Istio 入口限速与黑白名单策略（EnvoyFilter、RateLimit 与验证）

概述入口层限速与名单策略可在高峰与攻击场景下保护后端。通过EnvoyFilter启用本地限速或对接外部限速服务，并精确控制来源与路径。关键实践与参数本地限速: `local_ratelimit` 令牌桶设置外部限速: `rate_limit_service` 对接名单策略: 基于IP或Header的黑白名单观测: 统计限速与拒绝事件示例/配置/实现apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: ingress-rl namespace: istio-system spec: workloadSelector: labels: { istio: ingressgateway } configPatches: - applyTo: HTTP_FILTER match: context: GATEWAY listener: { portNumber: 443 } proxy: { proxyVersion: ^1\. } patch: operation: INSERT_BEFORE value: name: envoy.filters.http.local_ratelimit typed_config: "@type": type.googleapis.com/envoy.extensions.filters.http.local_ratelimit.v3.LocalRateLimit stat_prefix: rl token_bucket: { max_tokens: 100, tokens_per_fill: 100, fill_interval: 1s } 验证高并发限速: 入口请求超过阈值时被拒绝且后端稳定名单生效: 黑名单来源被拒绝, 白名单放行指标: 限速命中与拒绝计数可观测策略调整: 参数变更后效果符合预期注意事项入口层限速与下游策略协同名单数据需安全管理与更新在多网关副本下评估限速分布定期复盘拦截与误报