行业研究公司研究宏观策略财报招股书会议纪要中央经济工作会议低空经济 DeepSeek AIGC 大模型

Kubernetes Operator to manage rate limit istio configurations Santiago Núñez-Cacho

信息技术2022-05-26IstioCon 2021：Istio 社区第一届全球峰会B***

AI智能总结

Istio 与 Kubernetes Operator 的速率限制方案

核心观点与背景

介绍了 Istio 在 Kubernetes 环境下的全局速率限制需求，强调通过速率限制保护后端服务（如 App Server、Redis DB）免受过载攻击。
引用 Lyft 的全局速率限制方案作为参考，说明通过配置 Envoy Filter 和 ConfigMap 实现全局速率控制。

速率限制方案部署步骤

部署全局速率限制服务：参考 Lyft 方案，部署全局速率限制服务。
配置全局速率限制服务：
- 通过 ConfigMap 设置限制配置。
- 配置 Envoy Filter 使用全局速率限制服务。

使用 Istio RateLimit Operator：

Operator 通过 Custom Resource (CR) 实现动态速率限制。

示例配置：

apiVersion: networking.softonic.io/v1alpha1
kind: RateLimit
metadata:
  finalizers:
    - ratelimit.networking.softonic.io
spec:
  rate:
    - dimensions:
        - request_header:
            descriptor_key: client-ip
            header_name: real-client-ip
      requestPerUnit: 50
      unit: second
  targetRef:
    apiVersion: networking.istio.io/v1alpha3
    kind: VirtualService
    name: foo
    namespace: foo

关键数据与示例

速率限制配置：

每秒 50 个请求（requestPerUnit: 50, unit: second）。
通过 client-ip 和 destination-cluster 进行维度控制。

示例：

descriptors:
  - key: client_ip
    descriptors:
      - key: destination_cluster
        value: serviceA
        rate_limit:
          requests_per_unit: 50
          unit: second
domain: test-ratelimit

Envoy Filter 配置：

使用 request_headers 和 destination_cluster 进行限制。

示例：

actions:
  - request_headers:
      descriptor_key: client-ip
      header_name: real-client-ip
  - destination_cluster: {}

运行效果

通过 Envoy Filter 和 RateLimit Operator 的协同，实现按 client-ip 和 destination-cluster 维度的速率限制。
示例流量：
- IP "192.0.2.0" 访问 "serviceA" 时，每秒最多 50 个请求。
- IP "192.0.2.20" 访问 "serviceB" 时，独立速率控制。