Envoyproxy/Ratelimit 实现基于IP和端点的精细化限流配置

概述

在现代微服务架构中，API限流是保护系统免受恶意请求和过载的重要手段。Envoyproxy/Ratelimit作为一款高性能的限流服务，能够实现细粒度的访问控制策略。本文将详细介绍如何配置Envoy和Ratelimit服务，实现基于不同IP地址和不同端点的差异化限流策略。

核心配置解析

Ratelimit服务配置

Ratelimit服务的核心在于其配置文件的定义，通过config.yaml文件可以设置不同维度的限流规则：

domain: edge_proxy_per_ip
descriptors:
  # 特定IP地址对/api端点的无限访问权限
  - key: remote_address
    value: <特定IP地址>
    descriptors:
      - key: api_path
        value: "/api"
        rate_limit:
          unlimited: true
  
  # 其他IP地址的通用规则
  - key: remote_address
    descriptors:
      - key: api_path
        value: "/api"
        rate_limit:
          unit: minute
          requests_per_unit: 100
      - key: default_path
        value: "/"
        rate_limit:
          unit: minute
          requests_per_unit: 500

这个配置实现了：

1. 对特定IP地址访问/api端点不做任何限制
2. 其他IP地址访问/api端点每分钟限制100次请求
3. 所有IP地址访问根路径(/)每分钟限制500次请求

Envoy配置要点

Envoy的配置需要与Ratelimit服务协同工作，关键点包括：

1. 启用远程地址识别：

   use_remote_address: true
   skip_xff_append: false
   

2. 限流过滤器配置：

   - name: envoy.filters.http.ratelimit
     typed_config:
       "@type": type.googleapis.com/envoy.extensions.filters.http.ratelimit.v3.RateLimit
       domain: edge_proxy_per_ip
       rate_limit_service:
         grpc_service:
           envoy_grpc:
             cluster_name: ratelimit
   

3. 路由级限流动作定义：

   • 对/api端点的限流规则：

     - match:
         path_separated_prefix: "/api"
       route:
         cluster: service_wwe
         rate_limits:
         - actions:
           - request_headers:
               header_name: x-forwarded-for
               descriptor_key: remote_address
     

   • 对根路径的限流规则：

     - match:
         prefix: "/"
       route:
         cluster: service_fe
         rate_limits:
         - actions:
           - request_headers:
               header_name: x-forwarded-for
               descriptor_key: remote_address
     

常见问题与解决方案

1. 限流规则不生效

可能原因：

• Envoy与Ratelimit服务之间的gRPC连接未正确建立
• 配置中的domain名称不匹配
• 请求头(x-forwarded-for)未正确传递

解决方案：

• 检查ratelimit集群的健康状态
• 确保Envoy和Ratelimit配置中使用相同的domain名称
• 验证请求头是否包含真实的客户端IP

2. 特定IP的白名单不工作

可能原因：

• IP地址格式不正确
• 路由匹配规则与限流动作不匹配
• unlimited拼写错误(注意原配置中的typo)

解决方案：

• 确认IP地址格式(IPv4/IPv6)
• 检查路径匹配规则是否精确
• 修正拼写错误，使用正确的"unlimited"关键字

最佳实践建议

1. 分层限流策略：

   • 在边缘网关实施粗粒度限流
   • 在服务层面实施细粒度限流
   • 结合业务逻辑实现动态限流

2. 监控与告警：

   • 监控限流触发事件
   • 设置合理的告警阈值
   • 定期审查限流规则的有效性

3. 配置版本控制：

   • 对限流配置进行版本管理
   • 实现配置的自动化部署
   • 建立配置回滚机制

总结

通过合理配置Envoyproxy/Ratelimit，可以实现灵活的、基于多维度(IP、端点等)的API限流策略。关键在于正确理解描述符(descriptor)的层级结构和匹配逻辑，以及确保Envoy与Ratelimit服务之间的正确交互。本文提供的配置示例和问题解决方案，可以帮助开发者快速实现复杂的限流需求，保障系统的稳定性和安全性。