istio 限流在官网的位置是 任务->策略执行->使用 Envoy 启用速率限制

istio 限流基于数据面 Envoy 开发，Envoy 支持两个类型限流，分别是本地限流和全局限流（本地限流和全局限流可以一起使用）

开始之前

• 安装 istio
• 部署 bookinfo 应用，参考 istio 专栏文章

本地限流

概念

• 配置为单实例，例如当 replicaset 设置为3，token_bucket 为3时，每个 pod 都可以处理3个请求，总共9个请求，与全局限流不一样
• 不依赖任何外部后端（无需调用其他服务）
• 基于 令牌桶机制，支持四层对连接的限制和七层对请求数的限制
  • 令牌桶算法是一种限制发送到服务端的请求数量的方法，基于一定数量的令牌桶。存储桶以恒定的速
    率不断填充令牌，当向服务发送请求时，会从存储桶中删除一个令牌。如果存储桶为空，则请求将被
    拒绝。通常需要指定以下内容：
    • 桶被填充的速率（填充间隔）
    • 每个填充间隔添加到桶中的令牌数

demo 测试

• 部署官网提供的 demo
• 创建本地限流的 envoyfilter 文件

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:name: filter-local-ratelimit-svcnamespace: mm-xianliu
spec:workloadSelector:labels:app: productpageconfigPatches:- applyTo: HTTP_FILTERmatch:context: SIDECAR_INBOUNDlistener:filterChain:filter:name: "envoy.filters.network.http_connection_manager"patch:operation: INSERT_BEFOREvalue:name: envoy.filters.http.local_ratelimittyped_config:"@type": type.googleapis.com/udpa.type.v1.TypedStructtype_url: type.googleapis.com/envoy.extensions.filters.http.local_ratelimit.v3.LocalRateLimitvalue:stat_prefix: http_local_rate_limitertoken_bucket:max_tokens: 3tokens_per_fill: 3fill_interval: 30sfilter_enabled: # 启用runtime_key: local_rate_limit_enableddefault_value:numerator: 100denominator: HUNDREDfilter_enforced:  # 强制执行runtime_key: local_rate_limit_enforceddefault_value:numerator: 100denominator: HUNDREDresponse_headers_to_add: # 被限流流量添加 header- append: falseheader:key: x-local-rate-limitvalue: 'true'

其中 filter_enabled 表示添启用本地限流功能，filter_enforced 表示强制执行本地限流，response_headers_to_add 表示被限流的流量的 response 中会加上这个 header

filter_enabled 和 filter_enforced 需要一起使用

例如，设置令牌桶的数量为3，允许30s 内3最多三次访问，第四次访问失败时会在 response 中添加 x-local-rate-limit: true 的 header

全局限流