突发流量是常态，需分短期止血（Nginx限流+iptables双控）和长期加固（内核调优+监控联动扩容）；Nginx用漏桶+burst+nodelay实现快速拦截，iptables在内核层协议级限速，内核通过增大缓冲区、启用BBR、tc带宽整形提升韧性，监控需≤10秒采样并触发自动扩容。

突发流量不是故障，而是系统必须面对的常态。关键不在于“能不能扛住”，而在于“怎么让核心服务稳住、用户感知最小、恢复最快”。应对思路要分两层：短期止血（限流+扩容），长期加固（监控+弹性）。

网关层快速限流：Nginx 漏桶 + 突发缓冲

Nginx 是最常用的前置限流节点，适合在流量入口做第一道过滤。它用漏桶算法控制平均速率，再通过 burst 和 nodelay 处理短时爆发：

• rate=10r/s 表示每秒最多放行10个请求，超出的进队列
• burst=20 表示允许最多20个请求排队等待，避免立刻拒绝
• nodelay 开启后，排队请求不延迟执行，而是立即返回503——相当于把“排队”变成“硬拦截”，防止长尾延迟拖垮上游
• 实际配置示例：limit_req zone=mylimit burst=20 nodelay; 配合 limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;

系统层连接与速率双控：iptables 限速模块

当攻击或爬虫绕过网关直连服务端口时，iptables 可在内核层做协议级限速，反应更快、开销更低：

• 限制 SSH 新连接：-m limit --limit 6/minute --limit-burst 10，防暴力破解
• 限制 ICMP（ping）频率：-p icmp -m limit --limit 2/sec --limit-burst 5，避免被用于反射攻击
• 务必先放行已建立连接：-m state --state ESTABLISHED,RELATED -j ACCEPT，否则可能锁死自己
• 规则添加后用 iptables -L -n -v 查看计数器，确认是否生效

内核与网络栈协同：缓冲区 + 队列调度

Linux 内核本身具备应对突发的基础能力，合理调优能显著提升吞吐韧性：

• 增大 socket 接收缓冲区：net.core.rmem_max = 16777216（16MB），避免包丢在网卡驱动层
• 启用 BBR 拥塞控制算法（替代默认 CUBIC）：sysctl -w net.ipv4.tcp_congestion_control=bbr，更适合高带宽低延迟场景
• 用 tc 命令做带宽整形，例如为不同 IP 或端口分配固定带宽份额（CBQ/HTB），防止某类流量吃光全部出口带宽
• 检查 ifconfig eth0 中的 overruns 和 dropped 字段，若持续增长，说明内核来不及处理，需调大 ring buffer 或升级网卡驱动

应急扩容与监控联动：别等告警才动手

限流是保护手段，扩容是承载手段。两者必须配合，且监控要足够“快”和“细”：

• 监控采样间隔建议 ≤10 秒，重点指标包括：PPS（包/秒）、conntrack 数量、SYN_RECV 连接数、nginx active connections
• 设置两级告警：一级是“瞬时 PPS 超阈值 3 秒”，触发自动扩容脚本；二级是“持续 2 分钟超阈值”，触发人工介入
• 云环境扩容优先选水平扩（加实例），而非垂直扩（升配置），因前者启动更快、风险更可控
• 扩容后记得同步更新限流阈值（如 Nginx 的 rate 值），避免新实例被误限