Im Jahr 2026 manifestieren sich zwei sehr verschiedene Vorfälle beide als 429 Too Many Requests: Gateway-Authentifizierungs-Brutforce-Schutz bei schlechten Tokens und Upstream-SaaS-Throttling, weil zehn Agenten gleichzeitig Cron entdeckten. Wenn Sie diese Signale in einem Dashboard vermischen, justieren Sie Limits falsch—entweder schwächen Sie die Sicherheit oder verhungern legitime Automation. Diese Matrix trennt die Klassen, dokumentiert Backoff-Regeln für Retry-After-Header und liefert acht Schritte für ein dediziertes Mac-mini-M4-Gateway auf NodeMac—SSH für Automation, VNC wenn macOS noch eine Consent-Oberfläche verlangt.
Verwandte Härtung: Token-Auth & launchd-Drift, Multi-Modell-Failover & Timeouts, Readiness-Probes & SLO, Egress-Proxy & TLS-Allowlist. Observability: Log-Rotation & Redaktion; Triage: Doctor. Preise; Hilfe.
Klassifizieren Sie 429, bevor Sie drehen
Beginnen Sie jedes Incident-Ticket mit drei Feldern: HTTP-Routenfamilie (Admin, Webhook, Tool-Invoke), Identität (Workspace, Bot-Token, IP) und Provider (Slack, Anthropic, internes CRM). Auth-Limits sollten bei verdächtigen Identitätsmustern auslösen; Provider-Limits bei aggregiertem QPS oder Burst-Fenstern. Vermischen Sie sie—Operatoren erhöhen globale Limits und verbreitern genau das Brutforce-Fenster.
- Auth-429: kurze gleitende Fenster, exponentielle Sperren, Loopback-Health-Scraper explizit ausnehmen.
- Tool-429: Provider-
Retry-Aftereinhalten, parallele Tool-Aufrufe pro Workspace begrenzen, Queue + Worker statt blinder Retry-Schleifen. - Gemischt: wenn beides feuert, zuerst Auth fixen—Retries auf schlechte Tokens verstärken beide Zähler.
Antwortmatrix
| Symptom | Wahrscheinliche Klasse | Erste Aktion |
|---|---|---|
| Spike nur von einer IP / schlechtem Bearer | Auth-Brutforce oder geleakter Token-Replay | Token widerrufen, launchd-Env-Drift prüfen, Doctor erneut ausführen |
| 429 im Takt mit Bürozeiten-Traffic | Tool- oder LLM-Kontingent-Sättigung | Parallele Tools senken, Workspaces sharden, Provider-Stufe erhöhen |
| 429 nur nach Deploy | Neues Standard-Timeout oder Retry-Policy zu aggressiv | Config-Diff, Canary auf einem Host, Gateway-Flags zurückrollen |
Backoff-Parameter, die Reviews überstehen
| Schicht | Startpolicy | Hinweise |
|---|---|---|
| Gateway-Auth-Fehler | Gleitfenster: aggressive IPs nach 10 Fehlern / 60 s blockieren | Dokumentierte Health-Scraper-Subnetze ausnehmen |
| Tool-HTTP zu SaaS | Max. 3 Retries mit Jitter, Schlaf bei 60 s deckeln, außer Retry-After größer | Kumulative Delay-Metrik pro Workspace erfassen |
| Parallele Tool-Aufrufe | Standard 4 pro Workspace auf M4-Pro-Hosts | Senken, wenn CPU > 85% für > 2 Minuten |
Apple-Silicon-Tipp: TLS-Handshakes und JSON-Parsing sind nicht kostenlos—Burst-Retries können einen Performance-Core sättigen und die Tail-Latenz erhöhen. Bevorzugen Sie Queueing mit sichtbaren Tiefenmetriken gegenüber unbegrenztem Fan-out.
Acht Rollout-Schritte
- Logs taggen mit Routenfamilie am Edge-Proxy, falls vorhanden.
- Zähler trennen für Auth-Fehler vs. Upstream-429.
- Retry-After-Parsing im gemeinsamen HTTP-Client für Tools implementieren.
- Synthetische Chat-Probe hinzufügen, die alle fünf Minuten ein harmloses Tool auslöst.
- Freeze-Schalter dokumentieren, der Tool-Seiteneffekte ohne Health-Stopp deaktiviert.
- Lasttest mit aufgezeichnetem Peak-Traffic vor Marketing-Pushes.
- Mit Security ausrichten zu IP-Allowlists für Admin-Flächen jenseits von Loopback.
- Skalieren mit einem zusätzlichen NodeMac-Mac-mini-M4-Gateway, wenn die Queue-Tiefe über einen Sprint steigt.
FAQ
Warum gesunde Dashboards bei Chat-429s?
Probes treffen andere Routen als nutzergetriebene Tool-Aufrufe. Erweitern Sie Probes leicht auf Tool-Pfade.
Zähler zwischen Auth und Tools teilen?
Nein—getrennte Zähler verhindern Kollateral-Lockouts und klären die Root Cause.
Warum dedizierte NodeMac-Hardware?
Stabiles Netz, immer-an-CPU für TLS-Bursts, regionale Platzierung nahe Providern und Nutzern.