در یک سیستم شبکه، یک Rate Limiter برای کنترل نرخ ترافیک ارسال شده توسط یک کلاینت یا یک سرویس استفاده می‌شود. در دنیای HTTP، یک Rate Limiter، تعداد درخواست‌های مشتری مجاز به ارسال در یک دوره مشخص را محدود می‌کند. اگر تعداد درخواست‌های API از آستانه تعیین شده توسط Rate Limiter بیشتر شود، همه request های اضافی مسدود می‌شوند.

error 429

error 429

به عنوان مثال :

  • کاربر نمی‌تواند بیش از 2 پست در ثانیه بنویسد.
  • شما می‌توانید حداکثر 10 حساب در روز از یک آدرس IP ایجاد کنید.
  • شما نمی‌توانید بیش از 5 بار در هفته از یک دستگاه جوایز دریافت کنید.
  • APIهای Google Docs دارای محدودیت پیش‌فرض زیر هستند

در این مقاله به بررسی سیستم Rate Limiter می پردازیم.

 

قبل از شروع طراحی، ابتدا به مزایای استفاده از یک API Rate Limiter نگاه می‌کنیم:

مزایای Rate Limiter

  • جلوگیری از حملات DOS
  • جلوگیری از حملات brute force
  • جلوگیری از overloaded سرور ها

محل قرارگیری Rate Limiter

به طور مستقیم، شما می توانید یک Rate Limiter را در سمت کلاینت یا سمت سرور پیاده سازی کنید.
• پیاده سازی سمت کلاینت : به طور کلی، کلاینت مکان غیر قابل اعتمادی برای اعمال Rate Limiter است زیرا درخواست های مشتری می تواند به راحتی توسط عوامل مخرب جعل شود. علاوه بر این، ممکن است کنترلی بر اجرای مشتری نداشته باشیم.

• پیاده سازی سمت سرور. شکل زیر یک Rate Limiter را نشان می دهد که در سمت سرور قرار داده شده است

server-side Rate Limiter

server-side Rate Limiter

علاوه بر اجرای سمت کلاینت و سمت سرور، یک راه جایگزین نیز وجود دارد. به جای قرار دادن یکRate Limiter در سرورهای API، ما یک middleware Rate Limiter ایجاد می کنیم، که همانطور که در شکل زیر نشان داده شده است، درخواست ها را به API های شما throttlesمی کند.

middleware Rate Limiter

middleware Rate Limiter

 

اجازه دهید از یک مثال در شکل زیر استفاده کنیم تا نحوه عملکرد Rate limiter نرخ در این طرح را نشان دهیم. فرض کنید API ما اجازه 2 درخواست در ثانیه را می دهد و یک کلاینت در عرض یک ثانیه 3 درخواست را به سرور ارسال می کند. دو درخواست اول به سرورهای API هدایت می شوند. با این حال، Middleware Rate limiter ، درخواست سوم را throttles می‌دهد و کد وضعیت HTTP 429 را برمی‌گرداند. کد وضعیت پاسخ HTTP 429 نشان می‌دهد که کاربر درخواست‌های زیادی ارسال کرده است.

middleware Rate Limiter example

middleware Rate Limiter example

error 429 too many requests

error 429 too many requests

میکروسرویس های ابری به طور گسترده ای محبوب شده اند و Rate Limiter معمولاً در یک مؤلفه به نام API Gateway  پیاده سازی می شود. API Gateway یک سرویس کاملا مدیریت شده است که از Rate Limiter، SSL termination ، احراز هویت،IP whitelisting، سرویس دادن به محتوای ثابت و غیره پشتیبانی می کند. در حال حاضر، فقط باید بدانیم که API Gateway یک Middleware است که از Rate Limiter پشتیبانی می کند.

در حین طراحی یک Rate Limiter، یک سوال مهم که باید از خود بپرسیم این است: Rate Limiter باید در کجا باید پیاده سازی شود، در سمت سرور یا در یک gateway ؟ هیچ پاسخ مطلقی وجود ندارد. این به Stack technology فعلی، منابع مهندسی، اولویت ها، اهداف و غیره شرکت شما بستگی دارد.

در اینجا چند دستورالعمل کلی وجود دارد:

  • Stack technology فعلی خود را ارزیابی کنید، مانند زبان برنامه نویسی، سرویس Cache، و غیره. مطمئن شوید که زبان برنامه نویسی فعلی شما برای اجرای Rate Limiter در سمت سرور کارآمد است.
  • الگوریتم Rate Limiter را که متناسب با نیازهای کسب و کار شما است، شناسایی کنید. وقتی همه چیز را در سمت سرور پیاده سازی می کنید، کنترل کامل الگوریتم را در اختیار دارید. با این حال، اگر از Gateway شخص ثالث استفاده می کنید، ممکن است انتخاب شما محدود باشد.
  • اگر قبلاً از معماری میکروسرویس استفاده کرده اید و یکAPI Gateway  را برای انجام احراز هویت، IP whitelisting و غیره در طراحی گنجانده اید، می توانید یک Rate Limiter به API Gateway اضافه کنید.
  •  ایجاد سرویس Rate Limiter خود زمان می برد. اگر منابع مهندسی کافی برای اجرای یک Rate Limiterندارید، یک API Gateway تجاری گزینه بهتری است.

الگوریتم های Rate Limiter

Rate Limiter را می توان با استفاده از الگوریتم های مختلف پیاده سازی کرد و هر کدام مزایا و معایب مشخصی دارند. اگرچه این بخش بر روی الگوریتم‌ها تمرکز نمی‌کند، درک آنها در سطح بالا به انتخاب الگوریتم یا ترکیبی از الگوریتم‌ها متناسب با موارد استفاده ما کمک می‌کند. در اینجا لیستی از الگوریتم های محبوب آورده شده است:

  • Token bucket
  • Leaking bucket
  • Fixed window counter
  •  Sliding window log 
  • Sliding window counter