Gloo Gateway 速率限制配置指南

前言

在现代微服务架构中，API 速率限制是保护后端服务免受突发流量冲击的重要手段。Gloo Gateway 提供了多种速率限制方案，可以满足不同场景下的需求。本文将详细介绍如何在 Gloo Gateway 中配置和使用速率限制功能。

环境准备

在开始配置速率限制前，需要确保以下环境已就绪：

1. 已部署 Kubernetes 集群
2. 已安装 Gloo Gateway（企业版或开源版）
3. 已部署测试应用（如 Pet Store 示例应用）

速率限制 API 选择

Gloo Gateway 提供了三种速率限制 API，各有特点：

1. Envoy API

适用版本：开源版和企业版

特点：

• 基于描述符（descriptors）和动作（actions）的配置方式
• 描述符的顺序很重要，必须完全匹配才会触发限制
• 适合大多数常规速率限制场景

示例场景：

• 限制带有 x-type 头的请求
• 限制同时带有 x-type 和 x-number: 5 头的请求

2. Set-Style API

适用版本：仅企业版

特点：

• 同样基于描述符和动作，但描述符是无序的
• 支持通配符匹配
• 适合更复杂的速率限制场景
• 可与 Envoy API 同时使用

示例场景：

• 限制带有 x-type: a 头的请求
• 限制带有 x-number: 1 头的请求
• 限制带有任意 x-color 头的请求

3. Gloo Gateway API

适用版本：仅企业版

特点：

• 最简单的配置方式
• 直接在虚拟服务中指定限制规则
• 支持区分认证和匿名请求
• 适合简单的按路由或主机的限制需求

速率限制实现方案

方案一：使用 RateLimitConfig 资源（仅企业版）

这是企业版推荐的配置方式，可以集中管理速率限制规则并在多个虚拟服务中复用。

配置步骤：

1. 创建 RateLimitConfig 资源定义规则：

apiVersion: ratelimit.solo.io/v1alpha1
kind: RateLimitConfig
metadata:
  name: my-rate-limit-policy
  namespace: gloo-system
spec:
  raw:
    descriptors:
    - key: generic_key
      value: counter
      rateLimit:
        requestsPerUnit: 1
        unit: MINUTE
    rateLimits:
    - actions:
      - genericKey:
          descriptorValue: counter

2. 在虚拟服务中引用该规则：

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: default
  namespace: gloo-system
spec:
  virtualHost:
    options:
      rateLimitConfigs:
        refs:
        - name: my-rate-limit-policy
          namespace: gloo-system

方案二：分离式配置（开源版和企业版）

这种方式需要在 Settings 资源中定义描述符，在虚拟服务中定义动作。

配置步骤：

1. 更新 Settings 资源定义描述符：

spec:
  ratelimit:
    descriptors:
      - key: generic_key
        value: "per-minute"
        rateLimit:
          requestsPerUnit: 1
          unit: MINUTE

2. 在虚拟服务中定义动作：

spec:
  virtualHost:
    options:
      ratelimit:
        rateLimits:
          - actions:
              - genericKey:
                  descriptorValue: "per-minute"

方案三：Gloo Gateway 简单 API（仅企业版）

配置步骤：

spec:
  virtualHost:
    options:
      ratelimitBasic:
        anonymous_limits:
          requests_per_unit: 1
          unit: MINUTE
        authorized_limits:
          requests_per_unit: 1000
          unit: SECOND

验证配置

应用配置后，可以通过以下命令验证虚拟服务的配置：

kubectl describe vs default -n gloo-system

最佳实践

1. 测试环境：建议先在测试环境验证速率限制规则
2. 渐进式部署：生产环境可以先设置较宽松的限制，再逐步收紧
3. 监控：结合监控指标观察速率限制效果
4. 日志：启用访问日志记录被限制的请求

总结

Gloo Gateway 提供了灵活的速率限制方案，从简单的全局限制到复杂的基于多条件的限制都能支持。企业用户可以根据需求选择最适合的 API 类型，而开源用户可以使用 Envoy API 满足基本需求。正确配置速率限制可以有效保护后端服务，提升系统稳定性。