Rate Limiting

In computer networks, rate limiting is used to control the rate of requests sent or received by a network interface controller. It can be used to prevent DoS attacks and limit web scraping.

via: https://en.wikipedia.org/wiki/Rate_limiting

rate limiting，通常叫做“速率限制”，“流量限制”。用于控制到达服务端的请求量，避免出现爆发式的增长，导致服务不可用。把“异常” 的请求丢掉（比如 DDos 攻击，爆破登录），“正常”的用户请求得到处理。另外，在“正常”流量也比较高的情况下，控制请求的速率（延迟）， 让服务端可以在自己的承受范围内把请求平滑的处理掉。

在哪里做限流？

一般会放在客户端，代理层（gateway/proxy），服务器三块。

1. 客户端：在请求时做流量控制，这样实现最简单。但前提假设是认为这些都是“正常”的流量。 自己的服务一般不会用这种方法，第三方的 APIs，为了避免出现被 block，可以在调用时做限流；
2. 代理层：比如入口（公司/集群） nginx；waf 也是常见的流量控制（从安全层面）器；当然更常见的是微服务网关，限流熔断基本是 微服务网关的标配。通常限流会放在代理层实现，好处是下游的服务们不需要关心限流的事情（否则每个服务都自己实现一遍成本太高）；
3. 服务层：服务自身当然也可以实现限流，灵活性很高。但通常适用于与业务逻辑强相关的事情，通用的比如 IP，API 的限制放在代理层更好；

有 5 种限流算法，各有优劣势。

主要选取基于 go 的实现：

• 令牌桶：go 的官方标准库中 time 封装了一个 rate limiter，核心算法就是 token bucket
• 漏桶：uber 开源的 ratelimit
• 滑动窗口：https://github.com/RussellLuo/slidingwindow
• 固定窗口和滑动日志用的比较少，知名的开源实现也少

https://github.com/zhangjie2012/yo-ratelimit

分别实现了 token-bucket 和 sliding-window 两种算法。我的场景是需要针对单个 IP 或者用户请求进行限流， 所以额外加了一个 RateLimitPool 的实现。

• 漏桶的好处是任何时候流量都是非常均匀的，问题是无法处理流量不均匀或者突发（burst）情况（会被阻塞），特定场景才会使用；
• 令牌桶解决了漏桶无法处理突发流量的问题，能够处理上游的不均匀流量；
• 固定窗口在窗口边界的前后赶上流量高峰是没办法的检测到的，误差较大，所以一般不用于生产；
• 滑动日志解决了固定窗口的问题，当流量大时，缺点也很明显：无论是存储空间，还是计算成本都比较昂贵，一般也不会使用；
• 滑动窗口方法是固定窗口的改进，可以处理流量突发场景。

以上 5 种算法实现都不复杂，各有优劣。令牌桶和滑动窗口都可以处理流量不够均匀的情况，建议使用。不过这几种算法都是针对单机的实现，不适合分布式场景下。

• Rate limiting Part 1，Rate limiting Part 2 推荐这两篇文章
• Effectively Managing Rate Limiting APIs 推荐
• What Is a Rate Limiter?
• 如何设计一个分布式限流器（distributed rate limiter）
• System Design: Sliding window based Rate Limiter
• 4 Rate Limit Algorithms Every Developer Should Know