Rate Limiting

[Ceredron]

Beskrivelse

Et av problemene med den gamle løsningen var at /file endepunktet, som ble brukt for å søke opp filer, ble pollet for hardt. Det skal ikke være nødvendig i den nye løsningen takket være integreringen av Altinn Events. Men vi bør allikevel forhindre at brukere gjør det.

Vi oppnår det med rate limiting policies. En slik definerer for eksempel at et endepunkt kan kalles 30 ganger i minuttet, og hvis en bruker overgår det får de en "HTTP 429: Too many requests" feilmelding.

Vi har støtte for rate limiting via APIM policies: https://learn.microsoft.com/en-us/azure/api-management/rate-limit-policy

• [ ] Stadfest hvor mange kall vi bør tillate for hvert endepunkt.
• [ ] Implementer APIM policy (https://dev.azure.com/brreg/_git/altinn-studio-ops)
• [ ] Test det (gjenbruke ytelsestestene/K6?)
• [ ] Monitorering / varsling når grenser overskrides

[RagnarFatland-Avanade]

Jeg vil si at følgende operasjoner er tyngst:

• Search / GetFiles
• GetFileDetails

En generell grense der på 10 ganger i minuttet burde være en grei startverdi, med mulighet for at vi justerer etter erfaring. Resten kan ha en høyere generell verdi, feks. 60 per minutt. Legacy-endepunktet bør eksluderes fra all Rate-Limiting.

Vi kan se på bruk etterhvert om det bør justeres.