您在哪里以及如何配置速率限制？

Question

您在哪里以及如何配置速率限制？

Accepted Answer

速率限制限制了客户端在时间窗口内可以发出的请求数。您在**多个层**上应用它，因为每一层看到的东西不同，您用**任何标识滥用者的东西**来键入它。

## 在哪里配置

- **Edge / CDN** — 第一道防线，在流量到达您之前。强制执行最便宜（攻击者永远不会触及您的origin），但很粗糙，通常由IP键入。
- **Reverse proxy** (nginx, Envoy) — 保护origin免受通过CDN的泛滥，对zones和bursts有细致的控制。
- **Application layer** — 最聪明的层：它知道**用户、API key或token**，所以它可以应用per-account quotas并保护proxy看不到的昂贵业务操作。

## 如何键入和整形

- **键入**IP（匿名）、API key（合作伙伴）或authenticated user（per-account fairness）。
- **Token bucket对比leaky bucket** — token bucket通过积累令牌来允许短**bursts**，然后逐渐平稳；leaky bucket平滑到恒定速率。大多数API希望token bucket，这样合法的bursts不会受到惩罚。
- **从基线+headroom选择限制** — 测量每个客户端的正常峰值，然后舒适地将cap设置在其上方，以便真实用户永远不会触及它。
- **返回`429 Too Many Requests`和`Retry-After`**，以便客户端礼貌地退避，而不是不断敲击。

## 示例：nginx limit_req

```nginx
# Define a shared-memory zone keyed by client IP.
# rate=10r/s = the steady refill rate (token bucket).
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;

server {
    location /api/ {
        # burst=20: allow a short spike of 20 queued requests
        # nodelay: serve the burst immediately instead of spacing it out
        limit_req zone=api burst=20 nodelay;

# Return 429 (not the default 503) so clients see a rate-limit signal
        limit_req_status 429;

proxy_pass http://backend;
    }
}
```

这里每个IP以10 requests/second速率补充，最多可以burst到20，任何超过此限制的都会得到`429`。

## 为什么这很重要

速率限制是您对Layer 7泛滥、凭证填充和失控爬虫最便宜、始终启用的防御。对其进行分层（edge用于容量、proxy用于origin、app用于业务逻辑）并正确地对其进行键入可以阻止滥用者，同时真实用户——和合法的bursts——无障碍通过。从真实基线设置限制正是防止它成为您自己造成的中断的原因。