限流、熔断、降级是云原生流量治理的递进式防御链:限流控制请求速率防过载,熔断隔离下游故障防雪崩,降级提供兜底结果保核心可用。
限流:保护服务不被突发流量压垮
限流是流量治理的第一道防线,核心目标是控制单位时间内进入服务的请求数量,防止系统过载。在云原生场景下,限流通常在网关层(如 Envoy、Nginx Ingress Controller)或服务网格侧(如 Istio 的 VirtualService + DestinationRule 配合 Envoy 的 local rate limiting)实现。
常见策略包括:
- QPS 限流:最直观,比如限制某 API 每秒最多处理 100 个请求;
- 并发连接数限制:适用于长连接场景(如 WebSocket),避免线程/连接耗尽;
- 用户级/租户级限流:按 header 中的 user-id 或 JWT claim 做区分,保障多租户公平性;
- 动态限流:结合 Prometheus 指标(如 CPU 使用率、错误率)自动调整阈值,需配合自定义控制器(如 K8s Operator 或 Argo Rollouts 集成)。
示例(Istio YAML 片段):通过 EnvoyFilter 启用本地限流,匹配特定 host 和 header,并返回 429 状态码。
熔断:快速失败,避免雪崩扩散
熔断不是拒绝请求,而是主动“断开”对下游不稳定服务的调用,让上游快速失败并降级处理。它依赖实时指标(失败率、延迟、连接超时等)触发状态切换(关闭 → 半开 → 打开)。
Kubernetes 生态中,Istio 默认支持基于 Outlier Detection 的熔断机制,配置在 DestinationRule 中:
- consecutive_5xx:连续多少次 5xx 响应触发摘除;
- interval:检测周期,默认 10s;
- base_ejection_time:节点被摘除的最短时间;
- max_ejection_percent:最多允许多少比例实例被摘除,防止单点误判导致全量不可用。
注意:熔断只作用于客户端(即调用方 sidecar),不改变后端服务本身;需配合健康检查与重试策略使用,否则可能放大抖动。
降级:有损服务,保障核心链路可用
降级是在资源紧张或依赖故障时,主动关闭非核心功能,确保主流程仍可运行。它不等于“报错”,而是返回兜底结果(如缓存旧数据、静态页面、默认值、简化逻辑)。
落地方式分两类:
- 配置驱动降级:通过 ConfigMap 或 Nacos/Apollo 动态开关,比如关闭商品推荐模块,但保留下单能力;
- 代码级降级:在业务逻辑中嵌入 Hystrix / Sentinel / resilience4j 的 fallback 方法,例如调用积分服务超时时,跳过积分扣减直接完成订单。
关键原则:降级策略必须提前设计、充分测试,并具备一键回滚能力;所有降级路径都要记录日志和监控指标,便于事后复盘。
协同生效:把三者串成一条防御链
限流、熔断、降级不是孤立策略,而是一套递进式防护体系:
- 高并发突增 → 触发限流,保护自身容量;
- 下游持续超时或报错 → 熔断器打开,隔离故障源;
- 熔断期间上游仍有请求进来 → 自动走降级逻辑,避免用户看到空白页或 503。
建议在 CI/CD 流水线中加入混沌工程演练(如 Chaos Mesh 注入网络延迟、Pod Kill),验证三者组合在真实故障下的响应是否符合预期。监控上,重点关注限流拦截率、熔断开启率、降级调用量三个黄金指标。
