Boulder项目中的Redis速率限制机制优化：从SET到INCRBY的演进

在分布式系统设计中，速率限制是一个至关重要的组件，它保护系统免受过载请求的影响。Boulder项目作为Let's Encrypt的ACME服务器实现，近期对其Redis速率限制机制进行了一项重要改进，将原有的SET操作替换为INCRBY操作，从根本上解决了在高并发场景下的速率限制绕过问题。

原有机制及其缺陷

Boulder项目原本采用基于Redis的速率限制机制，其核心工作原理如下：

1. 从Redis读取当前的"理论到达时间"(Theoretical Arrival Time, TAT)
2. 将请求成本（令牌数量乘以发射间隔）加到TAT上
3. 如果新的TAT超过允许的未来时间窗口，则拒绝请求
4. 否则，使用SET命令将新的TAT写回Redis

这种设计在常规流量下表现良好，但在客户端极速发送大量请求时会出现竞态条件。当多个请求几乎同时到达时，它们可能读取相同的TAT值，计算出相同的新TAT值，然后都将这个相同的新TAT值写回Redis。这种情况下，系统无法感知到这些额外的请求，导致速率限制被绕过。

问题本质分析

这个问题的根源在于"读取-修改-写入"模式中的非原子性操作。在数据库实现的速率限制中，虽然也存在类似的读取-修改-写入结构，但由于写入操作通常是追加式的（如在Orders表中插入新行），系统最终能够识别出所有请求并开始阻止未来的请求。

Redis的SET操作是覆盖式的，多个并发请求会互相覆盖对方的写入，导致系统无法准确跟踪实际的请求量。这与数据库的追加写入形成鲜明对比，后者能够保留所有请求的历史记录。

解决方案：INCRBY的引入

受业界类似方案的启发，Boulder团队决定采用Redis的INCRBY命令来重构速率限制机制。新的工作流程如下：

1. 从Redis读取当前的TAT（存储为Unix纪元整数）
2. 将请求成本（整数秒数）加到TAT上
3. 如果新的TAT超过允许的未来时间窗口，则拒绝请求
4. 否则，使用INCRBY命令将请求成本增量写入Redis

这种改进带来了几个关键优势：

1. 原子性操作：INCRBY是原子操作，消除了竞态条件
2. 累积效应：多个INCRBY操作会叠加，而不是互相覆盖
3. 精确计数：系统能够准确跟踪所有请求，即使在高并发情况下
4. 即时响应：系统能够立即识别超额请求，而不需要等待后续请求

技术实现细节

在实际实现中，每个速率限制计数器现在存储为一个整数，表示当前的理论到达时间。当请求到达时：

• 系统首先检查当前TAT与当前时间的差值
• 如果差值超过允许的窗口，请求被拒绝
• 否则，系统使用INCRBY命令增加TAT值
• 增加后的TAT值用于决定后续请求的处理

这种设计确保了即使在极高并发情况下，系统也能准确跟踪所有请求，防止任何客户端绕过速率限制。

总结

Boulder项目通过将Redis速率限制机制从SET操作改为INCRBY操作，有效解决了高并发场景下的速率限制绕过问题。这一改进不仅提升了系统的安全性，也展示了在分布式系统中处理竞态条件的经典模式。通过利用Redis的原子性增量操作，Boulder现在能够提供更加可靠和精确的速率限制功能，这对于像Let's Encrypt这样关键的基础设施服务至关重要。