッ ダーで返せる 8

9. SmartHRのリクエスト制限のルール • トークンごとのリクエスト制限 ◦ 1時間で5000回までリクエストできる • サブドメインごとのリクエスト制限 ◦ 1分間で50000回までリクエストできる 9

10. 10 class Rack::Attack class ::Rack::Attack::Request # Authorization ヘッダーからトークン文字列を取得 def token_string

    get_header("HTTP_AUTHORIZATION") end end throttle("token", limit: 5000, period: 1.hour) do |req| req.token_string end throttle("subdomain", limit: 50000, period: 1.minute) do |req| req.host end end SmartHRで動いているコードを発表用に加工しています config/initializers/rack_attack.rb

11. リクエスト制限の情報をヘッダーに返す • ユーザーがAPIを使いやすいようにリクエスト 制限の情報をヘッダーに返している 11 x-rate-limit-limit 期間内でリクエストできる最大回数 x-rate-limit-reset 制限がリセットされるまでの秒数 x-rate-limit-remaining

    リクエストできる残り回数

12. レスポンスヘッダ（抜粋） x-rate-limit-limit: 5000 x-rate-limit-reset: 433 x-rate-limit-remaining: 0 x-intensive-rate-limit-limit: 50000 x-intensive-rate-limit-reset:

    13 x-intensive-rate-limit-remaining: 44999 12 トークンに関する情報 サブドメインに 関する情報

13. 13 self.throttled_responder = ->(request) { throttle_data = request.env["rack.attack.throttle_data"] if throttle_data.key?("token")

    counts = throttle_data["token"] reset = counts[:period] - (Time.now.to_i % counts[:period]) remaining = (counts[:limit] - counts[:count]).clamp(0..) header["X-Rate-Limit-Limit"] = counts[:limit].to_s header["X-Rate-Limit-Reset"] = reset.to_s header["X-Rate-Limit-Remaining"] = remaining.to_s end if throttle_data.key?("subdomain") # 略 end [429, header, ["Throttled\n"]] } 残り回数などを計算 headerに詰める 制限を超過したらthrottled_responderが 実行されるので、headerに情報を詰める

14. ある日、大量の リクエストが飛んで きた 14

15. • 想定を上回るリクエストがあり、障害が発生 • 実装やインフラ構成も修正をしたが、リクエ スト制限も見直すことになった 15 障害が発生した

16. 新しいリクエスト制限 • トークンごとのリクエスト制限 ◦ 1時間で5000回までリクエストできる ◦ 1秒間で10回までリクエストできる • サブドメインごとのリクエスト制限 ◦

    1分間で50000回までリクエストできる 16

17. 17 throttle("token", limit: 5000, period: 1.hour) do |req| req.token_string end

    throttle("token_second", limit: 10, period: 1.second) do |req| req.token_string end throttle("subdomain", limit: 50000, period: 1.minute) do |req| req.host end 追加 throttleの定義を追加

18. 18 self.throttled_responder = ->(request) { throttle_data = request.env["rack.attack.throttle_data"] if throttle_data.key?("token")

    # 略 end if throttle_data.key?("token_second") # 略 end if throttle_data.key?("subdomain") # 略 end [429, header, ["Throttled\n"]] } 追加 headerに情報を詰める

19. リクエスト制限の追加をサッと対応 • 1秒間で10回までのリクエスト制限ができた！ 19

20. 「レスポンスヘッダの 情報が足りない」と お問い合わせが入る… 20

21. throttleの順番が良くなかった • 途中で制限を超えると、それ以降の throttle は評価されない • 後続の throttle_data が存在しないので、 ヘッダー情報が欠けた

    21

22. 修正1. throttleの順番を変更 • 制限が引っかかりづらい順番で定義した ◦ サブドメインごとのリクエスト制限 ▪ 1分間で50000回までリクエストできる ◦ トークンごとのリクエスト制限

    ▪ 1時間で5000回までリクエストできる ▪ 1秒間で10回までリクエストできる 22

23. 修正2. テストを書く • gemのコアな機能を使っているだけなので、テ ストは書いていなかった • 複数の異なる条件のthrottleを定義して、複雑 な状態になっていた ◦ 最初からテストを書くべきだった

    23

24. 学び：複雑なリクエスト制限はやめよう • 複数のリクエスト制限を組み合わせると、運用・ テストの複雑さが増す • シンプルなリクエスト制限にしよう ◦ トークンごと、サブドメインごとはややこしい 24

25. まとめ • rack-attack gemは、柔軟なリクエスト制限 を実現できる • throttleを複数書くときは、緩い定義から書く • 複雑なリクエスト制限にはせず、シンプルなリク エスト制限からはじめよう

    25

26. LTで話せなかった補足 • リクエスト制限の情報をヘッダーに返す話 ◦ throttled_responderは制限を超過したときのみ 実行される ◦ 通常時にもヘッダー情報を返したいなら、コントロー ラ側でもヘッダーを足す必要がある 26