Apache APISIX 中 limit-count 插件与自定义错误处理的实践

问题背景

在 Apache APISIX 的实际使用中，我们发现当 limit-count 插件触发请求限制并返回 429 状态码时，这些响应状态码并没有被正确地记录到监控指标中。这个问题最初被误认为是 APISIX 的 bug，但经过深入分析后发现其实是与自定义错误页面处理机制有关。

问题分析

当 limit-count 插件拒绝请求时，APISIX 确实会生成 429 状态码，并记录如下警告日志：

2025/02/25 08:16:10 [warn] 49#49: *42708330 [lua] plugin.lua:1153: run_plugin(): limit-count exits with http status code 429

然而，这些 429 响应却没有出现在 Prometheus 或 Datadog 的监控指标中。经过排查发现，这是因为在 Nginx 配置中自定义了 error_page 处理机制：

error_page 400...429... @error;
location @error {
  default_type 'text/html';
  echo '<html><head><title>$status $status_text</title></head><body><center><h1>$status $status_text</h1></center></html>';
}

这种配置会导致所有错误响应（包括 429）被重定向到自定义错误处理位置 @error，从而绕过了 APISIX 的指标收集机制。

解决方案

为了解决这个问题，我们开发了一个自定义插件来正确处理错误响应，同时保持监控指标的完整性。以下是插件的主要实现思路：

1. 插件优先级：设置为 10，确保在大多数插件之后执行
2. 匹配条件：专门针对 429 状态码进行处理
3. 响应处理：
   • 在 header_filter 阶段清除可能被修改的响应头
   • 在 body_filter 阶段重写响应体内容

local core = require("apisix.core")
local schema = {
  type = "object",
  properties = {},
  required = {},
}

local _M = {
  version = 0.1,
  priority = 10,
  name = "custom-error-handler",
  schema = schema,
}

function _M.check_schema(conf)
  return core.schema.check(schema, conf)
end

local function is_match()
  return ngx.status == 429
end

function _M.header_filter(conf, ctx)
  if is_match() then
    core.response.clear_header_as_body_modified()
  end
end

function _M.body_filter(conf, ctx)
  if is_match() then
    local body = core.response.hold_body_chunk(ctx)
    if not body then
      return
    end
    ngx.arg[1] = "<html><head><title>" .. ngx.status .. " " .. ngx.var.status_text .. "</title></head><body><center><h1>" .. ngx.status .. " " .. ngx.var.status_text ..  "</h1></center></html>\n"
  end
end

return _M

实现要点

1. 状态码保持：插件处理过程中不会改变原始状态码，确保监控系统能正确记录
2. 响应体重写：在保持状态码的同时，自定义了错误页面的内容
3. 性能考虑：仅对特定状态码进行处理，避免不必要的开销

扩展思考

这个解决方案虽然解决了 429 状态码的监控问题，但还有进一步优化的空间：

1. 通用错误处理：可以扩展插件以处理更多类型的错误状态码
2. 动态配置：通过插件配置决定哪些状态码需要特殊处理
3. 内容模板化：支持从配置文件加载错误页面模板
4. 区分错误来源：识别是 APISIX 生成的错误还是上游服务返回的错误

最佳实践建议

1. 在使用自定义错误页面时，务必考虑对监控系统的影响
2. 对于关键状态码（如 429）建议保留原始响应头信息
3. 自定义插件的优先级需要根据实际需求仔细设置
4. 在生产环境部署前，充分测试插件的各种边界情况

通过这种自定义插件的方式，我们既保持了友好的错误页面展示，又确保了监控系统的完整性，是 APISIX 灵活插件体系的一个典型应用案例。