Redis限流中令牌桶与漏桶算法如何选择？

一、基础认知：令牌桶与漏桶的本质差异

令牌桶（Token Bucket）以“按需取令牌”为核心，允许突发流量——只要桶中有足够令牌即可瞬时通过；漏桶（Leaky Bucket）则以“恒定速率出水”为约束，强制削峰填谷。在Redis中，前者常基于INCRBY+EXPIRE（Redis 7.0+）或原子Lua脚本实现；后者依赖LPUSH+LLEN+LRANGE组合模拟队列，引入O(n)扫描开销。二者均不天然支持跨节点时钟同步，且Key过期策略不当易引发内存膨胀（如大量EXPIREAT未触发的冷Key堆积）。

二、场景解构：SaaS平台的双重诉求矛盾点

• 计费合规性：QPS按秒级阶梯计费，需强速率控制（误差≤±3%），要求时间窗口严格对齐（如UTC 00:00:00起每秒重置）；
• 突发合理性：API批量调用（如CRM系统同步100条客户数据）应被允许，但单次不得超过5×基准QPS（即“突发容忍阈值=5”）；
• 集群规模压力：百节点集群下，单日限流Key写入峰值超2亿次，Lua脚本执行延迟P99需<8ms，否则引发网关阻塞。

三、性能实测对比（Redis 7.2 Cluster, 32分片）

四、架构演进：从单桶到分布式弹性令牌桶

针对百节点集群，我们提出分层令牌桶（Hierarchical Token Bucket, HTB）： ① 全局层（Redis Cluster）：每秒生成基准令牌（如100 QPS → 每秒+100），使用INCRBY key 100; EXPIRE key 2保障TTL覆盖抖动； ② 节点层（本地Caffeine缓存）：每个服务实例缓存5秒令牌余额，采用CAS更新+异步回写； ③ 请求层：先查本地缓存，命中则直接消费，未命中再打全局层——降低Redis热点压力达76%。 该设计将突发容忍阈值（如5×）编码进全局桶容量，同时通过本地缓冲吸收短时毛刺。

五、可观测性强化：三位一体监控体系

六、关键决策依据权重分析

经A/B测试与故障复盘，三大依据权重排序为：
突发容忍阈值（45%） > 运维可观测性成本（30%） > 吞吐量（25%）。
原因：SaaS计费模型中，突发容忍是SLA契约条款（如“允许5秒内峰值达基准5倍”），不可妥协；而可观测性差会导致资损定位耗时从分钟级升至小时级；吞吐量可通过HTB架构横向扩展弥补，非瓶颈项。

七、生产落地Checklist

1. 启用Redis 7.0+ INCRBY 原子指令，禁用Lua（规避EVALSHA传播延迟）；
2. 所有限流Key强制添加命名空间前缀：rate:saas:tenant_123:api_v1_users；
3. 配置maxmemory-policy volatile-lfu防止冷Key内存泄漏；
4. 部署NTP服务并每5分钟校验节点时钟偏移，偏移＞300ms自动隔离；
5. 在API网关层注入X-RateLimit-Remaining和X-RateLimit-Reset标准头；
6. 每日凌晨执行SCAN 0 MATCH rate:saas:* COUNT 10000 | xargs redis-cli DEL清理残留Key。