Go:分布式高并发服务限流实现方案
服务限流场景
在高并发大流量系统中,由于并发大造成服务资源不足,负载过高,进而引发致一系列问题,这里的流量一般都是突发性的,由于系统准备不足,很难短期扩容来应对 ,进行限流是最常用的手段,所以说限流也是服务稳定性治理重要的手段。
限流可能发生在多个层面:
1.用户网络层:突发的流量场景如热点事件流量(秒杀事件、热门抢购,微博热搜),恶意刷流,竞对爬虫等。
2.内部应用层:上游服务的异常调用,脚本异常请求,失败重试策略造成流量突发。
实现限流方案
常用的限流方法主要有三种:计数器算法,漏斗桶算法,令牌桶算法。
1.计算器限流
1.1 实现原理
设计限流条件,如根据用户id/商户id/IP/UUID+请求url作为限流对象,对限流对象的每次流量访问进行全局计数,设置限流阈值(1000次/秒,10000/分钟),如果统计时间窗口期内达到阈值就进行限流。
对单机限流来说,使用全局内存计数即可,但对分布式系统需要有一个公共存储计数,redis是最佳存储方案,且redis的incr能保障原子性操作。
1.2 代码实现
//@param key string object for rate limit such as uid/ip+url
//@param fillInterval time.Duration such as 1*time.Second
//@param limitNum max int64 allowed number per fillInterval
//@return whether reach rate limit, false means reach.
func fixedWindowRateLimit(key string, fillInterval time.Duration, limitNum int64) bool {
//current tick time window
tick := int64(time.Now().Unix() / int64(fillInterval.Seconds()))
currentKey := fmt.Sprintf("%s_%d_%d_%d", key, fillInterval, limitNum, tick)
startCount := 0
_, err := client.SetNX(currentKey, startCount, fillInterval).Result()
if err != nil {
panic(err)
}
//number in current time window
quantum, err := client.Incr(currentKey).Result()
if err != nil {
panic(err)
}
if quantum > limitNum {
return false
}
return true
}
完整代码参见:
https://github.com/skyhackvip/ratelimit/blob/master/fixedwindow.go
测试代码:
func test1() {
for i := 0; i < 10; i++ {
go func() {
rs := fixedWindowRateLimit("test1", 1*time.Second, 5)
fmt.Println("result is:", rs)
}()
}
}
测试执行结果:
根据执行结果可以看到,1秒中有10个请求,只有5个通过,另5个被限流返回false。
这个代码实现的是固定时间窗口,有一个问题,当流量在上一个时间窗口下半段和下一个时间窗口上半段集中爆发,那么这两段组成的时间窗口内流量是会超过limit限制的。
测试代码如下,拉长时间窗口为1分钟,1分钟限流5个,前30s没流量,之后每10s一个请求:
func test2() {
fillInteval := 1 * time.Minute
var limitNum int64 = 5
waitTime := 30
fmt.Printf("time range from 0 to %d\n", waitTime)
time.Sleep(time.Duration(waitTime) * time.Second)
for i := 0; i < 10; i++ {
fmt.Printf("time range from %d to %d\n", i*10+waitTime, (i+1)*10+waitTime)
rs := fixedWindowRateLimit("test2", fillInteval, limitNum)
fmt.Println("result is:", rs)
time.Sleep(10 * time.Second)
}
}
根据执行结果可以看到,0-60s总共4个true满足1分钟窗口5个,60-120总共5个true,1个false满足限流,但30-90这1分钟的时间窗总共6个true,超过5个限制。
1.3 方案改进:使用滑动窗口
//segmentNum split inteval time into smaller segments
func slidingWindowRatelimit(key string, fillInteval time.Duration, segmentNum int64, limitNum int64) bool {
segmentInteval := fillInteval.Seconds() / float64(segmentNum)
tick := float64(time.Now().Unix()) / segmentInteval
currentKey := fmt.Sprintf("%s_%d_%d_%d_%f", key, fillInteval, segmentNum, limitNum, tick)
startCount := 0
_, err := client.SetNX(currentKey, startCount, fillInteval).Result()
if err != nil {
panic(err)
}
quantum, err := client.Incr(currentKey).Result()
if err != nil {
panic(err)
}
//add in the number of the previous time
for tickStart := segmentInteval; tickStart < fillInteval.Seconds(); tickStart += segmentInteval {
tick = tick - 1
preKey := fmt.Sprintf("%s_%d_%d_%d_%f", key, fillInteval, segmentNum, limitNum, tick)
val, err := client.Get(preKey).Result()
if err != nil {
val = "0"
}
num, err := strconv.ParseInt(val, 0, 64)
quantum = quantum + num
if quantum > limitNum {
client.Decr(currentKey).Result()
return false
}
}
return true
}
完整代码参见:
https://github.com/skyhackvip/ratelimit/blob/master/slidingwindow.go
滑动窗口增加一个参数segmentNum,表示把固定窗口再分成几段,如上图的0-10 ... 50-60,把1分钟分成6段,代码执行结果如下,30-90,40-100,任意1分钟滑动窗口都满足5个最大限制。
1.4 计数器的适用场景
适用于做API限流,比如对外提供ip定位查询服务api,天气查询api等,可以根据ip做粒度控制,防止恶意刷接口造成异常,也适用于提供API查询服务做配额限制,一般限流后会对请求做丢弃处理。
局限:窗口算法对于流量限制是定速的,对细粒度时间控制突发流量控制能力就有限了。
2.漏斗桶限流
2.1 实现原理
漏斗桶形象比喻为一个滤水漏斗,水滴(请求)可能很快把漏斗填满(流量流入),漏斗出来的水滴(流量处理)是匀速固定的,桶满则新进入水滴(请求)会被限流。
图片来自网络
常用队列方式来实现,请求到达后放入队列中,有一个处理器从队列匀速取出进行处理。当桶满了,新流量过来会被限流。
uber提供了基于漏斗桶的算法实现可以参考:
https://github.com/uber-go/ratelimit
另外:redis4.0提供了限流模块,redis-cell,该模块使用漏斗算法,并提供原子限流指令。
cl.throttle key capacity limitNum fillInteval
2.2 漏斗桶适用场景
漏斗桶更像是对流量进行整形Traffic Shaping,所有流量过来都要进行排队,依次出去,可用于做一些论坛博客发帖频率限制。
相对于计数器限流,达到限流后该时间窗口会丢弃一切请求,漏斗在桶满后,由于还会有持续流出,新到达请求还有机会流入。
局限:由于出口处理速率是匀速的,短时有大量突发请求,即使负载压力不大,请求仍需要在队列等待处理。
3.令牌桶限流
3.1 实现原理
令牌桶算法是一个桶,匀速向桶里放令牌,控制桶最大容量(令牌最大数)和放入令牌速率(生成令牌/秒)。请求从桶中拿令牌,拿到令牌可以通过,拿不到就被限流了。
当访问量小时,令牌桶可以积累令牌到桶满,而当短时突发流量,积累的令牌能保障大量请求可以立刻拿到令牌,令牌用完了,请求会依赖于新令牌申请速度,这时会退化成类似漏斗桶算法。
图片来自网络
具体实现上,可以使用redis的list,启动任务向list匀速放置数据,当有请求时从list取数据,取到代表通过,否则被限流。这么实现是可行的,但有个弊端,就是需要不断操作list,浪费内存空间,而实际上可以使用实时算法计算的方式来计算可用令牌数。
公式:可用令牌数=(当前请求时间-上次请求时间)*令牌生成速率 + 上次使用后剩余令牌数,当然这个数需要再和桶容量比较求小。
如果可用令牌数 > 0代表有令牌,剩余令牌数-1,并更新保存本次剩余令牌数和本次请求时间用于下次计算,这种方式也是惰性加载/计算的一种体现。
3.2 代码实现
//rate increment number per second
//capacity total number in the bucket
func bucketTokenRateLimit(key string, fillInterval time.Duration, limitNum int64, capacity int64) bool {
currentKey := fmt.Sprintf("%s_%d_%d_%d", key, fillInterval, limitNum, capacity)
numKey := "num"
lastTimeKey := "lasttime"
currentTime := time.Now().Unix()
//only init once
client.HSetNX(currentKey, numKey, capacity).Result()
client.HSetNX(currentKey, lastTimeKey, currentTime).Result()
//compute current available number
result, _ := client.HMGet(currentKey, numKey, lastTimeKey).Result()
lastNum, _ := strconv.ParseInt(result[0].(string), 0, 64)
lastTime, _ := strconv.ParseInt(result[1].(string), 0, 64)
rate := float64(limitNum) / float64(fillInterval.Seconds())
fmt.Println(rate)
incrNum := int64(math.Ceil(float64(currentTime-lastTime) * rate)) //increment number from lasttime to currenttime
fmt.Println(incrNum)
currentNum := min(lastNum+incrNum, capacity)
//can access
if currentNum > 0 {
var fields = map[string]interface{}{lastTimeKey: currentTime, numKey: currentNum - 1}
a := client.HMSet(currentKey, fields)
fmt.Println(a)
return true
}
return false
}
完整代码参见:
https://github.com/skyhackvip/ratelimit/blob/master/buckettoken.go
还有更多需要可实现细节如预热桶、一次性放入多个令牌、一次性取多个令牌。同时由于原子性问题,通过redis+lua脚本操作(lua实现令牌桶)会更好。
3.3 令牌桶适用场景
令牌桶既能够将所有请求平均分布到时间区间内,又能接受突发请求,因此使用最广泛的限流算法,像java中比较有名的guava就有实现。
4.方案对比选择
计数器 | 漏斗桶 | 令牌桶 | |
具体实现 | 使用全局计数 | 使用队列+处理器 | 使用漏斗算法 |
适用场景 | API配额/限流 适合限流后丢弃处理 | 流量整形 适合限流后阻塞排队 | 大多数场景均可 |
5.限流部署
5.1 “分布式部署” 限流单个服务实例
限流代码在应用服务内,使用aop方式(如gin的middleware),当应用请求时(request)进行拦截检查,通过则继续执行请求,否则将被限流进行处理。
func rateLimitMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
bucketTokenRateLimit(c.Param("uid"))
}
}
由于应用服务是分布式集群,每个服务实例中的限流拦截器只能拦截本实例中的请求数,那么对于总体限流就需要有一定策略分摊到每个单体实例中。比如10000次/秒,服务部署10个实例,每个实例限流可以平均分配(1000次/秒),也可根据不同实例不同权重分配。
优点:可以有效防止单机突发流量导致的压垮,满足限流初衷,适合对并发做流量限制。
缺点:由于每个实例的流量不均等,可能有的实例已经限流,有的机器实例仍很空闲,牺牲部分流量。
5.2 “集中式部署”使用统一限流服务中心
5.2.1 部署统一限流中心
所有服务实例去请求统一限流中心,中心根据流量情况告知服务是否通过,这种方案最大的问题就是多了一次服务调用,同时集中限流器也会成为最大性能瓶颈。
5.2.2 限流部署在接入层
一般分布式服务都设有网关层/路由层/接入层,如果集中限流器可部署到其中,可以解决上述多调用问题。一般常用nginx + lua做网关层限流,lua脚本也可以使用上述几种算法。
优点:适合做细粒度限流或访问配额
缺点:对下游单个服务实例或依赖的服务不够平滑,仍有流量突发过载的可能,所以可以结合上面的方式一起部署,多重防护。
5.3 服务中心与单机限流结合
可以使用基于请求日志收集,分析日志,根据限流规则做限流服务,分析出限流结果后,下发限流指令(通过队列或集中配中心)到服务节点,节点进行限流控制。架构图如下:
此方案关键在于:日志处理分析的及时性,可采用flink流式计算方式。
5.4 限流规则配置
限流关键在于限流规则配置,是针对某个url还是针对一个服务,阈值应该如何设置,时间窗口如何设计,都是需要考虑的因素。
一般分几部分:接口粒度,时间粒度,最大限流数
接口粒度:限流对象可以配置多种限流策略针对服务单个实例,针对整个服务集群,针对某个接口,针对某类接口等。
时间粒度:如上述计数器算法中举例,使用1分钟做限流粒度更容易出某个小粒度时间窗口期出现异常流量。60000次/分钟,1000次/秒,10次/毫秒看似一样,但限流效果不同,时间粒度越细流量整形越好,越平滑,但也不越小越好。对秒杀类场景,瞬时流量非常大,QPS大,适合时间粒度小的。对QPS不大的场景,可以使用大的时间粒度。
最大限流数:一般需要性能压测、业务预期评估、线上监控、往期经验等来做参考设置。
更多考虑,如API接口服务针对vip用户针对普通用户,限流不同,可以用预留、权重、上限等维度进行不同调度,参考dmclock,mclock算法。
5.5 限流处理方式
限流后处理方式可以做服务降级(返回默认值、默认页面)、请求丢弃(拒绝请求)、请求排队(阻塞请求)、发送报警人工介入处理等。有直接结合服务降级熔断的如Sentinel、Hystrix。
更多参考资料
文章相关实现代码:
https://github.com/skyhackvip/ratelimit
dmclock算法参考:
https://github.com/ceph/dmclock
推荐阅读