怎么在 Nginx 中实现请求限流算法:令牌桶和漏桶

作者:袖梨 2026-06-22
Nginx通过limit_req模块基于漏桶原理实现限流,采用“固定窗口+漏桶排队”混合模型,支持burst和delay参数模拟令牌桶突发处理,并可按IP、用户ID、URI等多维度精细化限流。

Nginx 本身不直接提供“令牌桶”或“漏桶”的完整实现,但通过内置的 limit_req 模块,可以基于漏桶(Leaky Bucket)原理实现请求限流,效果接近令牌桶(Token Bucket),且配置简洁、性能高效。

理解 Nginx 的限流机制本质

Nginx 的 limit_req 实际采用的是“固定窗口 + 漏桶排队缓冲”的混合模型:它用一个共享内存 zone 统计单位时间请求数,并允许少量突发(burst),超出部分按速率匀速释放(即漏桶行为)。虽然没有动态生成令牌的逻辑,但通过 burstnodelay 参数组合,可模拟令牌桶的突发容忍能力。

配置漏桶式基础限流(平滑限速)

这是最典型的漏桶用法:严格控制平均速率,超出请求排队等待,超时则拒绝。

  • http 块中定义限流区域:
limit_req_zone $binary_remote_addr zone=perip:10m rate=5r/s;
  • serverlocation 中启用限流:
limit_req zone=perip burst=10 nodelay;

说明:rate=5r/s 表示每秒最多处理 5 个请求;burst=10 允许最多 10 个请求暂存队列;nodelay 关闭排队延迟(即立即响应或拒绝),若去掉该参数,则超限请求会等待空闲槽位,体现漏桶“匀速流出”特性。

模拟令牌桶的突发处理(推荐常用组合)

要支持短时突发(如前端重试、首屏加载),去掉 nodelay 并合理设置 burst,配合 delay 参数(隐式生效),即可近似令牌桶行为:

  • burst=20:相当于最多积压 20 个“令牌”
  • 不加 nodelay:Nginx 会对超出 rate 的请求延迟响应,直到符合平均速率(例如 5r/s 下,20 个突发请求约需 4 秒匀速放行)
  • 可选加 delay=10:限制最多等待 10 个请求的延迟时间,再超则直接 503

示例:

limit_req zone=perip burst=20 delay=10;

按业务维度精细化限流

限流键(key)不只能用 IP,还可结合变量实现更灵活控制:

  • 按用户 ID(需从 header 或 token 解析):
limit_req_zone $http_x_user_id zone=user:10m rate=10r/s;
  • 按 API 路径分级限流:
limit_req_zone $uri zone=api:10m rate=20r/s;
  • 组合键(如用户+接口)避免单点瓶颈:
limit_req_zone "$http_x_user_id:$uri" zone=user_api:10m rate=5r/s;

注意:变量值为空时会被视为同一 key,建议配合 map 指令做兜底处理,例如将空 $http_x_user_id 映射为随机字符串,防止误聚合。

监控与调试技巧

限流是否生效?可通过以下方式验证:

  • 返回头中查看 X-RateLimit-LimitX-RateLimit-Remaining(需配合第三方模块如 nginx-lua-module 或 OpenResty 扩展)
  • 默认情况下,被限流请求返回 503,日志中记录 limiting requests
  • abwrk 压测验证实际吞吐与排队行为
  • 检查共享内存使用:nginx -T | grep limit_req_zone 确认 zone 加载成功

不复杂但容易忽略:限流 zone 必须定义在 http 块,且内存大小(如 10m)要足够容纳预期并发 key 数量,否则会因 hash 冲突导致限流不准。

相关文章

精彩推荐