Nginx配置限流的含义

为什么要Nginx限流?

我们都知道Nginx并发性很好,但是我们后台的Web服务器性能对比Nginx的并发来说,就很拉跨了。为了更好的保护后台应用,也是为了防止一些恶意攻击。我们就需要使用Nginx限流技术。

说到Nginx限流,我们需要了解到Nginx的限流方案。

  • 一 是控制速率:即服务程序每s允许多少请求通过
  • 二 是控制服务并发连接数:控制并发连接数,即允许多少并发量的请求通过

两种方式的解决方案。

Nginx限流配置说明

添加配置

控制速率采用漏桶算法,其他方式 需要单独研究

http {
    # 依据IP限流、定义一个缓存空间为one(自定义) 10兆,每秒允许2个请求。
    limit_req_zone $binary_remote_addr zone=one:10m rate=2r/s;

    server {
        listen 80;
        server_name example.com;

        location / {
            # burst 参数为 5,表示在超过限制速率后,可以暂时容忍最多 5 个请求。
            limit_req zone=one burst=5;
            proxy_pass http://backend;
        }
    }
}

上文配置分析

http块添加限流规则contentRateLimit(此命名自定义)

    # 限流设置:$binary_remote_addr:根据请求IP进行限流,不能替换,除非你有别的规则。
    # one:缓存空间名称,可自定义。
    # 10m:定义缓存空间大小。
    # rate=2r/s:每秒允许有2个请求被处理。
    limit_req_zone $binary_remote_addr zone=one:10m rate=2r/s;

server 的 location块添加 使用限流规则名为one

            # burst 参数为 5,表示在超过限制速率后,可以暂时容忍最多 5 个请求。
            limit_req zone=one burst=5;;

上述配置的含义:

binary_remote_addr 是一种key,表示基于 remote_addr(客户端IP) 来做限流,binary_ 的目的是压缩内存占用量。

zone:定义共享内存区来存储访问信息, one:10m 表示一个大小为10M,名字为one的内存区域。注意:1M能存储16000 IP地址的访问信息,10M可以存储16W IP地址访问信息。基本是足够的! rate 用于设置最大访问速率,rate=10r/s 表示每秒最多处理10个请求。

Nginx 实际上以毫秒为粒度来跟踪请求信息,因此 10r/s 实际上是限制:每100毫秒处理一个请求。这意味着,自上一个请求处理完后,若后续100毫秒内又有请求到达,将拒绝处理该请求.我们这里设置成2 方便测试。

location块突发流量处理 加入burst

 limit_req zone=one burst=4;

burst=4,若同时有4个请求到达,Nginx 会处理第一个请求,剩余3个请求将放入队列,如果设置的rate=2r/s 则代表每隔500ms从队列中获取一个请求进行处理。若等待队列的请求数大于4,将拒绝后续多余的请求,直接返回503。

一般加入 burst 可选择(也推荐)加上 nodelay 意为:不延迟,具体含义就是:直接开始执行,不放入队列中。

案例说明:rate=2r/s; limit_req zone=contentRateLimit burst=4 nodelay;

1秒内 发送2个 全部的请求正常。

1秒内 发送6个 全部的请求正常(没有请求阻塞)。

1秒内 发送8个请求 前6个请求正常,后面2个直接503异常。

如果删除了 nodelay。场景是:1秒内发送了8个请求。

第一秒处理2个请求,队列放入4个请求,最后2个请求503。第二秒处理队列中的2个请求,此时队列剩余2个请求。

第三秒处理队列中的2个请求,此时队列剩余0个请求。

        # 使用限流配置one ,nodelay 不延迟
        limit_req zone=one burst=4 nodelay;

防止IP爆破案例

        # local块中加入
        limit_conn addr 20;   表示 同一个地址只允许连接20次。

从宝塔拿下来的配置,此处可不看,直接看下文伪代码

http{
# ① 存储个人请求IP的限流容量
limit_conn_zone $binary_remote_addr zone=perip:10m;

# ② 配置服务程序请求规则
limit_conn_zone $server_name zone=perserver:10m; 

server {  
    listen       80;
    server_name  localhost;
    charset utf-8;
    location / {
        limit_conn perip 10;         # 单个客户端ip与服务器的连接数.
        limit_conn perserver 100;    # 限制与服务器的总连接数
        root   html;
        index  index.html index.htm;
    }
}
}

location块内容

    # ③ 并发限制 服务器最多处理300个连接
    limit_conn perserver 300;

    # ④ 单IP限制 最多25个连接。需配置上文的
    limit_conn perip 25;

    # ⑤ 流量限制,用户下载速度限制在512k
    limit_rate 512k;

完整的违代码

查看①、②即可!

user  www www;
worker_processes auto;
error_log  /www/wwwlogs/nginx_error.log  crit;
pid        /www/server/nginx/logs/nginx.pid;
worker_rlimit_nofile 51200;


http
    {
        # ① Http块 依次配置客户端、服务端、请求速度全局配置
        limit_conn_zone $binary_remote_addr zone=perip:10m;
        limit_conn_zone $server_name zone=perserver:10m;
        limit_req_zone $binary_remote_addr zone=contentRateLimit:10m rate=2r/s;

    server
    {
        listen 80;
        server_name 127.0.0.1;
        index index.html index.htm index.php;

        location ~ .*\.(exe|doc|pdf|zip|rar)$
        {
            # ② location块 添加相应的限制
            limit_rate_after 10M;       # 资源不限速范围,超出后开始限速
            limit_rate  200k;           # 资源超出不限速范围后,限速为200k
            limit_req zone=contentRateLimit burst=3 nodelay;    # 使用nodelay含义:同一秒内:请求数大于5(burst+rate)时候,之后的新请求直接503

            limit_conn perip 3;        # 限制每个IP只能建立3个连接。超出多连接,直接响应 503 Service Temporarily Unavailable

            limit_conn perserver 300;        # 本配置似乎受到了contentRateLimit的限制,rate=2r/s 本意是:Http块的限制服务器最大处理300个链接。超出多连接,直接响应 503 Service Temporarily Unavailable
        }
    }

}

Nginx对资源限速,请查看

Nginx案例 – 对资源下载限速限流
特殊说明:
上述文章均是作者实际操作后产出。烦请各位,请勿直接盗用!转载记得标注原文链接:www.zanglikun.com
第三方平台不会及时更新本文最新内容。如果发现本文资料不全,可访问本人的Java博客搜索:标题关键字。以获取全部资料 ❤